DB61T1636-2022數(shù)據(jù)安全審計(jì)規(guī)范

ICS35.020CCSL70

DB61陜 西 省 地 方 標(biāo) 準(zhǔn)DB61/T1636—2022數(shù)據(jù)安全審計(jì)規(guī)范Datasecurityauditspecification20222022110720221207陜西省市場監(jiān)督管理局發(fā)布DB61/T1636DB61/T1636—2022DB61/T1636DB61/T1636—2022目 次前言 III范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮略語 2數(shù)據(jù)安全審計(jì)框架 2數(shù)據(jù)安全審計(jì)原則 2數(shù)據(jù)安全審計(jì)流程 2數(shù)據(jù)安全審計(jì)內(nèi)容 2數(shù)據(jù)安全審計(jì)方法 3數(shù)據(jù)安全運(yùn)營審計(jì) 3數(shù)據(jù)采集安全審計(jì) 3數(shù)據(jù)傳輸安全審計(jì) 5數(shù)據(jù)存儲安全審計(jì) 6數(shù)據(jù)處理安全審計(jì) 6數(shù)據(jù)交換安全審計(jì) 7數(shù)據(jù)銷毀安全審計(jì) 9數(shù)據(jù)安全風(fēng)險(xiǎn)審計(jì) 10組織審計(jì) 10人員審計(jì) 10文檔審計(jì) 10數(shù)據(jù)安全事件審計(jì) 11組織審計(jì) 11人員審計(jì) 11文檔審計(jì) 11數(shù)據(jù)安全審計(jì)報(bào)告 12報(bào)告格式 12報(bào)告內(nèi)容 12參考文獻(xiàn) 13I前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)則起草。本文件由陜西省工業(yè)和信息化廳提出并歸口。中心、西安電子科技大學(xué)、西安四葉草信息技術(shù)有限公司。本文件主要起草人：孫騫、邵軍琦、賀小偉、王銘、李暉、金濤、楊帆、馬坤、楊向東、焦玉彬、劉慶麟、王征帆、莫佳鑫。本文件由西北大學(xué)網(wǎng)絡(luò)和數(shù)據(jù)中心負(fù)責(zé)解釋。本文件首次發(fā)布。聯(lián)系信息如下：單位：西北大學(xué)網(wǎng)絡(luò)和數(shù)據(jù)中心電話址：陜西省西安市長安區(qū)郭杜教育科技產(chǎn)業(yè)區(qū)學(xué)府大道1號郵編：710127IIII數(shù)據(jù)安全審計(jì)規(guī)范范圍計(jì)報(bào)告的要求。全審計(jì)的機(jī)構(gòu)開展數(shù)據(jù)安全自評估。本文件沒有規(guī)范性引用文件。術(shù)語和定義下列術(shù)語和定義適用于本文件。3.13.1數(shù)據(jù)安全datasecurity以數(shù)據(jù)為中心的安全，保護(hù)數(shù)據(jù)的可用性、完整性和機(jī)密性。注：本文件是從組織建設(shè)、制度流程、技術(shù)工具以及人員能力等方面對組織機(jī)構(gòu)的數(shù)據(jù)進(jìn)行安全保護(hù)。3.2數(shù)據(jù)安全能力datasecuritycapability組織機(jī)構(gòu)在組織建設(shè)、制度流程、技術(shù)工具以及人員能力等方面對數(shù)據(jù)的安全保障能力。3.3安全過程域securityprocessarea實(shí)現(xiàn)同一安全目標(biāo)的一系列數(shù)據(jù)安全相關(guān)活動(dòng)、過程的集合。