數(shù)據(jù)安全審計(jì)

數(shù)據(jù)安全審計(jì)

伴隨互聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)的迅猛

發(fā)展，無處不在的移動(dòng)設(shè)備、無線傳感器等設(shè)備以及

數(shù)以億計(jì)的互聯(lián)網(wǎng)用戶和企業(yè)產(chǎn)生的消費(fèi)數(shù)據(jù)及經(jīng)營

數(shù)據(jù)使得各類信息呈現(xiàn)爆炸式增長。同時(shí)，數(shù)據(jù)的高

度集中，共享開放和交叉使用以及數(shù)據(jù)流動(dòng)的趨勢(shì)也

在不斷加劇。組織由于數(shù)據(jù)管理、安全隔離、訪問控

制及數(shù)據(jù)加密等措施不充分而面臨的網(wǎng)絡(luò)入侵和信息

泄露風(fēng)險(xiǎn)越來越大。

一旦數(shù)據(jù)的機(jī)密性、完善性和可用性受到損害，

將不能支撐組織業(yè)務(wù)的健康運(yùn)行；隨著網(wǎng)絡(luò)安全法的

實(shí)施，國家對(duì)重要業(yè)務(wù)數(shù)據(jù)和個(gè)人敏感信息保護(hù)的力

度也在加強(qiáng)，數(shù)據(jù)安全的違規(guī)成本已越來越高。因

此，數(shù)據(jù)安全是數(shù)字經(jīng)濟(jì)時(shí)代生產(chǎn)力要素的必要屬

性，持續(xù)性開展數(shù)據(jù)安全審計(jì)已成為信息系統(tǒng)審計(jì)的

重要內(nèi)容。

本節(jié)所涉及的數(shù)據(jù)包括了日常數(shù)據(jù)和大數(shù)據(jù)（按結(jié)

構(gòu)化程度和數(shù)據(jù)規(guī)模）、個(gè)人信息和重要數(shù)據(jù)（按數(shù)

據(jù)對(duì)象類型）的相關(guān)內(nèi)容。本節(jié)將從數(shù)據(jù)安全治理、

數(shù)據(jù)安全管理、數(shù)據(jù)生命周期安全管理、個(gè)人信息安

全管理、重要數(shù)據(jù)安全管理、數(shù)據(jù)平臺(tái)與技術(shù)安全管

理等方面對(duì)數(shù)據(jù)安全的審計(jì)方法和步驟進(jìn)行描述。

一、數(shù)據(jù)安全治理審計(jì)

（一）業(yè)務(wù)概述

數(shù)據(jù)是指對(duì)客觀事件進(jìn)行記錄并可以鑒別的符號(hào)，

是對(duì)客觀事物的性質(zhì)、狀態(tài)以及相互關(guān)系等進(jìn)行記載

的物理符號(hào)或這些物理符號(hào)的組合。

數(shù)據(jù)安全風(fēng)險(xiǎn)涉及面較廣，既體現(xiàn)在組織在治理層

面的治理風(fēng)險(xiǎn)，還體現(xiàn)在數(shù)據(jù)在其生命周期和服務(wù)過程

中的管理風(fēng)險(xiǎn)，以及伴隨的個(gè)人信息和重要數(shù)據(jù)等敏感

信息泄露和跨境流通風(fēng)險(xiǎn)。

（二）審計(jì)目標(biāo)和內(nèi)容

1.董事會(huì)的職責(zé)

該控制項(xiàng)旨在從組織的治理層面，檢查組織是否將

數(shù)據(jù)的安全治理工作納入組織治理工作范疇，建立健全

包括風(fēng)險(xiǎn)管理和數(shù)據(jù)安全審計(jì)監(jiān)督在內(nèi)的架構(gòu)體系，從

而完善數(shù)據(jù)的安全合規(guī)管理。

2.戰(zhàn)略規(guī)劃與價(jià)值實(shí)現(xiàn)

該控制項(xiàng)旨在檢查組織是否依據(jù)董事會(huì)所明確的數(shù)

據(jù)安全治理目標(biāo)制定相關(guān)的安全戰(zhàn)略。

3.數(shù)據(jù)安全合規(guī)管理

該控制項(xiàng)旨在檢查組織是否基于數(shù)據(jù)安全戰(zhàn)略規(guī)

劃，建立健全數(shù)據(jù)安全管理制度體系，滿足合規(guī)監(jiān)管要

求。

4.數(shù)據(jù)風(fēng)險(xiǎn)管理

該控制項(xiàng)旨在檢查組織是否從數(shù)據(jù)、人員、產(chǎn)品與

服務(wù)等方面，建立并完善數(shù)據(jù)安全風(fēng)險(xiǎn)管理體系，并將

其納入組織風(fēng)險(xiǎn)管理體系當(dāng)中。

5.數(shù)據(jù)安全審計(jì)監(jiān)督

該控制項(xiàng)旨在檢查組織是否將數(shù)據(jù)的安全審計(jì)工作

納入到組織的安全審計(jì)體系范疇內(nèi)，建立并完善針對(duì)數(shù)

據(jù)安全審計(jì)的專項(xiàng)工作。

（三）常見問題和風(fēng)險(xiǎn)

1.未建立數(shù)據(jù)安全治理組織架構(gòu)及職責(zé)，無法自上

而下推動(dòng)相關(guān)數(shù)據(jù)安全治理工作的有序開展。

2.未建立組織級(jí)數(shù)據(jù)戰(zhàn)略規(guī)劃，無法有效覆蓋網(wǎng)絡(luò)

安全法及等級(jí)保護(hù)等相關(guān)法規(guī)與標(biāo)準(zhǔn)的要求，無法指明

數(shù)據(jù)整體的發(fā)展目標(biāo)和規(guī)劃，不利于數(shù)據(jù)長遠(yuǎn)發(fā)展。

3.未制定數(shù)據(jù)安全相關(guān)管理制度及流程，導(dǎo)致數(shù)據(jù)

安全管控要求無法有效落實(shí)。

4.數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估執(zhí)行不到位，未識(shí)別出重要的

數(shù)據(jù)安全風(fēng)險(xiǎn)，不利于數(shù)據(jù)安全治理體系的持續(xù)優(yōu)化。

（四）審計(jì)的主要方法和程序

1.董事會(huì)的職責(zé)

(1)檢查組織董事會(huì)和執(zhí)行管理部門職責(zé)，是否將

數(shù)據(jù)安全治理工作納入到組織綜合治理工作范疇當(dāng)中，

明確數(shù)據(jù)安全治理職責(zé)并對(duì)其安全治理予以承諾和支

持，從戰(zhàn)略、組織、架構(gòu)和實(shí)施等多個(gè)環(huán)節(jié)提供保

障。

(2)查閱組織數(shù)據(jù)治理的規(guī)章制度，明確數(shù)據(jù)安全

治理需要達(dá)到的目標(biāo)和定位，判斷其治理目標(biāo)是否與組

織戰(zhàn)略、業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)目標(biāo)、業(yè)務(wù)需求相一致。

(3)檢查組織是否建立跨部門的數(shù)據(jù)安全管理委員

會(huì)和風(fēng)險(xiǎn)管理委員會(huì)，明確安全治理的角色和責(zé)任。

(4)檢查組織是否建立基于滿足業(yè)務(wù)戰(zhàn)略的數(shù)據(jù)架

構(gòu)，并進(jìn)行持續(xù)的評(píng)估、監(jiān)督和改進(jìn)。

(5)訪談組織信息科技治理負(fù)責(zé)人，了解組織是否

已經(jīng)或即將部署云服務(wù)平臺(tái)，以及是否將基于云平臺(tái)中

的數(shù)據(jù)安全治理列入主要治理目標(biāo)和任務(wù)當(dāng)中。

2.戰(zhàn)略規(guī)劃與價(jià)值實(shí)現(xiàn)

