數(shù)據(jù)安全審計

數(shù)據(jù)安全審計

伴隨互聯(lián)網(wǎng)、云計算、移動互聯(lián)網(wǎng)等新技術(shù)的迅猛

發(fā)展，無處不在的移動設(shè)備、無線傳感器等設(shè)備以及

數(shù)以億計的互聯(lián)網(wǎng)用戶和企業(yè)產(chǎn)生的消費數(shù)據(jù)及經(jīng)營

數(shù)據(jù)使得各類信息呈現(xiàn)爆炸式增長。同時，數(shù)據(jù)的高

度集中，共享開放和交叉使用以及數(shù)據(jù)流動的趨勢也

在不斷加劇。組織由于數(shù)據(jù)管理、安全隔離、訪問控

制及數(shù)據(jù)加密等措施不充分而面臨的網(wǎng)絡(luò)入侵和信息

泄露風(fēng)險越來越大。

一旦數(shù)據(jù)的機(jī)密性、完善性和可用性受到損害，

將不能支撐組織業(yè)務(wù)的健康運行；隨著網(wǎng)絡(luò)安全法的

實施，國家對重要業(yè)務(wù)數(shù)據(jù)和個人敏感信息保護(hù)的力

度也在加強(qiáng)，數(shù)據(jù)安全的違規(guī)成本已越來越高。因

此，數(shù)據(jù)安全是數(shù)字經(jīng)濟(jì)時代生產(chǎn)力要素的必要屬

性，持續(xù)性開展數(shù)據(jù)安全審計已成為信息系統(tǒng)審計的

重要內(nèi)容。

本節(jié)所涉及的數(shù)據(jù)包括了日常數(shù)據(jù)和大數(shù)據(jù)（按結(jié)

構(gòu)化程度和數(shù)據(jù)規(guī)模）、個人信息和重要數(shù)據(jù)（按數(shù)

據(jù)對象類型）的相關(guān)內(nèi)容。本節(jié)將從數(shù)據(jù)安全治理、

數(shù)據(jù)安全管理、數(shù)據(jù)生命周期安全管理、個人信息安

全管理、重要數(shù)據(jù)安全管理、數(shù)據(jù)平臺與技術(shù)安全管

理等方面對數(shù)據(jù)安全的審計方法和步驟進(jìn)行描述。

一、數(shù)據(jù)安全治理審計

（一）業(yè)務(wù)概述

數(shù)據(jù)是指對客觀事件進(jìn)行記錄并可以鑒別的符號，

是對客觀事物的性質(zhì)、狀態(tài)以及相互關(guān)系等進(jìn)行記載

的物理符號或這些物理符號的組合。

數(shù)據(jù)安全風(fēng)險涉及面較廣，既體現(xiàn)在組織在治理層

面的治理風(fēng)險，還體現(xiàn)在數(shù)據(jù)在其生命周期和服務(wù)過程

中的管理風(fēng)險，以及伴隨的個人信息和重要數(shù)據(jù)等敏感

信息泄露和跨境流通風(fēng)險。

（二）審計目標(biāo)和內(nèi)容

1.董事會的職責(zé)

該控制項旨在從組織的治理層面，檢查組織是否將

數(shù)據(jù)的安全治理工作納入組織治理工作范疇，建立健全

包括風(fēng)險管理和數(shù)據(jù)安全審計監(jiān)督在內(nèi)的架構(gòu)體系，從

而完善數(shù)據(jù)的安全合規(guī)管理。

2.戰(zhàn)略規(guī)劃與價值實現(xiàn)

該控制項旨在檢查組織是否依據(jù)董事會所明確的數(shù)

據(jù)安全治理目標(biāo)制定相關(guān)的安全戰(zhàn)略。

3.數(shù)據(jù)安全合規(guī)管理

該控制項旨在檢查組織是否基于數(shù)據(jù)安全戰(zhàn)略規(guī)

劃，建立健全數(shù)據(jù)安全管理制度體系，滿足合規(guī)監(jiān)管要

求。

4.數(shù)據(jù)風(fēng)險管理

該控制項旨在檢查組織是否從數(shù)據(jù)、人員、產(chǎn)品與

服務(wù)等方面，建立并完善數(shù)據(jù)安全風(fēng)險管理體系，并將

其納入組織風(fēng)險管理體系當(dāng)中。

5.數(shù)據(jù)安全審計監(jiān)督

該控制項旨在檢查組織是否將數(shù)據(jù)的安全審計工作

納入到組織的安全審計體系范疇內(nèi)，建立并完善針對數(shù)

據(jù)安全審計的專項工作。

（三）常見問題和風(fēng)險

1.未建立數(shù)據(jù)安全治理組織架構(gòu)及職責(zé)，無法自上

而下推動相關(guān)數(shù)據(jù)安全治理工作的有序開展。

2.未建立組織級數(shù)據(jù)戰(zhàn)略規(guī)劃，無法有效覆蓋網(wǎng)絡(luò)

安全法及等級保護(hù)等相關(guān)法規(guī)與標(biāo)準(zhǔn)的要求，無法指明

數(shù)據(jù)整體的發(fā)展目標(biāo)和規(guī)劃，不利于數(shù)據(jù)長遠(yuǎn)發(fā)展。

3.未制定數(shù)據(jù)安全相關(guān)管理制度及流程，導(dǎo)致數(shù)據(jù)

安全管控要求無法有效落實。

4.數(shù)據(jù)安全風(fēng)險評估執(zhí)行不到位，未識別出重要的

數(shù)據(jù)安全風(fēng)險，不利于數(shù)據(jù)安全治理體系的持續(xù)優(yōu)化。

（四）審計的主要方法和程序

1.董事會的職責(zé)

(1)檢查組織董事會和執(zhí)行管理部門職責(zé)，是否將

數(shù)據(jù)安全治理工作納入到組織綜合治理工作范疇當(dāng)中，

明確數(shù)據(jù)安全治理職責(zé)并對其安全治理予以承諾和支

持，從戰(zhàn)略、組織、架構(gòu)和實施等多個環(huán)節(jié)提供保

障。

(2)查閱組織數(shù)據(jù)治理的規(guī)章制度，明確數(shù)據(jù)安全

治理需要達(dá)到的目標(biāo)和定位，判斷其治理目標(biāo)是否與組

織戰(zhàn)略、業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)目標(biāo)、業(yè)務(wù)需求相一致。

(3)檢查組織是否建立跨部門的數(shù)據(jù)安全管理委員

會和風(fēng)險管理委員會，明確安全治理的角色和責(zé)任。

(4)檢查組織是否建立基于滿足業(yè)務(wù)戰(zhàn)略的數(shù)據(jù)架

構(gòu)，并進(jìn)行持續(xù)的評估、監(jiān)督和改進(jìn)。

(5)訪談組織信息科技治理負(fù)責(zé)人，了解組織是否

已經(jīng)或即將部署云服務(wù)平臺，以及是否將基于云平臺中

的數(shù)據(jù)安全治理列入主要治理目標(biāo)和任務(wù)當(dāng)中。

2.戰(zhàn)略規(guī)劃與價值實現(xiàn)