3.4數(shù)據(jù)脫敏datadesensitization通過模糊化等方法對原始數(shù)據(jù)的處理，達(dá)到屏蔽敏感信息的一種數(shù)據(jù)保護(hù)方法。3.5數(shù)據(jù)安全審計(jì)datasecurityaudit監(jiān)督與持續(xù)改進(jìn)。13.6數(shù)據(jù)安全被審計(jì)對象datasecurityauditobject備相應(yīng)數(shù)據(jù)安全能力的機(jī)構(gòu)。3.7數(shù)據(jù)安全審計(jì)人員datasecurityauditor組成的或聘請第三方專業(yè)數(shù)據(jù)安全機(jī)構(gòu)開展數(shù)據(jù)安全審計(jì)的人員。縮略語下列縮略語適用于本文件。ETL(Extract-Transform-Load) 數(shù)據(jù)的抽取、轉(zhuǎn)換、加載數(shù)據(jù)安全審計(jì)框架數(shù)據(jù)安全審計(jì)原則開展數(shù)據(jù)安全審計(jì)時(shí)，應(yīng)遵循，并不僅限于以下原則：針對性原則，數(shù)據(jù)安全審計(jì)主要針對數(shù)據(jù)安全運(yùn)營、數(shù)據(jù)安全風(fēng)險(xiǎn)、數(shù)據(jù)安全事件；合規(guī)性原則，數(shù)據(jù)安全審計(jì)流程、范圍、內(nèi)容等，須符合國家、行業(yè)、團(tuán)體等合規(guī)性規(guī)定；準(zhǔn)確性原則，數(shù)據(jù)安全審計(jì)過程中，所用到的審計(jì)數(shù)據(jù)以及計(jì)算分析要準(zhǔn)確；保密性原則，數(shù)據(jù)安全審計(jì)過程中，審計(jì)人員必須簽署保密協(xié)議，并嚴(yán)格遵守保密紀(jì)律。數(shù)據(jù)安全審計(jì)流程主要包括以下階段：審計(jì)啟動(dòng)階段：啟動(dòng)審計(jì)流程環(huán)節(jié)應(yīng)明確審計(jì)的主要指標(biāo)，包括文檔、設(shè)備、技術(shù)等；審計(jì)規(guī)劃階段：審計(jì)過程需要合理的規(guī)劃，制定審計(jì)工作的基本流程；審計(jì)總結(jié)階段：在審計(jì)評估達(dá)到標(biāo)準(zhǔn)要求后，進(jìn)行總結(jié)并形成數(shù)據(jù)安全審計(jì)報(bào)告。數(shù)據(jù)安全審計(jì)內(nèi)容數(shù)據(jù)安全審計(jì)包括數(shù)據(jù)安全運(yùn)營審計(jì)、數(shù)據(jù)安全風(fēng)險(xiǎn)審計(jì)和數(shù)據(jù)安全事件審計(jì)，如圖1所示：風(fēng)險(xiǎn)監(jiān)控審計(jì)；2審計(jì)、后置評估審計(jì)、持續(xù)改進(jìn)審計(jì)。圖1數(shù)據(jù)安全審計(jì)模型數(shù)據(jù)安全審計(jì)方法人員審計(jì)方法、記錄審計(jì)方法和技術(shù)審計(jì)方法?？棛C(jī)構(gòu)設(shè)置、服務(wù)范圍及流程、管理制度、相關(guān)人員對數(shù)據(jù)安全的認(rèn)知水平等；員具有相應(yīng)的工作能力；可追溯；軟硬件工具、系統(tǒng)等。數(shù)據(jù)安全運(yùn)營審計(jì)數(shù)據(jù)采集安全審計(jì)數(shù)據(jù)采集安全審計(jì)目標(biāo)對數(shù)據(jù)的收集和獲取的全過程進(jìn)行審查，確保數(shù)據(jù)采集方法的合規(guī)性和安全性。數(shù)據(jù)安全分類分級組織審計(jì)組織機(jī)構(gòu)建設(shè)應(yīng)符合以下要求，包括但不限于：關(guān)職責(zé)；應(yīng)對相關(guān)人員制定并執(zhí)行相應(yīng)的數(shù)據(jù)安全培訓(xùn)，明確工作所需數(shù)據(jù)的分類分級和管理制度等。