(1)訪談戰(zhàn)略規(guī)劃負(fù)責(zé)人或查閱組織經(jīng)營戰(zhàn)略規(guī)

劃，判斷數(shù)據(jù)戰(zhàn)略規(guī)劃是否滿足經(jīng)營戰(zhàn)略需要。(經(jīng)營

戰(zhàn)略一致性)

(2)查閱組織數(shù)據(jù)戰(zhàn)略規(guī)劃，判斷其戰(zhàn)略內(nèi)容是否

與組織數(shù)據(jù)治理目標(biāo)相一致，檢查內(nèi)容上是否包括數(shù)據(jù)

服務(wù)戰(zhàn)略、數(shù)據(jù)平臺(tái)與應(yīng)用戰(zhàn)略，且戰(zhàn)略規(guī)劃內(nèi)容是否

涉及數(shù)據(jù)安全，體現(xiàn)《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級(jí)保

護(hù)等制度對(duì)于數(shù)據(jù)安全的相關(guān)要求。

(3)訪談信息系統(tǒng)戰(zhàn)略規(guī)劃負(fù)責(zé)人，了解組織信息

化及信息安全戰(zhàn)略規(guī)劃要求，判斷數(shù)據(jù)安全戰(zhàn)略是否與

信息系統(tǒng)安全戰(zhàn)略和需求相一致。(信息系統(tǒng)安全戰(zhàn)略

一致性)

(4)查閱數(shù)據(jù)安全戰(zhàn)略規(guī)劃，判斷其從內(nèi)容上是否

體現(xiàn)組織對(duì)于個(gè)人信息(隱私)保護(hù)和重要數(shù)據(jù)保護(hù)治

理方面的要求。

3.數(shù)據(jù)安全合規(guī)管理

(1)查閱組織制定的與數(shù)據(jù)管理相關(guān)的制度與規(guī)

范，從而判斷其是否符合數(shù)據(jù)安全相關(guān)的政策、法律、

法規(guī)等各項(xiàng)監(jiān)管要求。

(2)檢查組織的數(shù)據(jù)安全管理相關(guān)制度與規(guī)范，查

看其內(nèi)容是否涵蓋國家和社會(huì)生產(chǎn)的重要數(shù)據(jù)的安全管

理要求，個(gè)人信息的保護(hù)要求，數(shù)據(jù)跨境傳輸與共享的

安全管理要求，以及密碼使用要求。

4.數(shù)據(jù)風(fēng)險(xiǎn)管理

訪談組織風(fēng)險(xiǎn)管理負(fù)責(zé)人，詢問組織是否將數(shù)據(jù)風(fēng)

險(xiǎn)管理納入組織風(fēng)險(xiǎn)管理體系當(dāng)中，重點(diǎn)突出數(shù)據(jù)、人

員、產(chǎn)品/服務(wù)三個(gè)方面，并建立數(shù)據(jù)安全內(nèi)控體系；

數(shù)據(jù)方面，以數(shù)據(jù)生命周期為出發(fā)點(diǎn)，識(shí)別全周期面臨

的威脅和自身脆弱性，分析數(shù)據(jù)服務(wù)安全風(fēng)險(xiǎn)和應(yīng)對(duì)措

施需求；人員方面，基于數(shù)據(jù)安全管理需要，基于員工

日常數(shù)據(jù)操作行為，識(shí)別風(fēng)險(xiǎn)并建立風(fēng)險(xiǎn)量化機(jī)制和信

息安全評(píng)價(jià)指標(biāo)體系；產(chǎn)品/服務(wù)方面，以對(duì)個(gè)人信息

和重要數(shù)據(jù)保護(hù)為目的，構(gòu)建產(chǎn)品/服務(wù)提供商在組

織、規(guī)范、設(shè)計(jì)、流程、監(jiān)控等一系列的安全風(fēng)險(xiǎn)評(píng)價(jià)

體系和控制機(jī)制。

5.數(shù)據(jù)安全審計(jì)監(jiān)督

(1)訪談組織審計(jì)負(fù)責(zé)人，詢問組織是否將數(shù)據(jù)安

全管理審計(jì)納入到組織安全審計(jì)管理體系內(nèi)。

(2)訪談組織審計(jì)負(fù)責(zé)人或信息安全審計(jì)負(fù)責(zé)人，

了解組織是否建立負(fù)責(zé)數(shù)據(jù)安全監(jiān)督與審計(jì)管理的職能

機(jī)構(gòu)及制度與規(guī)范，了解組織對(duì)數(shù)據(jù)服務(wù)及其用戶操作

行為審計(jì)的方法和內(nèi)容。

(3)查閱組織有關(guān)數(shù)據(jù)安全審計(jì)的制度和規(guī)范，了

解針對(duì)數(shù)據(jù)安全審計(jì)的方法、頻率和周期，并查閱相關(guān)

審計(jì)報(bào)告。

二、數(shù)據(jù)安全管理審計(jì)

(一)業(yè)務(wù)概述

數(shù)據(jù)安全管理是指保護(hù)數(shù)據(jù)免受威脅的影響，確保

業(yè)務(wù)的連續(xù)性，降低業(yè)務(wù)可能面臨的風(fēng)險(xiǎn)，為業(yè)務(wù)部門

提供有力保障。

(二)審計(jì)目標(biāo)和內(nèi)容

1.數(shù)據(jù)安全組織管理

該控制項(xiàng)旨在檢查組織為落實(shí)數(shù)據(jù)安全治理工作及

其戰(zhàn)略規(guī)劃，是否從組織層面設(shè)置跨部門的數(shù)據(jù)安全管

理機(jī)構(gòu)及負(fù)責(zé)人，明確安全管理職責(zé)。

2.人員與意識(shí)管理

該控制項(xiàng)旨在基于組織對(duì)數(shù)據(jù)安全管理的要求和需

求，從人員安全管理、資源建設(shè)與技能培養(yǎng)、職責(zé)落實(shí)

與考核等三方面進(jìn)行檢查，判斷人員綜合管理的落實(shí)情

況。

3.制度與規(guī)范管理

該控制項(xiàng)旨在從制度層面檢查組織是否制定并完善

數(shù)據(jù)安全管理的制度體系及其落實(shí)情況。

4.元數(shù)據(jù)安全管理

該控制項(xiàng)旨在從元數(shù)據(jù)的安全管理角度，檢查組織

是否建立完善的元數(shù)據(jù)安全管理規(guī)范，并從技術(shù)層面予

以安全保障。

5.數(shù)據(jù)及平臺(tái)（系統(tǒng)）管理

該控制項(xiàng)旨在從數(shù)據(jù)平臺(tái)（系統(tǒng)）管理角度，檢查

組織是否對(duì)平臺(tái)（系統(tǒng)）及其管理之下的數(shù)據(jù)制定相應(yīng)

的安全規(guī)范與標(biāo)準(zhǔn)，實(shí)現(xiàn)統(tǒng)一管理，并與組織經(jīng)營戰(zhàn)略

中的安全需求相一致。

6.服務(wù)接口安全管理

該控制項(xiàng)旨在從服務(wù)接口角度，檢查組織是否完善

接口安全管理的制度和規(guī)范，并用技術(shù)手段保障接口間

數(shù)據(jù)傳輸?shù)陌踩浴?/p>

7.數(shù)據(jù)供應(yīng)鏈安全管理

該控制項(xiàng)旨在從供應(yīng)鏈安全管理角度，檢查組織在

存在上下游數(shù)據(jù)交換的前提下，制定相關(guān)管理規(guī)范，滿

足合規(guī)監(jiān)管要求。

8.數(shù)據(jù)安全審計(jì)管理

該控制項(xiàng)旨在從審計(jì)角度，檢查組織是否落實(shí)數(shù)據(jù)