(1)訪談戰(zhàn)略規(guī)劃負(fù)責(zé)人或查閱組織經(jīng)營戰(zhàn)略規(guī)

劃，判斷數(shù)據(jù)戰(zhàn)略規(guī)劃是否滿足經(jīng)營戰(zhàn)略需要。(經(jīng)營

戰(zhàn)略一致性)

(2)查閱組織數(shù)據(jù)戰(zhàn)略規(guī)劃，判斷其戰(zhàn)略內(nèi)容是否

與組織數(shù)據(jù)治理目標(biāo)相一致，檢查內(nèi)容上是否包括數(shù)據(jù)

服務(wù)戰(zhàn)略、數(shù)據(jù)平臺與應(yīng)用戰(zhàn)略，且戰(zhàn)略規(guī)劃內(nèi)容是否

涉及數(shù)據(jù)安全，體現(xiàn)《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級保

護(hù)等制度對于數(shù)據(jù)安全的相關(guān)要求。

(3)訪談信息系統(tǒng)戰(zhàn)略規(guī)劃負(fù)責(zé)人，了解組織信息

化及信息安全戰(zhàn)略規(guī)劃要求，判斷數(shù)據(jù)安全戰(zhàn)略是否與

信息系統(tǒng)安全戰(zhàn)略和需求相一致。(信息系統(tǒng)安全戰(zhàn)略

一致性)

(4)查閱數(shù)據(jù)安全戰(zhàn)略規(guī)劃，判斷其從內(nèi)容上是否

體現(xiàn)組織對于個人信息(隱私)保護(hù)和重要數(shù)據(jù)保護(hù)治

理方面的要求。

3.數(shù)據(jù)安全合規(guī)管理

(1)查閱組織制定的與數(shù)據(jù)管理相關(guān)的制度與規(guī)

范，從而判斷其是否符合數(shù)據(jù)安全相關(guān)的政策、法律、

法規(guī)等各項監(jiān)管要求。

(2)檢查組織的數(shù)據(jù)安全管理相關(guān)制度與規(guī)范，查

看其內(nèi)容是否涵蓋國家和社會生產(chǎn)的重要數(shù)據(jù)的安全管

理要求，個人信息的保護(hù)要求，數(shù)據(jù)跨境傳輸與共享的

安全管理要求，以及密碼使用要求。

4.數(shù)據(jù)風(fēng)險管理

訪談組織風(fēng)險管理負(fù)責(zé)人，詢問組織是否將數(shù)據(jù)風(fēng)

險管理納入組織風(fēng)險管理體系當(dāng)中，重點突出數(shù)據(jù)、人

員、產(chǎn)品/服務(wù)三個方面，并建立數(shù)據(jù)安全內(nèi)控體系；

數(shù)據(jù)方面，以數(shù)據(jù)生命周期為出發(fā)點，識別全周期面臨

的威脅和自身脆弱性，分析數(shù)據(jù)服務(wù)安全風(fēng)險和應(yīng)對措

施需求；人員方面，基于數(shù)據(jù)安全管理需要，基于員工

日常數(shù)據(jù)操作行為，識別風(fēng)險并建立風(fēng)險量化機(jī)制和信

息安全評價指標(biāo)體系；產(chǎn)品/服務(wù)方面，以對個人信息

和重要數(shù)據(jù)保護(hù)為目的，構(gòu)建產(chǎn)品/服務(wù)提供商在組

織、規(guī)范、設(shè)計、流程、監(jiān)控等一系列的安全風(fēng)險評價

體系和控制機(jī)制。

5.數(shù)據(jù)安全審計監(jiān)督

(1)訪談組織審計負(fù)責(zé)人，詢問組織是否將數(shù)據(jù)安

全管理審計納入到組織安全審計管理體系內(nèi)。

(2)訪談組織審計負(fù)責(zé)人或信息安全審計負(fù)責(zé)人，

了解組織是否建立負(fù)責(zé)數(shù)據(jù)安全監(jiān)督與審計管理的職能

機(jī)構(gòu)及制度與規(guī)范，了解組織對數(shù)據(jù)服務(wù)及其用戶操作

行為審計的方法和內(nèi)容。

(3)查閱組織有關(guān)數(shù)據(jù)安全審計的制度和規(guī)范，了

解針對數(shù)據(jù)安全審計的方法、頻率和周期，并查閱相關(guān)

審計報告。

二、數(shù)據(jù)安全管理審計

(一)業(yè)務(wù)概述

數(shù)據(jù)安全管理是指保護(hù)數(shù)據(jù)免受威脅的影響，確保

業(yè)務(wù)的連續(xù)性，降低業(yè)務(wù)可能面臨的風(fēng)險，為業(yè)務(wù)部門

提供有力保障。

(二)審計目標(biāo)和內(nèi)容

1.數(shù)據(jù)安全組織管理

該控制項旨在檢查組織為落實數(shù)據(jù)安全治理工作及

其戰(zhàn)略規(guī)劃，是否從組織層面設(shè)置跨部門的數(shù)據(jù)安全管

理機(jī)構(gòu)及負(fù)責(zé)人，明確安全管理職責(zé)。

2.人員與意識管理

該控制項旨在基于組織對數(shù)據(jù)安全管理的要求和需

求，從人員安全管理、資源建設(shè)與技能培養(yǎng)、職責(zé)落實

與考核等三方面進(jìn)行檢查，判斷人員綜合管理的落實情

況。

3.制度與規(guī)范管理

該控制項旨在從制度層面檢查組織是否制定并完善

數(shù)據(jù)安全管理的制度體系及其落實情況。

4.元數(shù)據(jù)安全管理

該控制項旨在從元數(shù)據(jù)的安全管理角度，檢查組織

是否建立完善的元數(shù)據(jù)安全管理規(guī)范，并從技術(shù)層面予

以安全保障。

5.數(shù)據(jù)及平臺（系統(tǒng)）管理

該控制項旨在從數(shù)據(jù)平臺（系統(tǒng)）管理角度，檢查

組織是否對平臺（系統(tǒng)）及其管理之下的數(shù)據(jù)制定相應(yīng)

的安全規(guī)范與標(biāo)準(zhǔn)，實現(xiàn)統(tǒng)一管理，并與組織經(jīng)營戰(zhàn)略

中的安全需求相一致。

6.服務(wù)接口安全管理

該控制項旨在從服務(wù)接口角度，檢查組織是否完善

接口安全管理的制度和規(guī)范，并用技術(shù)手段保障接口間

數(shù)據(jù)傳輸?shù)陌踩浴?/p>

7.數(shù)據(jù)供應(yīng)鏈安全管理

該控制項旨在從供應(yīng)鏈安全管理角度，檢查組織在

存在上下游數(shù)據(jù)交換的前提下，制定相關(guān)管理規(guī)范，滿

足合規(guī)監(jiān)管要求。

8.數(shù)據(jù)安全審計管理

該控制項旨在從審計角度，檢查組織是否落實數(shù)據(jù)