3人員審計(jì)對專業(yè)人員技術(shù)能力與業(yè)務(wù)能力進(jìn)行審計(jì)，包括但不限于：對負(fù)責(zé)數(shù)據(jù)安全管理的人員履職能力進(jìn)行檢查，包括管理能力、技術(shù)能力等；應(yīng)理解數(shù)據(jù)采集的分類分級要求，能夠?qū)?shù)據(jù)分類分級進(jìn)行合規(guī)性管理。文檔審計(jì)數(shù)據(jù)安全分類分級相關(guān)的文件和記錄審計(jì)，包括但不限于：數(shù)據(jù)安全分類分級相關(guān)文件，包括制定、規(guī)定、規(guī)則、管理策略等相關(guān)文件；數(shù)據(jù)安全分類分級日常管理記錄，包括表、本、冊等相關(guān)記錄；數(shù)據(jù)系統(tǒng)或數(shù)據(jù)安全系統(tǒng)日志及記錄，包括分類分級相關(guān)日志、記錄。技術(shù)審計(jì)采取技術(shù)的方式，檢查數(shù)據(jù)分類分級存儲和管理應(yīng)用等情況，包括但不限于：根據(jù)分類分級規(guī)則識別數(shù)據(jù)的分級使用情況；根據(jù)分類分級規(guī)則識別數(shù)據(jù)庫安全防護(hù)情況；根據(jù)分類分級規(guī)則審計(jì)數(shù)據(jù)的存儲情況。數(shù)據(jù)收集和獲取組織審計(jì)組織機(jī)構(gòu)建設(shè)應(yīng)符合以下要求，包括但不限于：應(yīng)設(shè)立相關(guān)崗位和人員，負(fù)責(zé)審核技術(shù)方案及實(shí)施監(jiān)督；方式、數(shù)據(jù)類型、涉及個(gè)人信息和重要數(shù)據(jù)的合規(guī)性要求等；應(yīng)建立安全策略變更的審核制度，做好數(shù)據(jù)采集的安全管理工作。人員審計(jì)專業(yè)人員技術(shù)能力與業(yè)務(wù)能力審計(jì)，包括但不限于：對數(shù)據(jù)采集相關(guān)工作人員進(jìn)行審計(jì)，確保負(fù)責(zé)人員具有相關(guān)工作能力；應(yīng)理解數(shù)據(jù)采集的合規(guī)要求、安全需求和業(yè)務(wù)需求，能夠針對不同的需求提出相應(yīng)解決方案。文檔審計(jì)數(shù)據(jù)采集和獲取的相關(guān)文件和記錄審計(jì)，包括但不限于：數(shù)據(jù)采集的原則、目的和用途等文件；數(shù)據(jù)采集的對象、范圍以及數(shù)據(jù)來源的可靠性與有效性說明文檔；數(shù)據(jù)采集的渠道、數(shù)據(jù)的格式以及相關(guān)的流程和方式；采集用戶數(shù)據(jù)時(shí)，與用戶簽訂的數(shù)據(jù)收集協(xié)議或隱私協(xié)議。技術(shù)審計(jì)對數(shù)據(jù)采集和獲取過程中涉及的接口、系統(tǒng)日志進(jìn)行分析，確認(rèn)數(shù)據(jù)采集范疇合規(guī)性。4ETL文檔審計(jì)數(shù)據(jù)ETL的相關(guān)文件和記錄審計(jì)，包括但不限于：ETL抽取、轉(zhuǎn)換和加載操作的相關(guān)安全管理規(guī)范；ETL抽取、轉(zhuǎn)換和加載工具平臺的相關(guān)日志；執(zhí)行的規(guī)則和方法、相關(guān)人員的權(quán)限等文件日志。