安全審計(jì)與監(jiān)督的要求，對(duì)組織的數(shù)據(jù)服務(wù)開展安全審

計(jì)，同時(shí)確保國家對(duì)于日志管理的安全合規(guī)要求。

（三）常見問題和風(fēng)險(xiǎn)

L數(shù)據(jù)安全組織架構(gòu)及責(zé)任人缺失，導(dǎo)致數(shù)據(jù)安全

管控要求無法落實(shí)。

2.未定期開展數(shù)據(jù)安全意識(shí)宣貫，由于安全意識(shí)不

足，導(dǎo)致數(shù)據(jù)不經(jīng)意的泄露。

3?元數(shù)據(jù)安全管控不到位，導(dǎo)致元數(shù)據(jù)血緣關(guān)系模

糊、可追溯性不強(qiáng)，影響元數(shù)據(jù)與數(shù)據(jù)標(biāo)準(zhǔn)的結(jié)合。

4.未部署數(shù)據(jù)管控平臺(tái)，無法對(duì)數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)

量、元數(shù)據(jù)進(jìn)行規(guī)范化管控和技術(shù)實(shí)現(xiàn)。

5.數(shù)據(jù)服務(wù)接口與應(yīng)用在其內(nèi)部跨安全域間的接口

調(diào)用未采用包括安全通道、加密傳輸?shù)劝踩珯C(jī)制可能帶

來的風(fēng)險(xiǎn)。

6.未建立數(shù)據(jù)供應(yīng)鏈安全管理方針，無法落實(shí)上下

游供應(yīng)鏈間數(shù)據(jù)交換和使用的要求，不利于供應(yīng)商之間

的數(shù)據(jù)交換與共享。

（四）審計(jì)的主要方法和程序

1.數(shù)據(jù)安全組織管理

(1)訪談組織人力管理部門或信息安全管理部門負(fù)

責(zé)人，了解組織是否設(shè)置專門的數(shù)據(jù)安全管理機(jī)構(gòu)和責(zé)

任人及其相關(guān)的部門和崗位。

(2)訪談數(shù)據(jù)安全管理機(jī)構(gòu)負(fù)責(zé)人，了解組織目前

是否制定與數(shù)據(jù)安全相關(guān)的包括數(shù)據(jù)服務(wù)安全追責(zé)在內(nèi)

的規(guī)章制度，并定期對(duì)責(zé)任部門和安全崗位組織安全檢

查，形成檢查報(bào)告；組織目前數(shù)據(jù)及其服務(wù)平臺(tái)與應(yīng)用

的安全規(guī)劃、安全建設(shè)、安全運(yùn)營和系統(tǒng)維護(hù)工作整體

情況；組織是否清楚地界定服務(wù)提供者、數(shù)據(jù)使用者

(包括終端用戶與設(shè)備)；是否設(shè)置專職的數(shù)據(jù)服務(wù)安

全崗位，建立規(guī)范化的數(shù)據(jù)服務(wù)安全保護(hù)、評(píng)估及考核

專職隊(duì)伍。

2.人員安全管理

(1)訪談人力資源管理和數(shù)據(jù)安全管理負(fù)責(zé)人，了

解組織是否基于數(shù)據(jù)生命周期各階段數(shù)據(jù)服務(wù)和系統(tǒng)服

務(wù)相關(guān)的工作范疇和安全管控措施，制定數(shù)據(jù)服務(wù)人力

資源安全策略。

(2)訪談數(shù)據(jù)安全管理負(fù)責(zé)人，了解是否明確數(shù)據(jù)

服務(wù)相關(guān)重要崗位及其角色安全要求，建立重要崗位角

色清單和授權(quán)機(jī)制。

(3)訪談人力資源管理負(fù)責(zé)人，是否就數(shù)據(jù)安全管

理的關(guān)鍵崗位做好人力資源培養(yǎng)和儲(chǔ)備工作。

(4)訪談人力資源管理負(fù)責(zé)人，是否在組織內(nèi)部針

對(duì)所有接觸個(gè)人信息和重要數(shù)據(jù)等敏感信息的全職員工

簽署保密協(xié)議，知曉組織對(duì)于數(shù)據(jù)安全管理的規(guī)范制度

與操作須知，并抽檢保密協(xié)議和制度知曉的記錄。

(5)訪談人力資源管理負(fù)責(zé)人，了解組織是否建

立第三方人員安全管理制度，對(duì)接觸個(gè)人信息、重要

數(shù)據(jù)等數(shù)據(jù)的人員進(jìn)行審批和登記，并要求簽署保密

協(xié)議，定期對(duì)這些人員行為進(jìn)行安全審查，并調(diào)閱相

關(guān)管理制度、保密協(xié)議和歷史審批與登記記錄。

(6)檢查組織是否建立數(shù)據(jù)安全教育培訓(xùn)機(jī)制，

分別針對(duì)數(shù)據(jù)操作人、數(shù)據(jù)安全管理人員和第三方人

員制定培訓(xùn)計(jì)劃，并定期對(duì)全員，特別是關(guān)鍵崗位人

員進(jìn)行能力檢查和考核，考核應(yīng)納入到個(gè)人與組織的

績效考核體系當(dāng)中，查閱教育培訓(xùn)與考核的歷史記

錄。

3.制度與規(guī)范管理

(1)調(diào)閱并檢查組織是否制定包括數(shù)據(jù)服務(wù)在內(nèi)

的數(shù)據(jù)安全管理制度和規(guī)范、數(shù)據(jù)分類分級(jí)規(guī)范和標(biāo)

準(zhǔn)、數(shù)據(jù)安全人員能力要求及向第三方提供或共享數(shù)

據(jù)時(shí)的安全管理制度和標(biāo)準(zhǔn)，其中，制度在范圍上應(yīng)

覆蓋數(shù)據(jù)全生命周期。

(2)檢查制度和標(biāo)準(zhǔn)是否得到定期評(píng)審和更新，

并分發(fā)至機(jī)構(gòu)數(shù)據(jù)服務(wù)部門和操作人員，抽樣訪談數(shù)

據(jù)操作和管理人員，了解其對(duì)制度規(guī)范的知曉情況并

查閱制度規(guī)范的更新記錄。

4?元數(shù)據(jù)安全管理

(1)檢查組織是否建立與數(shù)據(jù)服務(wù)相關(guān)的元數(shù)據(jù)

及其管理規(guī)范、與數(shù)據(jù)服務(wù)安全架構(gòu)相應(yīng)的安全元數(shù)

據(jù)管理規(guī)范和數(shù)據(jù)訪問控制策略，從而明確元數(shù)據(jù)管

理角色及其授權(quán)控制機(jī)制和查詢限制。

(2)檢查元數(shù)據(jù)的安全管理制度和規(guī)范是否包

括：依據(jù)資產(chǎn)分類分級(jí)策略所建立的元數(shù)據(jù)安全屬性

的自動(dòng)/手工分級(jí)機(jī)制；可依據(jù)元數(shù)據(jù)安全屬性建立標(biāo)