安全審計與監(jiān)督的要求，對組織的數(shù)據(jù)服務(wù)開展安全審

計，同時確保國家對于日志管理的安全合規(guī)要求。

（三）常見問題和風(fēng)險

L數(shù)據(jù)安全組織架構(gòu)及責(zé)任人缺失，導(dǎo)致數(shù)據(jù)安全

管控要求無法落實。

2.未定期開展數(shù)據(jù)安全意識宣貫，由于安全意識不

足，導(dǎo)致數(shù)據(jù)不經(jīng)意的泄露。

3?元數(shù)據(jù)安全管控不到位，導(dǎo)致元數(shù)據(jù)血緣關(guān)系模

糊、可追溯性不強(qiáng)，影響元數(shù)據(jù)與數(shù)據(jù)標(biāo)準(zhǔn)的結(jié)合。

4.未部署數(shù)據(jù)管控平臺，無法對數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)

量、元數(shù)據(jù)進(jìn)行規(guī)范化管控和技術(shù)實現(xiàn)。

5.數(shù)據(jù)服務(wù)接口與應(yīng)用在其內(nèi)部跨安全域間的接口

調(diào)用未采用包括安全通道、加密傳輸?shù)劝踩珯C(jī)制可能帶

來的風(fēng)險。

6.未建立數(shù)據(jù)供應(yīng)鏈安全管理方針，無法落實上下

游供應(yīng)鏈間數(shù)據(jù)交換和使用的要求，不利于供應(yīng)商之間

的數(shù)據(jù)交換與共享。

（四）審計的主要方法和程序

1.數(shù)據(jù)安全組織管理

(1)訪談組織人力管理部門或信息安全管理部門負(fù)

責(zé)人，了解組織是否設(shè)置專門的數(shù)據(jù)安全管理機(jī)構(gòu)和責(zé)

任人及其相關(guān)的部門和崗位。

(2)訪談數(shù)據(jù)安全管理機(jī)構(gòu)負(fù)責(zé)人，了解組織目前

是否制定與數(shù)據(jù)安全相關(guān)的包括數(shù)據(jù)服務(wù)安全追責(zé)在內(nèi)

的規(guī)章制度，并定期對責(zé)任部門和安全崗位組織安全檢

查，形成檢查報告；組織目前數(shù)據(jù)及其服務(wù)平臺與應(yīng)用

的安全規(guī)劃、安全建設(shè)、安全運營和系統(tǒng)維護(hù)工作整體

情況；組織是否清楚地界定服務(wù)提供者、數(shù)據(jù)使用者

(包括終端用戶與設(shè)備)；是否設(shè)置專職的數(shù)據(jù)服務(wù)安

全崗位，建立規(guī)范化的數(shù)據(jù)服務(wù)安全保護(hù)、評估及考核

專職隊伍。

2.人員安全管理

(1)訪談人力資源管理和數(shù)據(jù)安全管理負(fù)責(zé)人，了

解組織是否基于數(shù)據(jù)生命周期各階段數(shù)據(jù)服務(wù)和系統(tǒng)服

務(wù)相關(guān)的工作范疇和安全管控措施，制定數(shù)據(jù)服務(wù)人力

資源安全策略。

(2)訪談數(shù)據(jù)安全管理負(fù)責(zé)人，了解是否明確數(shù)據(jù)

服務(wù)相關(guān)重要崗位及其角色安全要求，建立重要崗位角

色清單和授權(quán)機(jī)制。

(3)訪談人力資源管理負(fù)責(zé)人，是否就數(shù)據(jù)安全管

理的關(guān)鍵崗位做好人力資源培養(yǎng)和儲備工作。

(4)訪談人力資源管理負(fù)責(zé)人，是否在組織內(nèi)部針

對所有接觸個人信息和重要數(shù)據(jù)等敏感信息的全職員工

簽署保密協(xié)議，知曉組織對于數(shù)據(jù)安全管理的規(guī)范制度

與操作須知，并抽檢保密協(xié)議和制度知曉的記錄。

(5)訪談人力資源管理負(fù)責(zé)人，了解組織是否建

立第三方人員安全管理制度，對接觸個人信息、重要

數(shù)據(jù)等數(shù)據(jù)的人員進(jìn)行審批和登記，并要求簽署保密

協(xié)議，定期對這些人員行為進(jìn)行安全審查，并調(diào)閱相

關(guān)管理制度、保密協(xié)議和歷史審批與登記記錄。

(6)檢查組織是否建立數(shù)據(jù)安全教育培訓(xùn)機(jī)制，

分別針對數(shù)據(jù)操作人、數(shù)據(jù)安全管理人員和第三方人

員制定培訓(xùn)計劃，并定期對全員，特別是關(guān)鍵崗位人

員進(jìn)行能力檢查和考核，考核應(yīng)納入到個人與組織的

績效考核體系當(dāng)中，查閱教育培訓(xùn)與考核的歷史記

錄。

3.制度與規(guī)范管理

(1)調(diào)閱并檢查組織是否制定包括數(shù)據(jù)服務(wù)在內(nèi)

的數(shù)據(jù)安全管理制度和規(guī)范、數(shù)據(jù)分類分級規(guī)范和標(biāo)

準(zhǔn)、數(shù)據(jù)安全人員能力要求及向第三方提供或共享數(shù)

據(jù)時的安全管理制度和標(biāo)準(zhǔn)，其中，制度在范圍上應(yīng)

覆蓋數(shù)據(jù)全生命周期。

(2)檢查制度和標(biāo)準(zhǔn)是否得到定期評審和更新，

并分發(fā)至機(jī)構(gòu)數(shù)據(jù)服務(wù)部門和操作人員，抽樣訪談數(shù)

據(jù)操作和管理人員，了解其對制度規(guī)范的知曉情況并

查閱制度規(guī)范的更新記錄。

4?元數(shù)據(jù)安全管理

(1)檢查組織是否建立與數(shù)據(jù)服務(wù)相關(guān)的元數(shù)據(jù)

及其管理規(guī)范、與數(shù)據(jù)服務(wù)安全架構(gòu)相應(yīng)的安全元數(shù)

據(jù)管理規(guī)范和數(shù)據(jù)訪問控制策略，從而明確元數(shù)據(jù)管

理角色及其授權(quán)控制機(jī)制和查詢限制。

(2)檢查元數(shù)據(jù)的安全管理制度和規(guī)范是否包

括：依據(jù)資產(chǎn)分類分級策略所建立的元數(shù)據(jù)安全屬性

的自動/手工分級機(jī)制；可依據(jù)元數(shù)據(jù)安全屬性建立標(biāo)