技術(shù)審計(jì)數(shù)據(jù)ETL過程中涉及的技術(shù)審計(jì)，包括但不限于：對數(shù)據(jù)處理工具進(jìn)行審計(jì)，應(yīng)支持不同數(shù)據(jù)源、不同安全域之間數(shù)據(jù)訪問控制；對個(gè)人敏感信息、重要數(shù)據(jù)等處理技術(shù)進(jìn)行一致性檢測分析；數(shù)據(jù)庫審計(jì)和安全防護(hù)系統(tǒng)應(yīng)能夠同步覆蓋數(shù)據(jù)采集后發(fā)生變化的數(shù)據(jù)范圍。數(shù)據(jù)傳輸安全審計(jì)數(shù)據(jù)傳輸安全審計(jì)目標(biāo)對數(shù)據(jù)傳輸安全進(jìn)行審計(jì)，包括但不限于數(shù)據(jù)傳輸加密、數(shù)據(jù)傳輸端點(diǎn)安全、數(shù)據(jù)傳輸通道安全、數(shù)據(jù)傳輸訪問控制，確保數(shù)據(jù)在傳輸過程中的安全性。組織審計(jì)組織機(jī)構(gòu)建設(shè)應(yīng)符合以下要求，包括但不限于：應(yīng)設(shè)立相關(guān)崗位和人員，負(fù)責(zé)審核數(shù)據(jù)安全傳輸方案和技術(shù)方案的實(shí)施；定期對相關(guān)人員及管理人員進(jìn)行技術(shù)培訓(xùn)，及時(shí)掌握傳輸安全技術(shù)方案并進(jìn)行部署；應(yīng)建立安全策略變更的審核制度，做好數(shù)據(jù)傳輸接口的安全管理工作。人員審計(jì)專業(yè)人員技術(shù)能力與業(yè)務(wù)能力審計(jì)，包括但不限于：應(yīng)對相關(guān)技術(shù)人員能力進(jìn)行審計(jì)，確保其熟悉身份鑒別和認(rèn)證、數(shù)據(jù)加密等技術(shù)；能夠基于具體的業(yè)務(wù)場景選擇合適的數(shù)據(jù)傳輸方式，并具備制定場景化解決方案的能力。文檔審計(jì)數(shù)據(jù)傳輸形成的相關(guān)文件和記錄審計(jì)，包括但不限于：安全域內(nèi)、安全域間等數(shù)據(jù)傳輸場景的文檔記錄；數(shù)據(jù)傳輸場景的安全策略文檔，確保具備加密、阻斷等安全管控技術(shù)內(nèi)容。技術(shù)審計(jì)數(shù)據(jù)傳輸過程中涉及的技術(shù)審計(jì)，包括但不限于：應(yīng)采用滿足數(shù)據(jù)傳輸安全策略的相應(yīng)安全控制技術(shù)工具，包括安全通道、數(shù)據(jù)加密等；應(yīng)具備對傳輸通道兩端主體身份進(jìn)行鑒別和認(rèn)證的技術(shù)工具；應(yīng)具備對傳輸數(shù)據(jù)完整性進(jìn)行檢測的能力并擁有執(zhí)行恢復(fù)控制的措施。5數(shù)據(jù)存儲安全審計(jì)數(shù)據(jù)存儲安全審計(jì)目標(biāo)針對數(shù)據(jù)存儲的安全管理進(jìn)行審計(jì)，確保數(shù)據(jù)在存儲過程中不會(huì)遭到泄露或篡改。組織審計(jì)組織機(jī)構(gòu)建設(shè)應(yīng)符合以下要求，包括但不限于：應(yīng)設(shè)立負(fù)責(zé)數(shù)據(jù)存儲系統(tǒng)安全管理的崗位，落實(shí)安全管理的要求；護(hù)能力。人員審計(jì)專業(yè)人員技術(shù)能力與業(yè)務(wù)能力審計(jì)，包括但不限于：應(yīng)對相關(guān)技術(shù)人員能力進(jìn)行審計(jì)，確保其熟悉數(shù)據(jù)存儲加密、訪問控制等技術(shù)；能夠基于具體的業(yè)務(wù)場景選擇合適的數(shù)據(jù)存儲方式，并具備制定場景化解決方案的能力。文檔審計(jì)數(shù)據(jù)存儲的相關(guān)文件和記錄審計(jì)，包括但不限于：制定的數(shù)據(jù)存儲安全規(guī)則，應(yīng)滿足數(shù)據(jù)完整性、一致性和保密性要求；c)制定的各類數(shù)據(jù)存儲系統(tǒng)的安全配置文件、日志。