記的策略及標(biāo)記定義和管理機(jī)制。

(3)檢查組織是否從技術(shù)手段上實(shí)現(xiàn)：對(duì)表字

段、表與上下游表的血緣關(guān)系查詢進(jìn)行安全設(shè)置和查

詢限制?？蓪?duì)表訪問操作權(quán)限進(jìn)行限制。

(4)檢查組織是否建立針對(duì)元數(shù)據(jù)操作的審計(jì)制

度，并確保對(duì)元數(shù)據(jù)的操作具有可追溯性。

5.數(shù)據(jù)及平臺(tái)(系統(tǒng))管理

(1)檢查組織是否建立數(shù)據(jù)資產(chǎn)安全管理規(guī)范和

數(shù)據(jù)資產(chǎn)分類、分級(jí)方法、標(biāo)準(zhǔn)、操作指南、數(shù)據(jù)資

產(chǎn)分類分級(jí)變更審批流程，并對(duì)其進(jìn)行定期審核和更

新。

(2)檢查組織是否對(duì)數(shù)據(jù)資產(chǎn)實(shí)施登記制度，其

應(yīng)明確數(shù)據(jù)資產(chǎn)管理相關(guān)方及管理責(zé)任、數(shù)據(jù)資產(chǎn)管

理范圍和屬性，并調(diào)閱數(shù)據(jù)資產(chǎn)登記目錄清單。

(3)檢查組織是否在技術(shù)上建立綜合的數(shù)據(jù)管理

平臺(tái)或系統(tǒng)，實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)的統(tǒng)一管理，包括：是

否制定數(shù)據(jù)系統(tǒng)平臺(tái)資產(chǎn)安全管理規(guī)范，并明確安全

管理的目標(biāo)和原則；數(shù)據(jù)系統(tǒng)平臺(tái)的規(guī)劃和建設(shè)應(yīng)與

組織經(jīng)營戰(zhàn)略和平臺(tái)(系統(tǒng))全生命周期的安全需求

相一致。可依據(jù)數(shù)據(jù)資產(chǎn)和數(shù)據(jù)主體安全分級(jí)要求建

立相應(yīng)的標(biāo)記策略、訪問控制、數(shù)據(jù)加解密、數(shù)據(jù)脫

敏等安全機(jī)制和管控措施。

6.服務(wù)接口安全管理

(1)檢查組織是否制定與數(shù)據(jù)服務(wù)接口安全管理

有關(guān)的控制策略和安全規(guī)范。

(2)檢查組織的數(shù)據(jù)平臺(tái)與應(yīng)用在其內(nèi)部跨安全

域間的接口調(diào)用是否采用包括安全通道、加密傳輸?shù)?/p>

安全機(jī)制。

7.數(shù)據(jù)供應(yīng)鏈安全管理

(1)訪談組織數(shù)據(jù)管理部門負(fù)責(zé)人，了解組織目

前是否存在數(shù)據(jù)供應(yīng)鏈上下游間數(shù)據(jù)交換和使用的現(xiàn)

象，若存在，則了解并查看：組織是否建立與數(shù)據(jù)供

應(yīng)鏈安全管理有關(guān)的規(guī)范和安全方針，其應(yīng)明確數(shù)據(jù)

供應(yīng)鏈安全目標(biāo)、原則和范圍，并對(duì)其進(jìn)行查閱；組

織是否識(shí)別并建立數(shù)據(jù)供應(yīng)鏈上下游間數(shù)據(jù)交換和使

用的合規(guī)要求及合規(guī)目錄，從而確保其數(shù)據(jù)交換和使

用的合規(guī)；建立數(shù)據(jù)供應(yīng)鏈目錄和相關(guān)數(shù)據(jù)源數(shù)據(jù)字

典，明確數(shù)據(jù)供應(yīng)鏈的責(zé)任部門和人員。

(2)查閱組織與上下游數(shù)據(jù)供應(yīng)鏈服務(wù)商簽署的

合作協(xié)議，檢查協(xié)議是否：明確數(shù)據(jù)供應(yīng)鏈上下游責(zé)

任和義務(wù)，并檢查是否采用安全技術(shù)保障措施確保數(shù)據(jù)

供應(yīng)鏈上下游對(duì)數(shù)據(jù)交換、使用的安全、可靠與合

規(guī)；明確數(shù)據(jù)供應(yīng)鏈中數(shù)據(jù)的使用目的、供應(yīng)方式、

保密約定等內(nèi)容。

(3)檢查組織是否對(duì)數(shù)據(jù)供應(yīng)鏈上下游的數(shù)據(jù)服

務(wù)提供者和數(shù)據(jù)使用者的行為進(jìn)行合規(guī)性審核和分

析，并查閱相關(guān)記錄和報(bào)告。

8.數(shù)據(jù)安全審計(jì)管理

(1)訪談組織負(fù)責(zé)數(shù)據(jù)審計(jì)的負(fù)責(zé)人，詢問組織

是否明確對(duì)于數(shù)據(jù)安全審計(jì)的要求、審計(jì)范圍、審計(jì)

方式。

(2)訪談組織負(fù)責(zé)數(shù)據(jù)審計(jì)的負(fù)責(zé)人，詢問對(duì)數(shù)

據(jù)服務(wù)平臺(tái)(系統(tǒng))部署審計(jì)產(chǎn)品，登錄安全審計(jì)產(chǎn)

品并查看審計(jì)日志是否完整，其保存期限是否符合國

家強(qiáng)制要求并具有防篡改的功能。

(3)查閱歷史審計(jì)報(bào)告，了解審計(jì)對(duì)象是否包括

與數(shù)據(jù)相關(guān)的物理環(huán)境、網(wǎng)絡(luò)傳輸、平臺(tái)/系統(tǒng)、數(shù)據(jù)

庫及存儲(chǔ)介質(zhì)，以及基于數(shù)據(jù)平臺(tái)/提供者，數(shù)據(jù)提供

者，服務(wù)提供者和內(nèi)部服務(wù)/數(shù)據(jù)使用者針對(duì)主要操

作、敏感行為、敏感數(shù)據(jù)流通等安全事件。

三、數(shù)據(jù)生命周期安全管理審計(jì)

（一）業(yè)務(wù)概述

數(shù)據(jù)生命周期管理是指在數(shù)據(jù)采集、傳輸、存儲(chǔ)、

處理、交換（共享、應(yīng)用）、銷毀等階段下對(duì)流動(dòng)的

數(shù)據(jù)進(jìn)行綜合管理。

（二）審計(jì)目標(biāo)和內(nèi)容

1.數(shù)據(jù)收集

該控制項(xiàng)旨在針對(duì)數(shù)據(jù)收集過程，檢查組織是否依

據(jù)收集數(shù)據(jù)的敏感性對(duì)其進(jìn)行數(shù)據(jù)標(biāo)識(shí)，從而基于該

標(biāo)識(shí)進(jìn)行后續(xù)數(shù)據(jù)操作處理的監(jiān)控。

2.數(shù)據(jù)傳輸

該控制項(xiàng)旨在針對(duì)數(shù)據(jù)傳輸過程，檢查組織是否根

據(jù)傳輸過程的安全性劃分安全域，并根據(jù)安全域的級(jí)

別采取相應(yīng)的安全控制措施，防范數(shù)據(jù)遭受竊聽或泄

露，確保數(shù)據(jù)的完整性。

3.數(shù)據(jù)存儲(chǔ)與恢復(fù)

該控制項(xiàng)旨在針對(duì)數(shù)據(jù)存儲(chǔ)，檢查組織是否對(duì)所存

儲(chǔ)的數(shù)據(jù)采取安全措施，確保其安全性和完整性，同

時(shí)，根據(jù)組織對(duì)于數(shù)據(jù)可用性的要求，檢查組織是否

采取備份措施。

4.數(shù)據(jù)處理與加工

該控制項(xiàng)旨在針對(duì)處理和加工過程，檢查組織是否

對(duì)可接觸到數(shù)據(jù)的人員基于角色采取身份驗(yàn)證和訪問

控制，并對(duì)該過程采取加密和脫敏處置措施，防范數(shù)

據(jù)非法訪問或敏感信息遭到泄露。

5.數(shù)據(jù)使用與安全審計(jì)