記的策略及標(biāo)記定義和管理機(jī)制。

(3)檢查組織是否從技術(shù)手段上實現(xiàn)：對表字

段、表與上下游表的血緣關(guān)系查詢進(jìn)行安全設(shè)置和查

詢限制?？蓪Ρ碓L問操作權(quán)限進(jìn)行限制。

(4)檢查組織是否建立針對元數(shù)據(jù)操作的審計制

度，并確保對元數(shù)據(jù)的操作具有可追溯性。

5.數(shù)據(jù)及平臺(系統(tǒng))管理

(1)檢查組織是否建立數(shù)據(jù)資產(chǎn)安全管理規(guī)范和

數(shù)據(jù)資產(chǎn)分類、分級方法、標(biāo)準(zhǔn)、操作指南、數(shù)據(jù)資

產(chǎn)分類分級變更審批流程，并對其進(jìn)行定期審核和更

新。

(2)檢查組織是否對數(shù)據(jù)資產(chǎn)實施登記制度，其

應(yīng)明確數(shù)據(jù)資產(chǎn)管理相關(guān)方及管理責(zé)任、數(shù)據(jù)資產(chǎn)管

理范圍和屬性，并調(diào)閱數(shù)據(jù)資產(chǎn)登記目錄清單。

(3)檢查組織是否在技術(shù)上建立綜合的數(shù)據(jù)管理

平臺或系統(tǒng)，實現(xiàn)對數(shù)據(jù)資產(chǎn)的統(tǒng)一管理，包括：是

否制定數(shù)據(jù)系統(tǒng)平臺資產(chǎn)安全管理規(guī)范，并明確安全

管理的目標(biāo)和原則；數(shù)據(jù)系統(tǒng)平臺的規(guī)劃和建設(shè)應(yīng)與

組織經(jīng)營戰(zhàn)略和平臺(系統(tǒng))全生命周期的安全需求

相一致。可依據(jù)數(shù)據(jù)資產(chǎn)和數(shù)據(jù)主體安全分級要求建

立相應(yīng)的標(biāo)記策略、訪問控制、數(shù)據(jù)加解密、數(shù)據(jù)脫

敏等安全機(jī)制和管控措施。

6.服務(wù)接口安全管理

(1)檢查組織是否制定與數(shù)據(jù)服務(wù)接口安全管理

有關(guān)的控制策略和安全規(guī)范。

(2)檢查組織的數(shù)據(jù)平臺與應(yīng)用在其內(nèi)部跨安全

域間的接口調(diào)用是否采用包括安全通道、加密傳輸?shù)?/p>

安全機(jī)制。

7.數(shù)據(jù)供應(yīng)鏈安全管理

(1)訪談組織數(shù)據(jù)管理部門負(fù)責(zé)人，了解組織目

前是否存在數(shù)據(jù)供應(yīng)鏈上下游間數(shù)據(jù)交換和使用的現(xiàn)

象，若存在，則了解并查看：組織是否建立與數(shù)據(jù)供

應(yīng)鏈安全管理有關(guān)的規(guī)范和安全方針，其應(yīng)明確數(shù)據(jù)

供應(yīng)鏈安全目標(biāo)、原則和范圍，并對其進(jìn)行查閱；組

織是否識別并建立數(shù)據(jù)供應(yīng)鏈上下游間數(shù)據(jù)交換和使

用的合規(guī)要求及合規(guī)目錄，從而確保其數(shù)據(jù)交換和使

用的合規(guī)；建立數(shù)據(jù)供應(yīng)鏈目錄和相關(guān)數(shù)據(jù)源數(shù)據(jù)字

典，明確數(shù)據(jù)供應(yīng)鏈的責(zé)任部門和人員。

(2)查閱組織與上下游數(shù)據(jù)供應(yīng)鏈服務(wù)商簽署的

合作協(xié)議，檢查協(xié)議是否：明確數(shù)據(jù)供應(yīng)鏈上下游責(zé)

任和義務(wù)，并檢查是否采用安全技術(shù)保障措施確保數(shù)據(jù)

供應(yīng)鏈上下游對數(shù)據(jù)交換、使用的安全、可靠與合

規(guī)；明確數(shù)據(jù)供應(yīng)鏈中數(shù)據(jù)的使用目的、供應(yīng)方式、

保密約定等內(nèi)容。

(3)檢查組織是否對數(shù)據(jù)供應(yīng)鏈上下游的數(shù)據(jù)服

務(wù)提供者和數(shù)據(jù)使用者的行為進(jìn)行合規(guī)性審核和分

析，并查閱相關(guān)記錄和報告。

8.數(shù)據(jù)安全審計管理

(1)訪談組織負(fù)責(zé)數(shù)據(jù)審計的負(fù)責(zé)人，詢問組織

是否明確對于數(shù)據(jù)安全審計的要求、審計范圍、審計

方式。

(2)訪談組織負(fù)責(zé)數(shù)據(jù)審計的負(fù)責(zé)人，詢問對數(shù)

據(jù)服務(wù)平臺(系統(tǒng))部署審計產(chǎn)品，登錄安全審計產(chǎn)

品并查看審計日志是否完整，其保存期限是否符合國

家強(qiáng)制要求并具有防篡改的功能。

(3)查閱歷史審計報告，了解審計對象是否包括

與數(shù)據(jù)相關(guān)的物理環(huán)境、網(wǎng)絡(luò)傳輸、平臺/系統(tǒng)、數(shù)據(jù)

庫及存儲介質(zhì)，以及基于數(shù)據(jù)平臺/提供者，數(shù)據(jù)提供

者，服務(wù)提供者和內(nèi)部服務(wù)/數(shù)據(jù)使用者針對主要操

作、敏感行為、敏感數(shù)據(jù)流通等安全事件。

三、數(shù)據(jù)生命周期安全管理審計

（一）業(yè)務(wù)概述

數(shù)據(jù)生命周期管理是指在數(shù)據(jù)采集、傳輸、存儲、

處理、交換（共享、應(yīng)用）、銷毀等階段下對流動的

數(shù)據(jù)進(jìn)行綜合管理。

（二）審計目標(biāo)和內(nèi)容

1.數(shù)據(jù)收集

該控制項旨在針對數(shù)據(jù)收集過程，檢查組織是否依

據(jù)收集數(shù)據(jù)的敏感性對其進(jìn)行數(shù)據(jù)標(biāo)識，從而基于該

標(biāo)識進(jìn)行后續(xù)數(shù)據(jù)操作處理的監(jiān)控。

2.數(shù)據(jù)傳輸

該控制項旨在針對數(shù)據(jù)傳輸過程，檢查組織是否根

據(jù)傳輸過程的安全性劃分安全域，并根據(jù)安全域的級

別采取相應(yīng)的安全控制措施，防范數(shù)據(jù)遭受竊聽或泄

露，確保數(shù)據(jù)的完整性。

3.數(shù)據(jù)存儲與恢復(fù)