技術(shù)審計(jì)數(shù)據(jù)存儲中涉及的技術(shù)審計(jì)，包括但不限于：c)制定的各類數(shù)據(jù)存儲系統(tǒng)的安全配置文件、日志。技術(shù)審計(jì)數(shù)據(jù)存儲中涉及的技術(shù)審計(jì)，包括但不限于：應(yīng)周期性地備份數(shù)據(jù)，實(shí)現(xiàn)對數(shù)據(jù)的冗余性管理，保證副本數(shù)據(jù)的有效性；應(yīng)基于數(shù)據(jù)存儲的安全性需求和合規(guī)性要求，建立數(shù)據(jù)訪問控制機(jī)制；對數(shù)據(jù)庫安全防護(hù)系統(tǒng)進(jìn)行審計(jì)，確保安全日志可溯源；應(yīng)采取數(shù)據(jù)安全加密技術(shù)及工具，確保存儲數(shù)據(jù)的合規(guī)性。數(shù)據(jù)處理安全審計(jì)數(shù)據(jù)處理安全審計(jì)目標(biāo)對于數(shù)據(jù)處理安全進(jìn)行審計(jì)，確保數(shù)據(jù)在處理過程中的安全性。數(shù)據(jù)分析管理組織和數(shù)據(jù)分析的安全機(jī)制，包括但不限于：應(yīng)建立數(shù)據(jù)分析審核流程機(jī)制，確保數(shù)據(jù)處理的安全性與合理性；應(yīng)設(shè)立數(shù)據(jù)分析相關(guān)崗位和人員，負(fù)責(zé)制定和實(shí)施數(shù)據(jù)安全分析管理規(guī)則。人員審計(jì)專業(yè)人員技術(shù)能力與業(yè)務(wù)能力審計(jì)，包括但不限于：審計(jì)相關(guān)人員對數(shù)據(jù)分析處理可能存在風(fēng)險(xiǎn)的掌握情況；6b)確認(rèn)相關(guān)人員有能力采取有效措施規(guī)避風(fēng)險(xiǎn)。文檔審計(jì)數(shù)據(jù)分析處理過程中的相應(yīng)文件和記錄審計(jì)，包括但不限于：數(shù)據(jù)分析安全管理規(guī)范、對外部分析需求的審核機(jī)制；數(shù)據(jù)分析操作日志，確保數(shù)據(jù)計(jì)算分析未超出許可范圍。技術(shù)審計(jì)數(shù)據(jù)分析過程中涉及的技術(shù)審計(jì)，包括但不限于：對數(shù)據(jù)分析處理過程中數(shù)據(jù)文件鑒別和訪問用戶身份認(rèn)證等技術(shù)進(jìn)行審計(jì)；對數(shù)據(jù)分析處理過程中的調(diào)用、處理的監(jiān)控措施進(jìn)行審計(jì)。數(shù)據(jù)脫敏管理的安全機(jī)制，包括但不限于：應(yīng)建立數(shù)據(jù)脫敏審核機(jī)制，確保數(shù)據(jù)脫敏處理的安全性與合理性；應(yīng)設(shè)立數(shù)據(jù)脫敏相關(guān)崗位和人員，負(fù)責(zé)制定和實(shí)施數(shù)據(jù)脫敏。人員審計(jì)審計(jì)相關(guān)人員對數(shù)據(jù)脫敏的合規(guī)性及組織內(nèi)部要求的掌握情況；確保相關(guān)人員有能力采取執(zhí)行數(shù)據(jù)脫敏操作及監(jiān)督。文檔審計(jì)審計(jì)相關(guān)人員對數(shù)據(jù)脫敏的合規(guī)性及組織內(nèi)部要求的掌握情況；確保相關(guān)人員有能力采取執(zhí)行數(shù)據(jù)脫敏操作及監(jiān)督。文檔審計(jì)數(shù)據(jù)脫敏處理中的相應(yīng)文件和記錄審計(jì)，包括但不限于：制定的數(shù)據(jù)脫敏規(guī)范或方案，明確不同分類分級數(shù)據(jù)的脫敏處理流程、規(guī)則和方式；數(shù)據(jù)脫敏的記錄，證明采取了適用的數(shù)據(jù)脫敏規(guī)則及方法。