該控制項(xiàng)旨在針對(duì)數(shù)據(jù)使用過程，檢查組織是否采

取身份驗(yàn)證和訪問控制措施，防止人員對(duì)于數(shù)據(jù)的非

法訪問，并采取加密和脫敏等技術(shù)手段，防止在使用

環(huán)節(jié)造成信息泄露并對(duì)使用環(huán)節(jié)進(jìn)行安全審計(jì)。

6.數(shù)據(jù)共享與流動(dòng)

該控制項(xiàng)旨在針對(duì)組織存在數(shù)據(jù)共享與流動(dòng)，特別

是跨境流動(dòng)時(shí)，是否制定相應(yīng)的規(guī)范制度和審批流

程，滿足國家合規(guī)監(jiān)管要求。

7.數(shù)據(jù)歸檔與銷毀

該控制項(xiàng)旨在檢查組織是否針對(duì)數(shù)據(jù)歸檔與銷毀過

程，并基于數(shù)據(jù)敏感程度制定完善的管理制度與規(guī)范

流程，防范在該過程中出現(xiàn)數(shù)據(jù)泄露。

（三）常見問題和風(fēng)險(xiǎn)

1.在數(shù)據(jù)生命周期管理期間，由于在人員、管理、

技術(shù)三個(gè)層面沒有建立適用的數(shù)據(jù)安全管理體系，使

得數(shù)據(jù)安全管理的效率與效果低下。

2.未實(shí)現(xiàn)數(shù)據(jù)分類分級(jí)管理或分級(jí)方法不合理，導(dǎo)

致未按照不同類別建立不同的安全控制措施，導(dǎo)致保

護(hù)過重或保護(hù)不當(dāng)。

3.數(shù)據(jù)在收集、傳輸、存儲(chǔ)和恢復(fù)、處理和加工、

使用與審計(jì)、歸檔與銷毀等過程中，由于缺乏有效的數(shù)

據(jù)加密和訪問控制，容易導(dǎo)致數(shù)據(jù)泄露風(fēng)險(xiǎn)。

4.數(shù)據(jù)在共享與流動(dòng)，特別是跨邊界和跨境流動(dòng)

時(shí)，由于未制定相應(yīng)的安全規(guī)范制度和審批流程，容

易產(chǎn)生違規(guī)風(fēng)險(xiǎn)。5.數(shù)據(jù)銷毀機(jī)制不健全或執(zhí)行不嚴(yán)

格，導(dǎo)致銷毀過程中敏感數(shù)據(jù)的泄露。

(四)審計(jì)的主要方法和程序

1.數(shù)據(jù)收集

(1)檢查組織是否根據(jù)數(shù)據(jù)分級(jí)分類管理制度中

定義的數(shù)據(jù)類型、安全等級(jí)對(duì)所收集的數(shù)據(jù)進(jìn)行標(biāo)

識(shí)，特別是敏感數(shù)據(jù)，并根據(jù)數(shù)據(jù)標(biāo)識(shí)和合規(guī)要求進(jìn)

行后續(xù)傳輸、存儲(chǔ)等流程的跟蹤和監(jiān)控。

(2)對(duì)收集的數(shù)據(jù)進(jìn)行抽查，檢查是否對(duì)已收集

的數(shù)據(jù)進(jìn)行標(biāo)記。

2.數(shù)據(jù)傳輸

(1)訪談網(wǎng)絡(luò)安全管理員，詢問組織是否在數(shù)據(jù)

傳輸過程中進(jìn)行安全域的劃分。

(2)訪談網(wǎng)絡(luò)安全管理員，詢問數(shù)據(jù)在跨域傳

輸，特別是在非安全域傳輸時(shí)是否采用安全加密機(jī)制

確保傳輸鏈路的安全可靠和對(duì)數(shù)據(jù)進(jìn)行安全加密，查

閱組織網(wǎng)絡(luò)拓?fù)鋱D并進(jìn)行實(shí)質(zhì)性查驗(yàn)。

(3)通過執(zhí)行滲透，獲取傳輸數(shù)據(jù)包，查驗(yàn)數(shù)據(jù)

包的完整性和保密性措施是否有效。

3.數(shù)據(jù)存儲(chǔ)與恢復(fù)

(1)訪談數(shù)據(jù)安全管理員，詢問組織為確保靜態(tài)

數(shù)據(jù)的安全性和完整性所采取的安全措施、加密手段

與方式、完整性校驗(yàn)手段與方式有哪些。

(2)訪談組織核心業(yè)務(wù)部門負(fù)責(zé)人對(duì)于數(shù)據(jù)可用

性的要求，并查閱組織業(yè)務(wù)連續(xù)性計(jì)劃，了解組織業(yè)

務(wù)對(duì)關(guān)鍵數(shù)據(jù)的可用性指標(biāo)。

(3)訪談數(shù)據(jù)安全管理員，詢問組織為確保靜態(tài)

數(shù)據(jù)的可用性，所采取的存儲(chǔ)架構(gòu)、技術(shù)手段和工具

有哪些，以及是否部署實(shí)現(xiàn)集群異地災(zāi)備，判斷數(shù)據(jù)

存儲(chǔ)和恢復(fù)是否滿足業(yè)務(wù)需求。

(4)查閱數(shù)據(jù)完整性測(cè)試報(bào)告和異地?cái)?shù)據(jù)恢復(fù)的

測(cè)試報(bào)告。

4.數(shù)據(jù)處理與加工

(1)訪談數(shù)據(jù)安全管理員，詢問在對(duì)數(shù)據(jù)進(jìn)行操

作處理過程中是否采用安全的身份驗(yàn)證和加密措施，

確保數(shù)據(jù)交換和處理過程中的安全、可靠。

(2)訪談數(shù)據(jù)安全管理員，詢問在對(duì)數(shù)據(jù)進(jìn)行操

作處理過程中涉及敏感信息時(shí)，是否對(duì)其脫敏處理。

5.數(shù)據(jù)使用與安全審計(jì)

(1)訪談數(shù)據(jù)安全管理員或系統(tǒng)管理員，詢問在

進(jìn)行數(shù)據(jù)展示時(shí)，是否對(duì)敏感數(shù)據(jù)進(jìn)行不可逆加密、

區(qū)間隨機(jī)、掩碼替換等脫敏手段。

(2)訪談系統(tǒng)管理員，詢問是否基于數(shù)據(jù)安全管

理員或系統(tǒng)管理員，基于角色和“按需所知”原則做

到對(duì)數(shù)據(jù)表列級(jí)的訪問和操作權(quán)限控制。

(3)訪談數(shù)據(jù)安全管理員或系統(tǒng)管理員，詢問用

戶在對(duì)數(shù)據(jù)進(jìn)行操作和管理的過程中，是否基于制定

的訪問權(quán)限，建立統(tǒng)一的身份識(shí)別和權(quán)限管理系統(tǒng)，

實(shí)現(xiàn)對(duì)各類業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫等賬號(hào)實(shí)現(xiàn)統(tǒng)一管理，

并對(duì)數(shù)據(jù)的訪問和使用進(jìn)行安全審計(jì)。

6.數(shù)據(jù)共享與流動(dòng)

(1)訪談數(shù)據(jù)應(yīng)用或管理部門的負(fù)責(zé)人，詢問組

織是否基于業(yè)務(wù)戰(zhàn)略和信息安全戰(zhàn)略制定數(shù)據(jù)共享和

流動(dòng)的安全評(píng)估和處理流程、審批制度、安全策略等

規(guī)范制度，調(diào)閱制度并檢查其內(nèi)容是否符合對(duì)于數(shù)據(jù)

共享與跨境傳輸?shù)暮弦?guī)要求。

(2)訪談數(shù)據(jù)應(yīng)用或管理部門的負(fù)責(zé)人，詢問并

查閱組織在進(jìn)行日常數(shù)據(jù)服務(wù)時(shí)：是否與第三方簽訂

數(shù)據(jù)服務(wù)合同，審查合同是否約定數(shù)據(jù)接收方的數(shù)據(jù)