該控制項旨在針對數(shù)據(jù)存儲，檢查組織是否對所存

儲的數(shù)據(jù)采取安全措施，確保其安全性和完整性，同

時，根據(jù)組織對于數(shù)據(jù)可用性的要求，檢查組織是否

采取備份措施。

4.數(shù)據(jù)處理與加工

該控制項旨在針對處理和加工過程，檢查組織是否

對可接觸到數(shù)據(jù)的人員基于角色采取身份驗證和訪問

控制，并對該過程采取加密和脫敏處置措施，防范數(shù)

據(jù)非法訪問或敏感信息遭到泄露。

5.數(shù)據(jù)使用與安全審計

該控制項旨在針對數(shù)據(jù)使用過程，檢查組織是否采

取身份驗證和訪問控制措施，防止人員對于數(shù)據(jù)的非

法訪問，并采取加密和脫敏等技術(shù)手段，防止在使用

環(huán)節(jié)造成信息泄露并對使用環(huán)節(jié)進(jìn)行安全審計。

6.數(shù)據(jù)共享與流動

該控制項旨在針對組織存在數(shù)據(jù)共享與流動，特別

是跨境流動時，是否制定相應(yīng)的規(guī)范制度和審批流

程，滿足國家合規(guī)監(jiān)管要求。

7.數(shù)據(jù)歸檔與銷毀

該控制項旨在檢查組織是否針對數(shù)據(jù)歸檔與銷毀過

程，并基于數(shù)據(jù)敏感程度制定完善的管理制度與規(guī)范

流程，防范在該過程中出現(xiàn)數(shù)據(jù)泄露。

（三）常見問題和風(fēng)險

1.在數(shù)據(jù)生命周期管理期間，由于在人員、管理、

技術(shù)三個層面沒有建立適用的數(shù)據(jù)安全管理體系，使

得數(shù)據(jù)安全管理的效率與效果低下。

2.未實現(xiàn)數(shù)據(jù)分類分級管理或分級方法不合理，導(dǎo)

致未按照不同類別建立不同的安全控制措施，導(dǎo)致保

護(hù)過重或保護(hù)不當(dāng)。

3.數(shù)據(jù)在收集、傳輸、存儲和恢復(fù)、處理和加工、

使用與審計、歸檔與銷毀等過程中，由于缺乏有效的數(shù)

據(jù)加密和訪問控制，容易導(dǎo)致數(shù)據(jù)泄露風(fēng)險。

4.數(shù)據(jù)在共享與流動，特別是跨邊界和跨境流動

時，由于未制定相應(yīng)的安全規(guī)范制度和審批流程，容

易產(chǎn)生違規(guī)風(fēng)險。5.數(shù)據(jù)銷毀機(jī)制不健全或執(zhí)行不嚴(yán)

格，導(dǎo)致銷毀過程中敏感數(shù)據(jù)的泄露。

(四)審計的主要方法和程序

1.數(shù)據(jù)收集

(1)檢查組織是否根據(jù)數(shù)據(jù)分級分類管理制度中

定義的數(shù)據(jù)類型、安全等級對所收集的數(shù)據(jù)進(jìn)行標(biāo)

識，特別是敏感數(shù)據(jù)，并根據(jù)數(shù)據(jù)標(biāo)識和合規(guī)要求進(jìn)

行后續(xù)傳輸、存儲等流程的跟蹤和監(jiān)控。

(2)對收集的數(shù)據(jù)進(jìn)行抽查，檢查是否對已收集

的數(shù)據(jù)進(jìn)行標(biāo)記。

2.數(shù)據(jù)傳輸

(1)訪談網(wǎng)絡(luò)安全管理員，詢問組織是否在數(shù)據(jù)

傳輸過程中進(jìn)行安全域的劃分。

(2)訪談網(wǎng)絡(luò)安全管理員，詢問數(shù)據(jù)在跨域傳

輸，特別是在非安全域傳輸時是否采用安全加密機(jī)制

確保傳輸鏈路的安全可靠和對數(shù)據(jù)進(jìn)行安全加密，查

閱組織網(wǎng)絡(luò)拓?fù)鋱D并進(jìn)行實質(zhì)性查驗。

(3)通過執(zhí)行滲透，獲取傳輸數(shù)據(jù)包，查驗數(shù)據(jù)

包的完整性和保密性措施是否有效。

3.數(shù)據(jù)存儲與恢復(fù)

(1)訪談數(shù)據(jù)安全管理員，詢問組織為確保靜態(tài)

數(shù)據(jù)的安全性和完整性所采取的安全措施、加密手段

與方式、完整性校驗手段與方式有哪些。

(2)訪談組織核心業(yè)務(wù)部門負(fù)責(zé)人對于數(shù)據(jù)可用

性的要求，并查閱組織業(yè)務(wù)連續(xù)性計劃，了解組織業(yè)

務(wù)對關(guān)鍵數(shù)據(jù)的可用性指標(biāo)。

(3)訪談數(shù)據(jù)安全管理員，詢問組織為確保靜態(tài)

數(shù)據(jù)的可用性，所采取的存儲架構(gòu)、技術(shù)手段和工具

有哪些，以及是否部署實現(xiàn)集群異地災(zāi)備，判斷數(shù)據(jù)

存儲和恢復(fù)是否滿足業(yè)務(wù)需求。

(4)查閱數(shù)據(jù)完整性測試報告和異地數(shù)據(jù)恢復(fù)的

測試報告。

4.數(shù)據(jù)處理與加工

(1)訪談數(shù)據(jù)安全管理員，詢問在對數(shù)據(jù)進(jìn)行操

作處理過程中是否采用安全的身份驗證和加密措施，

確保數(shù)據(jù)交換和處理過程中的安全、可靠。

(2)訪談數(shù)據(jù)安全管理員，詢問在對數(shù)據(jù)進(jìn)行操

作處理過程中涉及敏感信息時，是否對其脫敏處理。

5.數(shù)據(jù)使用與安全審計

(1)訪談數(shù)據(jù)安全管理員或系統(tǒng)管理員，詢問在

進(jìn)行數(shù)據(jù)展示時，是否對敏感數(shù)據(jù)進(jìn)行不可逆加密、

區(qū)間隨機(jī)、掩碼替換等脫敏手段。

(2)訪談系統(tǒng)管理員，詢問是否基于數(shù)據(jù)安全管

理員或系統(tǒng)管理員，基于角色和“按需所知”原則做

到對數(shù)據(jù)表列級的訪問和操作權(quán)限控制。

(3)訪談數(shù)據(jù)安全管理員或系統(tǒng)管理員，詢問用

戶在對數(shù)據(jù)進(jìn)行操作和管理的過程中，是否基于制定

的訪問權(quán)限，建立統(tǒng)一的身份識別和權(quán)限管理系統(tǒng)，

實現(xiàn)對各類業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫等賬號實現(xiàn)統(tǒng)一管理，