技術(shù)審計(jì)數(shù)據(jù)脫敏處理中涉及的技術(shù)審計(jì)，包括但不限于：審計(jì)數(shù)據(jù)脫敏工具，確保數(shù)據(jù)脫敏與數(shù)據(jù)處理權(quán)限的一致性；審計(jì)個(gè)人數(shù)據(jù)執(zhí)行去標(biāo)識化處理的措施。數(shù)據(jù)交換安全審計(jì)數(shù)據(jù)交換安全審計(jì)目標(biāo)對數(shù)據(jù)交換行為及相關(guān)記錄進(jìn)行審計(jì)，確保數(shù)據(jù)導(dǎo)入導(dǎo)出過程中數(shù)據(jù)安全性，包括數(shù)據(jù)交換規(guī)范、安全措施、人員能力、日志記錄等。數(shù)據(jù)交換安全管理的組織機(jī)構(gòu)審計(jì)，包括但不限于：7應(yīng)建有數(shù)據(jù)交換的審核流程，確保沒有超出授權(quán)使用范圍；應(yīng)建立數(shù)據(jù)交換安全管理崗位，負(fù)責(zé)執(zhí)行相關(guān)規(guī)范，監(jiān)督組織機(jī)構(gòu)內(nèi)的執(zhí)行情況。人員審計(jì)專業(yè)人員技術(shù)能力與業(yè)務(wù)能力審計(jì)，包括但不限于：審計(jì)相關(guān)人員對數(shù)據(jù)交換安全管理策略的掌握情況；審計(jì)相關(guān)人員在不同業(yè)務(wù)場景下執(zhí)行相應(yīng)安全策略的能力。文檔審計(jì)數(shù)據(jù)交換的相應(yīng)文件和記錄審計(jì)，包括但不限于：數(shù)據(jù)交換的管理規(guī)范，涉及數(shù)據(jù)類型、數(shù)據(jù)內(nèi)容、數(shù)據(jù)格式及分場景交換管理細(xì)則等；數(shù)據(jù)交換的安全策略，包括訪問控制策略、不一致處理策略、流程控制策略、審批策略等；數(shù)據(jù)導(dǎo)入導(dǎo)出的授權(quán)記錄、日記記錄等。技術(shù)審計(jì)數(shù)據(jù)交換過程中涉及的技術(shù)審計(jì)，包括但不限于：審計(jì)數(shù)據(jù)導(dǎo)入導(dǎo)出的訪問控制技術(shù)；審計(jì)敏感數(shù)據(jù)導(dǎo)入導(dǎo)出過程中采用的加密技術(shù)；審計(jì)數(shù)據(jù)交換過程中的身份鑒別技術(shù)；對數(shù)據(jù)交換安全審計(jì)系統(tǒng)、日志系統(tǒng)等進(jìn)行審查，確保數(shù)據(jù)使用的合規(guī)性；對數(shù)據(jù)交換的通信機(jī)制、通道、介質(zhì)等進(jìn)行技術(shù)審查。對數(shù)據(jù)交換安全審計(jì)系統(tǒng)、日志系統(tǒng)等進(jìn)行審查，確保數(shù)據(jù)使用的合規(guī)性；對數(shù)據(jù)交換的通信機(jī)制、通道、介質(zhì)等進(jìn)行技術(shù)審查。數(shù)據(jù)發(fā)布組織流程審計(jì)，包括但不限于：應(yīng)建有數(shù)據(jù)發(fā)布審核流程，確保沒有超出授權(quán)范圍發(fā)布；應(yīng)建立數(shù)據(jù)發(fā)布安全管理崗位，負(fù)責(zé)管理發(fā)布工作，監(jiān)督組織機(jī)構(gòu)內(nèi)的執(zhí)行情況。人員審計(jì)專業(yè)人員技術(shù)能力與業(yè)務(wù)能力審計(jì)，包括但不限于：審計(jì)相關(guān)人員對數(shù)據(jù)發(fā)布制度及審批流程的掌握情況；確認(rèn)相關(guān)人員有能力采取執(zhí)行數(shù)據(jù)發(fā)布操作或監(jiān)督執(zhí)行。