處理目的、方式和采取的安全措施以及數(shù)據(jù)接收方應(yīng)

配合組織對(duì)數(shù)據(jù)出境活動(dòng)進(jìn)行調(diào)查等關(guān)鍵內(nèi)容；合同

是否約定在未獲得數(shù)據(jù)發(fā)送方的授權(quán)前提下，數(shù)據(jù)接

收方不得對(duì)數(shù)據(jù)進(jìn)行公開披露及再轉(zhuǎn)移；是否約定數(shù)

據(jù)接收方使用、留存數(shù)據(jù)的合法周期及超出合法周期

后數(shù)據(jù)接收方對(duì)數(shù)據(jù)所采取的處理措施；是否約定數(shù)

據(jù)接收方應(yīng)配合數(shù)據(jù)發(fā)送方履行的安全責(zé)任和義務(wù)。

(3)訪談數(shù)據(jù)應(yīng)用或管理部門的負(fù)責(zé)人，詢問組

織日常數(shù)據(jù)共享與流動(dòng)若涉及跨境傳輸，是否開展如

下活動(dòng)并調(diào)閱相關(guān)操作文檔：在數(shù)據(jù)出境前應(yīng)制定出

境計(jì)劃，滿足合法性、正當(dāng)性和必要性的要求；在數(shù)

據(jù)跨境傳輸前開展安全風(fēng)險(xiǎn)評(píng)估，并周期性的開展安

全評(píng)估，評(píng)估應(yīng)包括安全自評(píng)估和主管部門評(píng)估；在

開展數(shù)據(jù)共享或跨境傳輸前，是否對(duì)數(shù)據(jù)接受方的背

景、資質(zhì)進(jìn)行安全審查和檢查，并基于國家關(guān)于個(gè)人

信息和重要數(shù)據(jù)出境安全評(píng)估相關(guān)條件進(jìn)行安全評(píng)

估；對(duì)數(shù)據(jù)出境的全過程進(jìn)行記錄并保留所有操作流

程，操作日志應(yīng)保存不少于2年；當(dāng)發(fā)生數(shù)據(jù)出境安

全事件時(shí)，是否制定安全事件的通報(bào)機(jī)制和手段；訪

談數(shù)據(jù)應(yīng)用或管理部門的負(fù)責(zé)人，詢問組織是否制定

數(shù)據(jù)共享與流動(dòng)的安全事件應(yīng)急預(yù)案，并進(jìn)行應(yīng)急演

練，審查應(yīng)急預(yù)案是否包含應(yīng)急處置、安全事件告知

和上報(bào)等相關(guān)內(nèi)容。

(4)當(dāng)發(fā)生數(shù)據(jù)出境安全事件時(shí)，應(yīng)按照國家有

關(guān)規(guī)定及時(shí)向國家網(wǎng)信部門或行業(yè)主管部門上報(bào)數(shù)據(jù)

出境安全事件，上報(bào)內(nèi)容包括但不限于：安全事件發(fā)

生的時(shí)間、數(shù)據(jù)類型、數(shù)量、范圍、可能造成的影

響，已采取或?qū)⒁扇〉奶幹么胧录幹孟嚓P(guān)人

員的聯(lián)系方式。

7.數(shù)據(jù)歸檔與銷毀

(1)檢查組織是否基于數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)制定數(shù)

據(jù)及存儲(chǔ)介質(zhì)銷毀相關(guān)的管理制度和安全策略，明確

銷毀對(duì)象、流程、方式及審批、監(jiān)督和評(píng)價(jià)機(jī)制。

(2)訪談組織目前本地和網(wǎng)絡(luò)分布式存儲(chǔ)數(shù)據(jù)的

銷毀方式與技術(shù)手段，并查閱歷史銷毀記錄。

四、個(gè)人信息安全管理審計(jì)

（一）業(yè)務(wù)概述

個(gè)人信息，是指以電子或者其他方式記錄的能夠單

獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信

息，包括但不限于自然人的姓名、出生日期、身份證

件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。

規(guī)范個(gè)人信息控制者在收集、保存、使用、共享、

轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為。旨在

遏制個(gè)人信息非法收集、濫用、泄漏等亂象，最大程

度地保障個(gè)人的合法權(quán)益和社會(huì)公共利益。

（二）審計(jì)目標(biāo)和內(nèi)容

1.通用管理

該控制項(xiàng)旨在檢查組織是否針對(duì)個(gè)人信息，建立健

全個(gè)人信息保護(hù)的管理體系和風(fēng)險(xiǎn)管理體系，并提供

個(gè)人信息泄露或非法使用的申訴管理機(jī)制和舉報(bào)渠

道。

2.個(gè)人信息的收集

該控制項(xiàng)旨在檢查組織在個(gè)人信息收集環(huán)節(jié)，是否

制定完善的安全策略和規(guī)范，滿足《網(wǎng)絡(luò)安全法》中

關(guān)于個(gè)人信息保護(hù)的合規(guī)要求。

3.個(gè)人信息的傳輸與存儲(chǔ)

該控制項(xiàng)旨在檢查組織在個(gè)人信息傳輸與存儲(chǔ)環(huán)

節(jié)，是否采取管理與技術(shù)手段，確保個(gè)人信息境內(nèi)存

儲(chǔ)和離境前安全與風(fēng)險(xiǎn)評(píng)估的合規(guī)要求，以及個(gè)人敏

感信息不被泄露。

4.個(gè)人信息的處理

該控制項(xiàng)旨在檢查組織在個(gè)人信息處理環(huán)節(jié)，是否

采取技術(shù)手段防范個(gè)人信息主體被識(shí)別和還原。

5.個(gè)人信息的使用

該控制項(xiàng)旨在檢查組織是否在個(gè)人信息使用環(huán)節(jié)，

采取訪問控制措施防范對(duì)其非法訪問，并在個(gè)人信息

控制權(quán)發(fā)生轉(zhuǎn)移時(shí)對(duì)接收方進(jìn)行安全評(píng)估，并獲得其

安全使用的承諾。

6.個(gè)人信息的變更與銷毀

該控制項(xiàng)旨在檢查組織在個(gè)人信息變更和銷毀環(huán)

節(jié)，是否為個(gè)人信息主體提供合法變更的渠道，或在

完成所收集個(gè)人信息使用目的后，規(guī)范個(gè)人信息的刪

除流程和途徑。

（三）常見問題和風(fēng)險(xiǎn)

1.未建立個(gè)人信息保護(hù)組織或缺乏相關(guān)負(fù)責(zé)人，不

利于個(gè)人信息保護(hù)工作的推廣和執(zhí)行，也無法有效落

實(shí)個(gè)人信息保護(hù)的責(zé)任。

2.未建立規(guī)范化的個(gè)人信息保護(hù)制度和流程，可能

造成個(gè)人信息的收集、存儲(chǔ)、使用、變更、銷毀等操

作不合法的情況。

3.組織在使用個(gè)人信息時(shí)，沒有開展安全影響評(píng)

估，無法判斷個(gè)人信息使用與保護(hù)的程度，容易造成

侵權(quán)與違規(guī)風(fēng)險(xiǎn)。

4.在收集個(gè)人信息時(shí)，沒有注意最小化要求，或者

在沒有得到允許的情況下公開披露個(gè)人信息，容易造

成侵權(quán)與違規(guī)風(fēng)險(xiǎn)。

5.組織在處理個(gè)人敏感信息時(shí)，個(gè)人信息的傳輸、

處理、存儲(chǔ)、銷毀未采用加密、訪問控制等安全措

施，容易造成泄露個(gè)人敏感信息的風(fēng)險(xiǎn)。

(四)審計(jì)的主要方法和程序

1.通用管理

(1)訪談組織數(shù)據(jù)管理部門，了解是否基于業(yè)務(wù)