并對數(shù)據(jù)的訪問和使用進(jìn)行安全審計。

6.數(shù)據(jù)共享與流動

(1)訪談數(shù)據(jù)應(yīng)用或管理部門的負(fù)責(zé)人，詢問組

織是否基于業(yè)務(wù)戰(zhàn)略和信息安全戰(zhàn)略制定數(shù)據(jù)共享和

流動的安全評估和處理流程、審批制度、安全策略等

規(guī)范制度，調(diào)閱制度并檢查其內(nèi)容是否符合對于數(shù)據(jù)

共享與跨境傳輸?shù)暮弦?guī)要求。

(2)訪談數(shù)據(jù)應(yīng)用或管理部門的負(fù)責(zé)人，詢問并

查閱組織在進(jìn)行日常數(shù)據(jù)服務(wù)時：是否與第三方簽訂

數(shù)據(jù)服務(wù)合同，審查合同是否約定數(shù)據(jù)接收方的數(shù)據(jù)

處理目的、方式和采取的安全措施以及數(shù)據(jù)接收方應(yīng)

配合組織對數(shù)據(jù)出境活動進(jìn)行調(diào)查等關(guān)鍵內(nèi)容；合同

是否約定在未獲得數(shù)據(jù)發(fā)送方的授權(quán)前提下，數(shù)據(jù)接

收方不得對數(shù)據(jù)進(jìn)行公開披露及再轉(zhuǎn)移；是否約定數(shù)

據(jù)接收方使用、留存數(shù)據(jù)的合法周期及超出合法周期

后數(shù)據(jù)接收方對數(shù)據(jù)所采取的處理措施；是否約定數(shù)

據(jù)接收方應(yīng)配合數(shù)據(jù)發(fā)送方履行的安全責(zé)任和義務(wù)。

(3)訪談數(shù)據(jù)應(yīng)用或管理部門的負(fù)責(zé)人，詢問組

織日常數(shù)據(jù)共享與流動若涉及跨境傳輸，是否開展如

下活動并調(diào)閱相關(guān)操作文檔：在數(shù)據(jù)出境前應(yīng)制定出

境計劃，滿足合法性、正當(dāng)性和必要性的要求；在數(shù)

據(jù)跨境傳輸前開展安全風(fēng)險評估，并周期性的開展安

全評估，評估應(yīng)包括安全自評估和主管部門評估；在

開展數(shù)據(jù)共享或跨境傳輸前，是否對數(shù)據(jù)接受方的背

景、資質(zhì)進(jìn)行安全審查和檢查，并基于國家關(guān)于個人

信息和重要數(shù)據(jù)出境安全評估相關(guān)條件進(jìn)行安全評

估；對數(shù)據(jù)出境的全過程進(jìn)行記錄并保留所有操作流

程，操作日志應(yīng)保存不少于2年；當(dāng)發(fā)生數(shù)據(jù)出境安

全事件時，是否制定安全事件的通報機(jī)制和手段；訪

談數(shù)據(jù)應(yīng)用或管理部門的負(fù)責(zé)人，詢問組織是否制定

數(shù)據(jù)共享與流動的安全事件應(yīng)急預(yù)案，并進(jìn)行應(yīng)急演

練，審查應(yīng)急預(yù)案是否包含應(yīng)急處置、安全事件告知

和上報等相關(guān)內(nèi)容。

(4)當(dāng)發(fā)生數(shù)據(jù)出境安全事件時，應(yīng)按照國家有

關(guān)規(guī)定及時向國家網(wǎng)信部門或行業(yè)主管部門上報數(shù)據(jù)

出境安全事件，上報內(nèi)容包括但不限于：安全事件發(fā)

生的時間、數(shù)據(jù)類型、數(shù)量、范圍、可能造成的影

響，已采取或?qū)⒁扇〉奶幹么胧?，事件處置相關(guān)人

員的聯(lián)系方式。

7.數(shù)據(jù)歸檔與銷毀

(1)檢查組織是否基于數(shù)據(jù)分類分級標(biāo)準(zhǔn)制定數(shù)

據(jù)及存儲介質(zhì)銷毀相關(guān)的管理制度和安全策略，明確

銷毀對象、流程、方式及審批、監(jiān)督和評價機(jī)制。

(2)訪談組織目前本地和網(wǎng)絡(luò)分布式存儲數(shù)據(jù)的

銷毀方式與技術(shù)手段，并查閱歷史銷毀記錄。

四、個人信息安全管理審計

（一）業(yè)務(wù)概述

個人信息，是指以電子或者其他方式記錄的能夠單

獨或者與其他信息結(jié)合識別自然人個人身份的各種信

息，包括但不限于自然人的姓名、出生日期、身份證

件號碼、個人生物識別信息、住址、電話號碼等。

規(guī)范個人信息控制者在收集、保存、使用、共享、

轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為。旨在

遏制個人信息非法收集、濫用、泄漏等亂象，最大程

度地保障個人的合法權(quán)益和社會公共利益。

（二）審計目標(biāo)和內(nèi)容

1.通用管理

該控制項旨在檢查組織是否針對個人信息，建立健

全個人信息保護(hù)的管理體系和風(fēng)險管理體系，并提供

個人信息泄露或非法使用的申訴管理機(jī)制和舉報渠

道。

2.個人信息的收集

該控制項旨在檢查組織在個人信息收集環(huán)節(jié)，是否

制定完善的安全策略和規(guī)范，滿足《網(wǎng)絡(luò)安全法》中

關(guān)于個人信息保護(hù)的合規(guī)要求。

3.個人信息的傳輸與存儲

該控制項旨在檢查組織在個人信息傳輸與存儲環(huán)

節(jié)，是否采取管理與技術(shù)手段，確保個人信息境內(nèi)存

儲和離境前安全與風(fēng)險評估的合規(guī)要求，以及個人敏

感信息不被泄露。

4.個人信息的處理

該控制項旨在檢查組織在個人信息處理環(huán)節(jié)，是否

采取技術(shù)手段防范個人信息主體被識別和還原。

5.個人信息的使用

該控制項旨在檢查組織是否在個人信息使用環(huán)節(jié)，

采取訪問控制措施防范對其非法訪問，并在個人信息

控制權(quán)發(fā)生轉(zhuǎn)移時對接收方進(jìn)行安全評估，并獲得其

安全使用的承諾。

6.個人信息的變更與銷毀

該控制項旨在檢查組織在個人信息變更和銷毀環(huán)

節(jié)，是否為個人信息主體提供合法變更的渠道，或在

完成所收集個人信息使用目的后，規(guī)范個人信息的刪

除流程和途徑。

（三）常見問題和風(fēng)險

1.未建立個人信息保護(hù)組織或缺乏相關(guān)負(fù)責(zé)人，不

利于個人信息保護(hù)工作的推廣和執(zhí)行，也無法有效落

實個人信息保護(hù)的責(zé)任。

2.未建立規(guī)范化的個人信息保護(hù)制度和流程，可能

造成個人信息的收集、存儲、使用、變更、銷毀等操

作不合法的情況。

3.組織在使用個人信息時，沒有開展安全影響評

估，無法判斷個人信息使用與保護(hù)的程度，容易造成

侵權(quán)與違規(guī)風(fēng)險。

4.在收集個人信息時，沒有注意最小化要求，或者

在沒有得到允許的情況下公開披露個人信息，容易造

成侵權(quán)與違規(guī)風(fēng)險。

5.組織在處理個人敏感信息時，個人信息的傳輸、

處理、存儲、銷毀未采用加密、訪問控制等安全措

施，容易造成泄露個人敏感信息的風(fēng)險。

(四)審計的主要方法和程序

1.通用管理

(1)訪談組織數(shù)據(jù)管理部門，了解是否基于業(yè)務(wù)