文檔審計(jì)數(shù)據(jù)發(fā)布的相應(yīng)技術(shù)文檔與記錄審計(jì)，包括但不限于：數(shù)據(jù)資源公開發(fā)布的目錄；數(shù)據(jù)資源公開發(fā)布的審核記錄；數(shù)據(jù)資源公開發(fā)布的相關(guān)通知、公告、說明、文檔等。技術(shù)審計(jì)數(shù)據(jù)發(fā)布過程中涉及的技術(shù)審計(jì)，包括但不限于：8對數(shù)據(jù)發(fā)布平臺中的訪問控制技術(shù)進(jìn)行審計(jì)；對數(shù)據(jù)發(fā)布平臺中的審核流程模塊進(jìn)行審計(jì)。數(shù)據(jù)銷毀安全審計(jì)數(shù)據(jù)銷毀安全審計(jì)目標(biāo)對數(shù)據(jù)的銷毀進(jìn)行審計(jì)，包括軟件刪除和硬件銷毀兩部分，確保數(shù)據(jù)刪除和銷毀后不可恢復(fù)。數(shù)據(jù)刪除組織審計(jì)數(shù)據(jù)刪除組織流程審計(jì)，包括但不限于：應(yīng)建有數(shù)據(jù)刪除審核流程，確保沒有超出授權(quán)范圍刪除；應(yīng)建立數(shù)據(jù)刪除安全管理崗位，負(fù)責(zé)數(shù)據(jù)刪除工作，監(jiān)督組織機(jī)構(gòu)內(nèi)的執(zhí)行情況。人員審計(jì)專業(yè)人員技術(shù)能力與業(yè)務(wù)能力審計(jì)，包括但不限于：審計(jì)相關(guān)人員對數(shù)據(jù)刪除流程的掌握情況；確認(rèn)相關(guān)人員有能力采取執(zhí)行數(shù)據(jù)刪除操作或監(jiān)督執(zhí)行。文檔審計(jì)數(shù)據(jù)刪除過程中涉及的文件和記錄審計(jì)，包括但不限于：數(shù)據(jù)刪除過程中涉及的文件和記錄審計(jì)，包括但不限于：數(shù)據(jù)刪除的管理制度，明確刪除范圍、刪除驗(yàn)證方式，確保不能恢復(fù)已被刪除數(shù)據(jù)；數(shù)據(jù)刪除操作的相應(yīng)日志。技術(shù)審計(jì)數(shù)據(jù)刪除過程中涉及的技術(shù)審計(jì)，包括但不限于：對數(shù)據(jù)刪除的技術(shù)工具的有效性進(jìn)行審計(jì)；對數(shù)據(jù)刪除中的審核流程模塊進(jìn)行審計(jì)。介質(zhì)銷毀組織審計(jì)介質(zhì)銷毀組織流程審計(jì)，包括但不限于：應(yīng)建有介質(zhì)銷毀管理制度及審核流程，確保沒有超出授權(quán)范圍銷毀；應(yīng)建立介質(zhì)銷毀安全管理崗位，負(fù)責(zé)介質(zhì)銷毀工作，監(jiān)督組織機(jī)構(gòu)內(nèi)的執(zhí)行情況。人員審計(jì)專業(yè)人員技術(shù)能力與業(yè)務(wù)能力審計(jì)，包括但不限于：審計(jì)相關(guān)人員對介質(zhì)銷毀流程的掌握情況；確保相關(guān)人員有能力采取執(zhí)行介質(zhì)銷毀操作或監(jiān)督執(zhí)行。文檔審計(jì)介質(zhì)銷毀過程中涉及的相應(yīng)文件和記錄審計(jì)，包括但不限于：9介質(zhì)銷毀的管理制度，應(yīng)明確介質(zhì)銷毀判定策略、范圍和流程；介質(zhì)銷毀的監(jiān)管機(jī)制，應(yīng)有對銷毀介質(zhì)登記、審批、交接等介質(zhì)銷毀過程記錄；介質(zhì)銷毀操作的記錄。6.6.3.4技術(shù)審計(jì)對介質(zhì)銷毀工具進(jìn)行審計(jì)，包括物理摧毀、消磁設(shè)備等工具的有效性。