量和個(gè)人信息處理數(shù)量，設(shè)立專職的個(gè)人信息保護(hù)負(fù)

責(zé)機(jī)構(gòu)與負(fù)責(zé)人，并明確相關(guān)工作職責(zé)。

(2)訪談組織數(shù)據(jù)管理部門，了解組織是否制定

關(guān)于個(gè)人信息和個(gè)人隱私保護(hù)的管理規(guī)范，其明確定

義個(gè)人敏感信息的識(shí)別范圍、類別，以及對(duì)個(gè)人信息

進(jìn)行匿名化處理的條件和定期評(píng)審更新機(jī)制。

(3)訪談組織數(shù)據(jù)管理部門或風(fēng)險(xiǎn)管理部門，詢

問是否建立針對(duì)個(gè)人信息安全影響的風(fēng)險(xiǎn)評(píng)估制度并

定期開展個(gè)人信息安全影響評(píng)估，并查閱歷史風(fēng)險(xiǎn)評(píng)

估記錄。

(4)訪談組織數(shù)據(jù)管理部門，詢問是否制定個(gè)人

信息安全事件應(yīng)急預(yù)案并定期開展應(yīng)急響應(yīng)培訓(xùn)和應(yīng)

急演練，包括當(dāng)發(fā)生個(gè)人信息泄露時(shí)通知個(gè)人信息主

體的方式、方法與內(nèi)容。

(5)訪談人力資源管理部門，詢問從事或接觸個(gè)

人信息處理崗位的人員(包括第三方人員)，在錄用

時(shí)是否進(jìn)行背景審查并簽署保密協(xié)議，在調(diào)離崗位或

終止勞動(dòng)合同時(shí)是否要求繼續(xù)履行保密義務(wù)，并對(duì)上

述人員開展個(gè)人信息安全專業(yè)化培訓(xùn)和考核，確保相

關(guān)人員熟練掌握隱私政策和相關(guān)規(guī)程。

(6)訪談組織數(shù)據(jù)管理部門，是否建立個(gè)人信息

泄露或非法使用的申訴管理機(jī)制和舉報(bào)渠道，并對(duì)造

成安全事件違反安全使用的人員制定處罰機(jī)制。

2.個(gè)人信息的收集

(1)訪談個(gè)人信息收集崗位的負(fù)責(zé)人，了解在進(jìn)

行個(gè)人信息收集前，組織是否以明示的方式(如隱私

政策)向個(gè)人信息主體說明收集、使用的目的、收集

方式和頻率、存放地域、存儲(chǔ)期限、自身的數(shù)據(jù)安全

能力、對(duì)外共享、轉(zhuǎn)讓、公開披露的有關(guān)情況等，確

保個(gè)人信息主體的知情權(quán)并得到其授權(quán)，同時(shí)抽查信

息收集說明和信息主體的授權(quán)確認(rèn)信息。

(2)抽查年滿14周歲的未成年人個(gè)人信息收集

記錄，查看是否征得未成年人或其監(jiān)護(hù)人的明示同

意；不滿14周歲的，應(yīng)征得其監(jiān)護(hù)人的明示同意。

(3)訪談個(gè)人信息收集崗位的負(fù)責(zé)人，了解組織

間接獲得的個(gè)人信息，是否獲得個(gè)人信息提供方就個(gè)

人信息來源的書面確認(rèn)，確保來源的合法性，包括個(gè)

人信息提供方已獲得的個(gè)人信息處理的授權(quán)同意范

圍，包括使用目的，個(gè)人信息主體是否授權(quán)同意轉(zhuǎn)

讓、共享、公開披露等。

(4)訪談個(gè)人信息收集崗位的負(fù)責(zé)人，了解組織

是否向個(gè)人信息主體提供撤回收集、使用其個(gè)人信息

同意授權(quán)的途徑和方法。

3.個(gè)人信息的傳輸與存儲(chǔ)

(1)分別訪談數(shù)據(jù)安全管理者及數(shù)據(jù)存儲(chǔ)管理

員，了解組織在傳輸和存儲(chǔ)個(gè)人敏感信息時(shí)是否采用

加密等安全措施，對(duì)于個(gè)人生物識(shí)別信息，詢問是否

采用技術(shù)措施處理后再進(jìn)行存儲(chǔ)，例如僅存儲(chǔ)個(gè)人生

物識(shí)別信息的摘要。

(2)訪談數(shù)據(jù)存儲(chǔ)管理員，詢問組織所收集和產(chǎn)

生的個(gè)人信息是否在中華人民共和國境內(nèi)存儲(chǔ)。

(3)分別訪談數(shù)據(jù)安全管理者及數(shù)據(jù)存儲(chǔ)管理

員，了解組織若涉及個(gè)人信息的跨境傳輸與存儲(chǔ)業(yè)

務(wù)，是否制定相應(yīng)的審批流程，并在進(jìn)行跨境傳輸與

存儲(chǔ)時(shí)，按照合規(guī)監(jiān)管要求進(jìn)行安全檢查和安全評(píng)

估，調(diào)閱并查看相關(guān)的審批、審查和評(píng)估歷史文檔。

4.個(gè)人信息的處理

(1)訪談數(shù)據(jù)安全管理負(fù)責(zé)人，了解組織是否制

定針對(duì)個(gè)人信息去標(biāo)識(shí)化的規(guī)范與流程，由專人、專

崗負(fù)責(zé)。

(2)訪談個(gè)人信息去標(biāo)識(shí)化負(fù)責(zé)人，了解所使用

的個(gè)人信息匿名化、去標(biāo)識(shí)化和加密手段，并抽查去

標(biāo)識(shí)化后的個(gè)人信息是否可被識(shí)別、復(fù)原，或在不借

助額外信息的情況下，無法識(shí)別個(gè)人信息主體。

(3)訪談個(gè)人信息去標(biāo)識(shí)化負(fù)責(zé)人，了解對(duì)不滿

足隱私保護(hù)的數(shù)據(jù)項(xiàng)進(jìn)行刪除時(shí)應(yīng)采用的抑制技術(shù)。

5.個(gè)人信息的使用

(1)訪談數(shù)據(jù)安全負(fù)責(zé)人或個(gè)人信息安全負(fù)責(zé)

人，了解組織是否在將其個(gè)人信息控制權(quán)向另一個(gè)控

制者轉(zhuǎn)移時(shí)，對(duì)其安全管理環(huán)境進(jìn)行風(fēng)險(xiǎn)評(píng)估，并以

書面形式獲得轉(zhuǎn)移方的安全評(píng)估結(jié)果和使用承諾，查

閱歷史風(fēng)險(xiǎn)評(píng)估記錄、接受方的安全評(píng)估結(jié)果和使用

承諾書。

(2)訪談數(shù)據(jù)安全負(fù)責(zé)人或個(gè)人信息安全負(fù)責(zé)

人，了解組織對(duì)內(nèi)部個(gè)人信息使用者、管理者和操作

者是否基于業(yè)務(wù)需要和角色對(duì)個(gè)人敏感信息的訪問、

修改等行為進(jìn)行訪問權(quán)限設(shè)置，并對(duì)涉及個(gè)人信息的

重要操作應(yīng)設(shè)置內(nèi)部審批流程。

6.個(gè)人信息的變更與銷毀

(1)訪談個(gè)人信息安全負(fù)責(zé)人，了解組織是否在

收集到有錯(cuò)誤或不完整的個(gè)人信息主體修改請(qǐng)求時(shí)，

提供更正或補(bǔ)充信息的方法或渠道，并對(duì)其進(jìn)行驗(yàn)

