数据安全审计.pdfVIP

数据安全审计--第1页

数据安全审计

伴随互联网、云计算、移动互联网等新技术的迅猛

发展，无处不在的移动设备、无线传感器等设备以及

数以亿计的互联网用户和企业产生的消费数据及经营

数据使得各类信息呈现爆炸式增长。同时，数据的高

度集中，共享开放和交叉使用以及数据流动的趋势也

在不断加剧。组织由于数据管理、安全隔离、访问控

制及数据加密等措施不充分而面临的网络入侵和信息

泄露风险越来越大。

一旦数据的机密性、完善性和可用性受到损害，

将不能支撑组织业务的健康运行；随着网络安全法的

实施，国家对重要业务数据和个人敏感信息保护的力

度也在加强，数据安全的违规成本已越来越高。因

此，数据安全是数字经济时代生产力要素的必要属

性，持续性开展数据安全审计已成为信息系统审计的

重要内容。

本节所涉及的数据包括了日常数据和大数据（按结

构化程度和数据规模）、个人信息和重要数据（按数

据对象类型）的相关内容。本节将从数据安全治理、

数据安全管理、数据生命周期安全管理、个人信息安

全管理、重要数据安全管理、数据平台与技术安全管

理等方面对数据安全的审计方法和步骤进行描述。

数据安全审计--第1页

数据安全审计--第2页

一、数据安全治理审计

（一）业务概述

数据是指对客观事件进行记录并可以鉴别的符号，

是对客观事物的性质、状态以及相互关系等进行记载

的物理符号或这些物理符号的组合。

数据安全风险涉及面较广，既体现在组织在治理层

面的治理风险，还体现在数据在其生命周期和服务过程

中的管理风险，以及伴随的个人信息和重要数据等敏感

信息泄露和跨境流通风险。

（二）审计目标和内容

1.董事会的职责

该控制项旨在从组织的治理层面，检查组织是否将

数据的安全治理工作纳入组织治理工作范畴，建立健全

包括风险管理和数据安全审计监督在内的架构体系，从

而完善数据的安全合规管理。

2.战略规划与价值实现

该控制项旨在检查组织是否依据董事会所明确的数

据安全治理目标制定相关的安全战略。

3.数据安全合规管理

数据安全审计--第2页

数据安全审计--第3页

该控制项旨在检查组织是否基于数据安全战略规

划，建立健全数据安全管理制度体系，满足合规监管要

求。

4.数据风险管理

该控制项旨在检查组织是否从数据、人员、产品与

服务等方面，建立并完善数据安全风险管理体系，并将

其纳入组织风险管理体系当中。

5.数据安全审计监督

该控制项旨在检查组织是否将数据的安全审计工作

纳入到组织的安全审计体系范畴内，建立并完善针对数

据安全审计的专项工作。

（三）常见问题和风险

1.未建立数据安全治理组织架构及职责，无法自上

而下推动相关数据安全治理工作的有序开展。

2.未建立组织级数据战略规划，无法有效覆盖网络

安全法及等级保护等相关法规