數(shù)據(jù)安全風(fēng)險(xiǎn)審計(jì)組織審計(jì)數(shù)據(jù)安全風(fēng)險(xiǎn)管理組織流程審計(jì)，包括但不限于：應(yīng)建有數(shù)據(jù)安全風(fēng)險(xiǎn)管理制度，明確風(fēng)險(xiǎn)識別、評估、應(yīng)對、監(jiān)控、措施等；應(yīng)建有數(shù)據(jù)安全風(fēng)險(xiǎn)防控流程，明確對不同風(fēng)險(xiǎn)等級的風(fēng)險(xiǎn)防控措施、流程；應(yīng)建立數(shù)據(jù)安全風(fēng)險(xiǎn)管理崗位，明確風(fēng)險(xiǎn)管理工作任務(wù)，監(jiān)督組織機(jī)構(gòu)內(nèi)的執(zhí)行情況。人員審計(jì)專業(yè)人員技術(shù)能力與業(yè)務(wù)能力審計(jì)，包括但不限于：審計(jì)相關(guān)人員對數(shù)據(jù)安全風(fēng)險(xiǎn)管理制度、風(fēng)險(xiǎn)評估合規(guī)性等內(nèi)容的掌握情況；確保相關(guān)人員有能力執(zhí)行數(shù)據(jù)安全風(fēng)險(xiǎn)管理相關(guān)工作，能夠應(yīng)對風(fēng)險(xiǎn)提出有效解決方案。文檔審計(jì)文檔審計(jì)對數(shù)據(jù)安全風(fēng)險(xiǎn)管理涉及的制度、文件、工作記錄等內(nèi)容的審計(jì)。風(fēng)險(xiǎn)識別審計(jì)對數(shù)據(jù)安全風(fēng)險(xiǎn)識別的記錄、報(bào)告等進(jìn)行審計(jì)，確保其能夠有效識別組織內(nèi)部及外部風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評估審計(jì)風(fēng)險(xiǎn)工作建議的有效性、針對性。風(fēng)險(xiǎn)應(yīng)對審計(jì)審計(jì)數(shù)據(jù)安全風(fēng)險(xiǎn)分級應(yīng)對策略、研判工作記錄、應(yīng)急指揮記錄。風(fēng)險(xiǎn)監(jiān)控審計(jì)應(yīng)建立科學(xué)完善的風(fēng)險(xiǎn)策略和管控流程，確保數(shù)據(jù)全生命周期的風(fēng)險(xiǎn)管控具有制度保障。風(fēng)險(xiǎn)策略應(yīng)用審計(jì)安全風(fēng)險(xiǎn)。10數(shù)據(jù)安全事件審計(jì)組織審計(jì)數(shù)據(jù)安全事件組織管理審計(jì)，包括但不限于：應(yīng)建有數(shù)據(jù)安全事件管理制度，明確事件定級評估、應(yīng)急人員、處置措施和應(yīng)急工具等；應(yīng)建立數(shù)據(jù)安全事件處置的指揮體系，明確管理組織架構(gòu)、應(yīng)急技術(shù)隊(duì)伍架構(gòu)；應(yīng)建立數(shù)據(jù)安全事件處置崗位，明確工作任務(wù)。人員審計(jì)專業(yè)人員技術(shù)能力與業(yè)務(wù)能力審計(jì)，包括但不限于：審計(jì)相關(guān)人員對數(shù)據(jù)安全事件管理制度、事件定級、應(yīng)急流程、處置措施等內(nèi)容的掌握情況；確保相關(guān)人員有能力執(zhí)行數(shù)據(jù)安全事件處置相關(guān)工作，評估其專業(yè)能力和安全意識。文檔審計(jì)對數(shù)據(jù)安全事件涉及的制度、報(bào)告、工作記錄等內(nèi)容的審計(jì)。預(yù)案規(guī)劃審計(jì)對數(shù)據(jù)安全事件應(yīng)急預(yù)案內(nèi)容進(jìn)行審計(jì)，確保預(yù)案的操作性、時(shí)效性，包括