證。

(2)訪談個(gè)人信息安全負(fù)責(zé)人，了解組織是否制

定個(gè)人信息銷毀的規(guī)范與流程，向通過注冊(cè)賬戶獲得

個(gè)人信息的個(gè)人信息主體提供注銷賬戶的方法，并刪

除其個(gè)人信息或做匿名化處理。

五、重要數(shù)據(jù)安全管理審計(jì)

(一)業(yè)務(wù)概述

重要數(shù)據(jù)，一方面是指與國家安全、經(jīng)濟(jì)發(fā)展，以

及社會(huì)公共利益密切相關(guān)的數(shù)據(jù)，具體范圍參照國家

有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識(shí)別指南；另一方面是指企事業(yè)

單位的戰(zhàn)略規(guī)劃、管理方法、商業(yè)模式、財(cái)務(wù)信息等

經(jīng)營信息和設(shè)計(jì)程序、產(chǎn)品配方、制作工藝、技術(shù)訣

竅等技術(shù)信息。

規(guī)范重要數(shù)據(jù)在收集、保存、使用、傳輸、共享等

信息處理環(huán)節(jié)中的相關(guān)行為。旨在遏制數(shù)據(jù)非授權(quán)收

集、濫用、泄漏等亂象，最大程度地保障重要數(shù)據(jù)的

安全。

（二）審計(jì)目標(biāo)和內(nèi)容

1.通用管理

該控制項(xiàng)旨在檢查組織針對(duì)其重要數(shù)據(jù)是否建立健

全完善的管理體系，包括制度體系、組織與人員體

系、應(yīng)急管理體系，并提供重要數(shù)據(jù)安全事件的申訴

渠道。

2.重要數(shù)據(jù)識(shí)別與分類分級(jí)

該控制項(xiàng)旨在檢查組織是否就所屬行業(yè)和經(jīng)營業(yè)務(wù)

制定重要數(shù)據(jù)識(shí)別及分類分級(jí)的制度規(guī)范、標(biāo)準(zhǔn)以及

變更和審批流程，從而為后續(xù)重要數(shù)據(jù)操作和處理提

供依據(jù)。

3.跨境傳輸與存儲(chǔ)前安全風(fēng)險(xiǎn)評(píng)估

該控制項(xiàng)旨在檢查組織在其存在重要數(shù)據(jù)跨境傳輸

與境外存儲(chǔ)的背景下，是否建立完善的安全風(fēng)險(xiǎn)評(píng)估

與審批流程，滿足國家合規(guī)監(jiān)管要求。

4.應(yīng)急管理

該控制項(xiàng)旨在檢查組織依據(jù)建立的重要數(shù)據(jù)安全事

件應(yīng)急管理體系，制定并完善應(yīng)急管理制度并定期開

展應(yīng)急演練，在滿足合規(guī)要求的同時(shí)，確保安全事件

發(fā)生時(shí)得到有效、迅速的遏制，防范事件蔓延。

（三）常見問題和風(fēng)險(xiǎn)

1.未建立重要數(shù)據(jù)保護(hù)工作機(jī)構(gòu)或指定負(fù)責(zé)人，不

利于重要數(shù)據(jù)的保護(hù)和管理，同時(shí)無法有效落實(shí)重要

數(shù)據(jù)保護(hù)的責(zé)任。

2.未實(shí)現(xiàn)重要數(shù)據(jù)分類分級(jí)管理，無法有效對(duì)重要

數(shù)據(jù)建立針對(duì)性的保護(hù)措施，由于保護(hù)機(jī)制不到位，

造成的重要數(shù)據(jù)泄露或非法訪問。

3.未建立規(guī)范化的重要數(shù)據(jù)保護(hù)制度和流程，可能

造成重要數(shù)據(jù)的收集、存儲(chǔ)、使用、變更、銷毀等操

作不合法的情況。

4.組織在使用重要數(shù)據(jù)時(shí)，沒有開展安全風(fēng)險(xiǎn)評(píng)

估，無法判斷重要數(shù)據(jù)的使用與保護(hù)的程度，容易造

成侵權(quán)與違規(guī)風(fēng)險(xiǎn)。

5.組織在處理重要數(shù)據(jù)時(shí)，數(shù)據(jù)的傳輸、處理、存

儲(chǔ)、銷毀未采用加密、訪問控制等安全措施，容易造

成重要數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

6.未建立數(shù)據(jù)應(yīng)急預(yù)案，無法有效制定數(shù)據(jù)丟失、

數(shù)據(jù)泄露等重要場(chǎng)景的處置措施，不利于重要數(shù)據(jù)發(fā)

生異常的處置和恢復(fù)。

(四)審計(jì)的主要方法和程序

1.通用管理

(1)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織是否在其內(nèi)部成立重要數(shù)據(jù)保護(hù)的工作機(jī)

構(gòu)、日常辦事機(jī)構(gòu)，并指定專門的安全管理人員。

(2)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織目前是否建立關(guān)于重要數(shù)據(jù)保護(hù)的管理體系

和相應(yīng)的規(guī)章制度，并基于合規(guī)和監(jiān)管要求，對(duì)組織

日常經(jīng)營活動(dòng)所涉及的重要數(shù)據(jù)進(jìn)行了識(shí)別，并明確

定義了對(duì)重要數(shù)據(jù)進(jìn)行匿名化處理的條件。

(3)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織是否建立針對(duì)重要數(shù)據(jù)安全事件的處置、應(yīng)

急響應(yīng)和事后調(diào)查的流程與機(jī)制，記錄事件的處置與

調(diào)查全過程，及時(shí)發(fā)現(xiàn)并消除重要數(shù)據(jù)的違規(guī)使用和

濫用等情況，同時(shí)查看有關(guān)處置方案和歷史記錄。

(4)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織是否建立申訴管理機(jī)制和渠道。

2.重要數(shù)據(jù)識(shí)別與分類分級(jí)

(1)訪談組織數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問了解

是否基于行業(yè)監(jiān)管要求制定重要數(shù)據(jù)識(shí)別的管理制度

與規(guī)范。

(2)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織是否制定針對(duì)重要數(shù)據(jù)的分類分級(jí)策略和管

理制度與規(guī)范，查看是否對(duì)各類重要數(shù)據(jù)的保護(hù)期限

和標(biāo)記做出明確規(guī)定。

(3)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織是否制定重要數(shù)據(jù)保護(hù)范圍和分類分級(jí)的變

更與審批流程，并查看歷史變更和審批記錄。

3.跨境傳輸與存儲(chǔ)前安全風(fēng)險(xiǎn)評(píng)估

(1)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織重要數(shù)據(jù)的存儲(chǔ)位置及是否涉及跨境流動(dòng)和

存儲(chǔ)。

(2)訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

了解組織對(duì)涉及跨境傳輸與存儲(chǔ)的重要數(shù)據(jù)是否進(jìn)行

安全檢查與風(fēng)險(xiǎn)評(píng)估，并建立完善的審批流程，同時(shí)

查看歷史相關(guān)記錄，判斷記錄的完整性與合規(guī)性。

4.應(yīng)急管理

(1)訪談負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問了解

組織是否制定針對(duì)重要數(shù)據(jù)安全事件應(yīng)急預(yù)案并定期

開展應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練。

(2)調(diào)閱并查看應(yīng)急預(yù)案，檢查其內(nèi)容是否明確

安全事件的具體處置措施、上報(bào)和信息披露流程，并

查看培訓(xùn)和演練的歷史記錄。

六、數(shù)據(jù)平臺(tái)與技術(shù)安全管理審計(jì)

(一)業(yè)務(wù)概述

數(shù)據(jù)平臺(tái)是指為數(shù)據(jù)應(yīng)用提供資源和服務(wù)的支撐集