量和個人信息處理數(shù)量，設(shè)立專職的個人信息保護(hù)負(fù)

責(zé)機(jī)構(gòu)與負(fù)責(zé)人，并明確相關(guān)工作職責(zé)。

(2)訪談組織數(shù)據(jù)管理部門，了解組織是否制定

關(guān)于個人信息和個人隱私保護(hù)的管理規(guī)范，其明確定

義個人敏感信息的識別范圍、類別，以及對個人信息

進(jìn)行匿名化處理的條件和定期評審更新機(jī)制。

(3)訪談組織數(shù)據(jù)管理部門或風(fēng)險管理部門，詢

問是否建立針對個人信息安全影響的風(fēng)險評估制度并

定期開展個人信息安全影響評估，并查閱歷史風(fēng)險評

估記錄。

(4)訪談組織數(shù)據(jù)管理部門，詢問是否制定個人

信息安全事件應(yīng)急預(yù)案并定期開展應(yīng)急響應(yīng)培訓(xùn)和應(yīng)

急演練，包括當(dāng)發(fā)生個人信息泄露時通知個人信息主

體的方式、方法與內(nèi)容。

(5)訪談人力資源管理部門，詢問從事或接觸個

人信息處理崗位的人員(包括第三方人員)，在錄用

時是否進(jìn)行背景審查并簽署保密協(xié)議，在調(diào)離崗位或

終止勞動合同時是否要求繼續(xù)履行保密義務(wù)，并對上

述人員開展個人信息安全專業(yè)化培訓(xùn)和考核，確保相

關(guān)人員熟練掌握隱私政策和相關(guān)規(guī)程。

(6)訪談組織數(shù)據(jù)管理部門，是否建立個人信息

泄露或非法使用的申訴管理機(jī)制和舉報渠道，并對造

成安全事件違反安全使用的人員制定處罰機(jī)制。

2.個人信息的收集

(1)訪談個人信息收集崗位的負(fù)責(zé)人，了解在進(jìn)

行個人信息收集前，組織是否以明示的方式(如隱私

政策)向個人信息主體說明收集、使用的目的、收集

方式和頻率、存放地域、存儲期限、自身的數(shù)據(jù)安全

能力、對外共享、轉(zhuǎn)讓、公開披露的有關(guān)情況等，確

保個人信息主體的知情權(quán)并得到其授權(quán)，同時抽查信

息收集說明和信息主體的授權(quán)確認(rèn)信息。

(2)抽查年滿14周歲的未成年人個人信息收集

記錄，查看是否征得未成年人或其監(jiān)護(hù)人的明示同

意；不滿14周歲的，應(yīng)征得其監(jiān)護(hù)人的明示同意。

(3)訪談個人信息收集崗位的負(fù)責(zé)人，了解組織

間接獲得的個人信息，是否獲得個人信息提供方就個

人信息來源的書面確認(rèn)，確保來源的合法性，包括個

人信息提供方已獲得的個人信息處理的授權(quán)同意范

圍，包括使用目的，個人信息主體是否授權(quán)同意轉(zhuǎn)

讓、共享、公開披露等。

(4)訪談個人信息收集崗位的負(fù)責(zé)人，了解組織

是否向個人信息主體提供撤回收集、使用其個人信息

同意授權(quán)的途徑和方法。

3.個人信息的傳輸與存儲

(1)分別訪談數(shù)據(jù)安全管理者及數(shù)據(jù)存儲管理

員，了解組織在傳輸和存儲個人敏感信息時是否采用

加密等安全措施，對于個人生物識別信息，詢問是否

采用技術(shù)措施處理后再進(jìn)行存儲，例如僅存儲個人生

物識別信息的摘要。

(2)訪談數(shù)據(jù)存儲管理員，詢問組織所收集和產(chǎn)

生的個人信息是否在中華人民共和國境內(nèi)存儲。

(3)分別訪談數(shù)據(jù)安全管理者及數(shù)據(jù)存儲管理

員，了解組織若涉及個人信息的跨境傳輸與存儲業(yè)

務(wù)，是否制定相應(yīng)的審批流程，并在進(jìn)行跨境傳輸與

存儲時，按照合規(guī)監(jiān)管要求進(jìn)行安全檢查和安全評

估，調(diào)閱并查看相關(guān)的審批、審查和評估歷史文檔。

4.個人信息的處理

(1)訪談數(shù)據(jù)安全管理負(fù)責(zé)人，了解組織是否制

定針對個人信息去標(biāo)識化的規(guī)范與流程，由專人、專

崗負(fù)責(zé)。

(2)訪談個人信息去標(biāo)識化負(fù)責(zé)人，了解所使用

的個人信息匿名化、去標(biāo)識化和加密手段，并抽查去

標(biāo)識化后的個人信息是否可被識別、復(fù)原，或在不借

助額外信息的情況下，無法識別個人信息主體。

(3)訪談個人信息去標(biāo)識化負(fù)責(zé)人，了解對不滿

足隱私保護(hù)的數(shù)據(jù)項進(jìn)行刪除時應(yīng)采用的抑制技術(shù)。

5.個人信息的使用

(1)訪談數(shù)據(jù)安全負(fù)責(zé)人或個人信息安全負(fù)責(zé)

人，了解組織是否在將其個人信息控制權(quán)向另一個控

制者轉(zhuǎn)移時，對其安全管理環(huán)境進(jìn)行風(fēng)險評估，并以

書面形式獲得轉(zhuǎn)移方的安全評估結(jié)果和使用承諾，查

閱歷史風(fēng)險評估記錄、接受方的安全評估結(jié)果和使用

承諾書。

(2)訪談數(shù)據(jù)安全負(fù)責(zé)人或個人信息安全負(fù)責(zé)

