数据安全审计-方法论.pptxVIP

数据安全审计

方法论

1、审计目标内容2、数据安全治理审计3、数据安全管理审计4、数据生命周期安全管理审计5、个人信息安全管理审计目录6、重要数据安全管理审计7、数据平台与技术安全管理审计

1、审计目标内容数据安全是数字经济时代生产力要素的必要属性，持续性开展数据安全审计已成为信息系统审计的重要内容。本节所涉及的数据包括了日常数据和大数据（按结构化程度和数据规模）及个人信息和重要数据（按数据对象类型），审计范围包括数据安全治理数据安全管理数据生命周期安全管理个人信息安全管理重要数据安全管理数据平台与技术安全管理

2、数据安全治理审计数据安全组织为落实数据安全治理工作及其战略规划，是否从组织层面设置跨部门的数据安全管理机构及负责人，明确安全管理职责人员意识管理基于组织对数据安全管理的要求和需求，从人员安全管理、资源建设与技能培养、职责落实与考核等三方面进行检查，判断人员综合管理的落实情况制度与规范管理从制度层面检查组织是否制定并完善数据安全管理的制度体系及其落实情况元数据安全管理从元数据的安全管理角度，检查组织是否建立完善的元数据安全管理规范，并从技术层面予以安全保障数据及平台（系统）管理从数据平台（系统）管理角度，检查组织是否对平台（系统）及其管理之下的数据制定相应的安全规范与标准，实现统一管理，并与组织经营战略中的安全需求相一致服务接口安全管理从服务接口角度，检查组织是否完善接口安全管理的制度和规范，并用技术手段保障接口间数据传输的安全性数据供应链安全管理供应链安全管理角度，检查组织在存在上下游数据交换的前提下，制定相关管理规范，满足合规监管要求数据安全审计管理从审计角度，检查组织是否落实数据安全审计与监督的要求，对组织的数据服务开展安全审计，同时确保国家对于日志管理的安全合规要求

2、数据安全治理审计-常见风险未建立数据安全治理组织架构及职责，无法自上而下推动相关数据安全治理工作的有序开展。未建立组织级数据战略规划，无法有效覆盖网络安全法及等级保护等相关法规与标准的要求战略规划无法指明数据整体的发展目标和规划，不利于数据安全长远发展规划未制定数据安全相关管理制度及流程，导致数据安全管控要求无法有效落实。数据安全风险评估执行不到位，未识别出重要的数据安全风险，不利于数据安全治理体系的持续优化

3、数据安全管理审计董事会职责组织是否将数据的安全治理工作纳入组织治理工作范畴，建立健全包括风险管理和数据安全审计监督在内的架构体系，从而完善数据的安全合规管理战略规划与价值检查组织是否依据董事会所明确的数据安全治理目标制定相关的安全战略数据安全合规管理是否基于数据安全战略规划,建立了健全的数据安全管理制度体系,以满足合规监管要求数据风险管理组织是否从数据、人员、产品与服务等方面，建立并完善数据安全风险管理体系，并将其纳入组织风险管理体系当中数据安全审计监督组织是否将数据的安全审计工作纳入到组织的安全审计体系范畴内，建立并完善针对数据安全审计的专项工作

3、数据安全管理审计-常见风险数据安全组织架构及责任人缺失，导致数据安全管控要求无法落实未定期开展数据安全意识宣贯，由于安全意识不足，导致数据不经意的泄露元数据安全管控不到位，导致元数据血缘关系模糊、可追溯性不强，影响元数据与数据标准的结合未部署数据管控平台，无法对数据标准、数据质量、元数据进行规范化管控和技术实现数据服务接口与应用在其内部跨安全域间的接口调用未釆用包括安全通道、加密传输等安全机制可能带来的风险未建立数据供应链安全管理方针，无法落实上下游供应链间数据交换和使用的要求，不利于供应商之间的数据交换与共享

数据搜集针对数据收集过程，检查组织是否依据收集数据的敏感性对其进行数据标识，从而基于该标识进行后续数据操作处理的监控数据传输针对数据传输过程，检查组织是否根据传输过程的安全性划分安全域，并根据安全域的级别釆取相应的安全控制措施，防范数据遭受窃听或泄露，确保数据的完整性数据存储与加工针对数据存储，检查组织是否对所存储的数据釆取安全措施，确保其安全性和完整性，同时，根据组织对于数据可用性的要求，检查组织是否釆取备份措施数据处理与加工针对处理和加工过程，检查组织是否对可接触到数据的人员基于角色釆取身份验证和访问控制，并对该过程采取加密和脱敏处置措施，防范数据非法访问或敏感信息遭到泄露数据使用与安全审计针对数据使用过程，检查组织是否釆取身份验证和访问控制措施，防止人员对于数据的非法访问，并釆取加密和脱敏等技术手段，防止在使用环节造成信息泄露并对使用环节进行安全审计数据共享与流动针对组织存在数据共享与流动，特别是跨境流动时，是否制定相应的规范制度和审批流程，满足国家合规监管要求。数据归档与销毁组织是否针对数