人，了解組織對內(nèi)部個人信息使用者、管理者和操作

者是否基于業(yè)務(wù)需要和角色對個人敏感信息的訪問、

修改等行為進(jìn)行訪問權(quán)限設(shè)置，并對涉及個人信息的

重要操作應(yīng)設(shè)置內(nèi)部審批流程。

6.個人信息的變更與銷毀

(1)訪談個人信息安全負(fù)責(zé)人，了解組織是否在

收集到有錯誤或不完整的個人信息主體修改請求時，

提供更正或補(bǔ)充信息的方法或渠道，并對其進(jìn)行驗

證。

(2)訪談個人信息安全負(fù)責(zé)人，了解組織是否制

定個人信息銷毀的規(guī)范與流程，向通過注冊賬戶獲得

個人信息的個人信息主體提供注銷賬戶的方法，并刪

除其個人信息或做匿名化處理。

五、重要數(shù)據(jù)安全管理審計

(一)業(yè)務(wù)概述

重要數(shù)據(jù)，一方面是指與國家安全、經(jīng)濟(jì)發(fā)展，以

及社會公共利益密切相關(guān)的數(shù)據(jù)，具體范圍參照國家

有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識別指南；另一方面是指企事業(yè)

單位的戰(zhàn)略規(guī)劃、管理方法、商業(yè)模式、財務(wù)信息等

經(jīng)營信息和設(shè)計程序、產(chǎn)品配方、制作工藝、技術(shù)訣

竅等技術(shù)信息。

規(guī)范重要數(shù)據(jù)在收集、保存、使用、傳輸、共享等

信息處理環(huán)節(jié)中的相關(guān)行為。旨在遏制數(shù)據(jù)非授權(quán)收

集、濫用、泄漏等亂象，最大程度地保障重要數(shù)據(jù)的

安全。

（二）審計目標(biāo)和內(nèi)容

1.通用管理

該控制項旨在檢查組織針對其重要數(shù)據(jù)是否建立健

全完善的管理體系，包括制度體系、組織與人員體

系、應(yīng)急管理體系，并提供重要數(shù)據(jù)安全事件的申訴

渠道。

2.重要數(shù)據(jù)識別與分類分級

該控制項旨在檢查組織是否就所屬行業(yè)和經(jīng)營業(yè)務(wù)

制定重要數(shù)據(jù)識別及分類分級的制度規(guī)范、標(biāo)準(zhǔn)以及

變更和審批流程，從而為后續(xù)重要數(shù)據(jù)操作和處理提

供依據(jù)。

3.跨境傳輸與存儲前安全風(fēng)險評估

該控制項旨在檢查組織在其存在重要數(shù)據(jù)跨境傳輸

與境外存儲的背景下，是否建立完善的安全風(fēng)險評估

與審批流程，滿足國家合規(guī)監(jiān)管要求。

4.應(yīng)急管理

該控制項旨在檢查組織依據(jù)建立的重要數(shù)據(jù)安全事

件應(yīng)急管理體系，制定并完善應(yīng)急管理制度并定期開

展應(yīng)急演練，在滿足合規(guī)要求的同時，確保安全事件

發(fā)生時得到有效、迅速的遏制，防范事件蔓延。

（三）常見問題和風(fēng)險

1.未建立重要數(shù)據(jù)保護(hù)工作機(jī)構(gòu)或指定負(fù)責(zé)人，不

利于重要數(shù)據(jù)的保護(hù)和管理，同時無法有效落實重要

數(shù)據(jù)保護(hù)的責(zé)任。

2.未實現(xiàn)重要數(shù)據(jù)分類分級管理，無法有效對重要

數(shù)據(jù)建立針對性的保護(hù)措施，由于保護(hù)機(jī)制不到位，

造成的重要數(shù)據(jù)泄露或非法訪問。

3.未建立規(guī)范化的重要數(shù)據(jù)保護(hù)制度和流程，可能

造成重要數(shù)據(jù)的收集、存儲、使用、變更、銷毀等操

作不合法的情況。

4.組織在使用重要數(shù)據(jù)時，沒有開展安全風(fēng)險評

估，無法判斷重要數(shù)據(jù)的使用與保護(hù)的程度，容易造

成侵權(quán)與違規(guī)風(fēng)險。

5.組織在處理重要數(shù)據(jù)時，數(shù)據(jù)的傳輸、處理、存

儲、銷毀未采用加密、訪問控制等安全措施，容易造

成重要數(shù)據(jù)泄露的風(fēng)險。

6.未建立數(shù)據(jù)應(yīng)急預(yù)案，無法有效制定數(shù)據(jù)丟失、

數(shù)據(jù)泄露等重要場景的處置措施，不利于重要數(shù)據(jù)發(fā)

生異常的處置和恢復(fù)。

(四)審計的主要方法和程序

1.通用管理

(1)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織是否在其內(nèi)部成立重要數(shù)據(jù)保護(hù)的工作機(jī)

構(gòu)、日常辦事機(jī)構(gòu)，并指定專門的安全管理人員。

(2)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織目前是否建立關(guān)于重要數(shù)據(jù)保護(hù)的管理體系

和相應(yīng)的規(guī)章制度，并基于合規(guī)和監(jiān)管要求，對組織

日常經(jīng)營活動所涉及的重要數(shù)據(jù)進(jìn)行了識別，并明確

定義了對重要數(shù)據(jù)進(jìn)行匿名化處理的條件。

(3)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織是否建立針對重要數(shù)據(jù)安全事件的處置、應(yīng)

急響應(yīng)和事后調(diào)查的流程與機(jī)制，記錄事件的處置與

調(diào)查全過程，及時發(fā)現(xiàn)并消除重要數(shù)據(jù)的違規(guī)使用和

濫用等情況，同時查看有關(guān)處置方案和歷史記錄。

(4)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織是否建立申訴管理機(jī)制和渠道。

2.重要數(shù)據(jù)識別與分類分級

(1)訪談組織數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問了解

是否基于行業(yè)監(jiān)管要求制定重要數(shù)據(jù)識別的管理制度

與規(guī)范。

(2)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織是否制定針對重要數(shù)據(jù)的分類分級策略和管

理制度與規(guī)范，查看是否對各類重要數(shù)據(jù)的保護(hù)期限

和標(biāo)記做出明確規(guī)定。

(3)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織是否制定重要數(shù)據(jù)保護(hù)范圍和分類分級的變

更與審批流程，并查看歷史變更和審批記錄。

3.跨境傳輸與存儲前安全風(fēng)險評估

(1)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織重要數(shù)據(jù)的存儲位置及是否涉及跨境流動和

存儲。

(2)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織對涉及跨境傳輸與存儲的重要數(shù)據(jù)是否進(jìn)行

安全檢查與風(fēng)險評估，并建立完善的審批流程，同時

查看歷史相關(guān)記錄，判斷記錄的完整性與合規(guī)性。

4.應(yīng)急管理

(1)訪談負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問了解

組織是否制定針對重要數(shù)據(jù)安全事件應(yīng)急預(yù)案并定期

開展應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練。

(2)調(diào)閱并查看應(yīng)急預(yù)案，檢查其內(nèi)容是否明確

安全事件的具體處置措施、上報和信息披露流程，并

查看培訓(xùn)和演練的歷史記錄。

六、數(shù)據(jù)平臺與技術(shù)安全管理審計

(一)業(yè)務(wù)概述

數(shù)據(jù)平臺是指為數(shù)據(jù)應(yīng)用提供資源和服務(wù)的支撐集