數(shù)據(jù)安全審計(jì)

1、數(shù)據(jù)安全審計(jì)伴隨互聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)的迅猛 發(fā)展，無處不在的移動(dòng)設(shè)備、無線傳感器等設(shè)備以及 數(shù)以億計(jì)的互聯(lián)網(wǎng)用戶和企業(yè)產(chǎn)生的消費(fèi)數(shù)據(jù)及經(jīng)營(yíng) 數(shù)據(jù)使得各類信息呈現(xiàn)爆炸式增長(zhǎng)。同時(shí)，數(shù)據(jù)的高 度集中，共享開放和交叉使用以及數(shù)據(jù)流動(dòng)的趨勢(shì)也 在不斷加劇。組織由于數(shù)據(jù)管理、安全隔離、訪問控 制及數(shù)據(jù)加密等措施不充分而面臨的網(wǎng)絡(luò)入侵和信息 泄露風(fēng)險(xiǎn)越來越大。一旦數(shù)據(jù)的機(jī)密性、完善性和可用性受到損害， 將不能支撐組織業(yè)務(wù)的健康運(yùn)行；隨著網(wǎng)絡(luò)安全法的 實(shí)施，國家對(duì)重要業(yè)務(wù)數(shù)據(jù)和個(gè)人敏感信息保護(hù)的力 度也在加強(qiáng)，數(shù)據(jù)安全的違規(guī)成本已越來越高。因 此，數(shù)據(jù)安全是數(shù)字經(jīng)濟(jì)時(shí)代生產(chǎn)力要素的必要屬 性，

2、持續(xù)性開展數(shù)據(jù)安全審計(jì)已成為信息系統(tǒng)審計(jì)的 重要內(nèi)容。本節(jié)所涉及的數(shù)據(jù)包括了日常數(shù)據(jù)和大數(shù)據(jù)（按結(jié) 構(gòu)化程度和數(shù)據(jù)規(guī)模）、個(gè)人信息和重要數(shù)據(jù)（按數(shù) 據(jù)對(duì)象類型）的相關(guān)內(nèi)容。本節(jié)將從數(shù)據(jù)安全治理、 數(shù)據(jù)安全管理、數(shù)據(jù)生命周期安全管理、個(gè)人信息安 全管理、重要數(shù)據(jù)安全管理、數(shù)據(jù)平臺(tái)與技術(shù)安全管 理等方面對(duì)數(shù)據(jù)安全的審計(jì)方法和步驟進(jìn)行描述。、數(shù)據(jù)安全治理審計(jì)（一）業(yè)務(wù)概述數(shù)據(jù)是指對(duì)客觀事件進(jìn)行記錄并可以鑒別的符號(hào)， 是對(duì)客觀事物的性質(zhì)、狀態(tài)以及相互關(guān)系等進(jìn)行記載 的物理符號(hào)或這些物理符號(hào)的組合數(shù)據(jù)安全風(fēng)險(xiǎn)涉及面較廣，既體現(xiàn)在組織在治理層 面的治理風(fēng)險(xiǎn)，還體現(xiàn)在數(shù)據(jù)在其生命周期和服務(wù)過程 中的管理風(fēng)險(xiǎn)

3、，以及伴隨的個(gè)人信息和重要數(shù)據(jù)等敏感 信息泄露和跨境流通風(fēng)險(xiǎn)。（二）審計(jì)目標(biāo)和內(nèi)容董事會(huì)的職責(zé)該控制項(xiàng)旨在從組織的治理層面，檢查組織是否將 數(shù)據(jù)的安全治理工作納入組織治理工作范疇，建立健全 包括風(fēng)險(xiǎn)管理和數(shù)據(jù)安全審計(jì)監(jiān)督在內(nèi)的架構(gòu)體系，從 而完善數(shù)據(jù)的安全合規(guī)管理。戰(zhàn)略規(guī)劃與價(jià)值實(shí)現(xiàn)該控制項(xiàng)旨在檢查組織是否依據(jù)董事會(huì)所明確的數(shù) 據(jù)安全治理目標(biāo)制定相關(guān)的安全戰(zhàn)略。數(shù)據(jù)安全合規(guī)管理該控制項(xiàng)旨在檢查組織是否基于數(shù)據(jù)安全戰(zhàn)略規(guī) 劃，建立健全數(shù)據(jù)安全管理制度體系，滿足合規(guī)監(jiān)管要 求。數(shù)據(jù)風(fēng)險(xiǎn)管理該控制項(xiàng)旨在檢查組織是否從數(shù)據(jù)、人員、產(chǎn)品與 服務(wù)等方面，建立并完善數(shù)據(jù)安全風(fēng)險(xiǎn)管理體系，并將 其納入組織風(fēng)險(xiǎn)

4、管理體系當(dāng)中。數(shù)據(jù)安全審計(jì)監(jiān)督該控制項(xiàng)旨在檢查組織是否將數(shù)據(jù)的安全審計(jì)工作 納入到組織的安全審計(jì)體系范疇內(nèi)，建立并完善針對(duì)數(shù) 據(jù)安全審計(jì)的專項(xiàng)工作。（三）常見問題和風(fēng)險(xiǎn)未建立數(shù)據(jù)安全治理組織架構(gòu)及職責(zé)，無法自上 而下推動(dòng)相關(guān)數(shù)據(jù)安全治理工作的有序開展。未建立組織級(jí)數(shù)據(jù)戰(zhàn)略規(guī)劃，無法有效覆蓋網(wǎng)絡(luò) 安全法及等級(jí)保護(hù)等相關(guān)法規(guī)與標(biāo)準(zhǔn)的要求，無法指明 數(shù)據(jù)整體的發(fā)展目標(biāo)和規(guī)劃，不利于數(shù)據(jù)長(zhǎng)遠(yuǎn)發(fā)展。未制定數(shù)據(jù)安全相關(guān)管理制度及流程，導(dǎo)致數(shù)據(jù) 安全管控要求無法有效落實(shí)。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估執(zhí)行不到位，未識(shí)別出重要的 數(shù)據(jù)安全風(fēng)險(xiǎn)，不利于數(shù)據(jù)安全治理體系的持續(xù)優(yōu)化。（四）審計(jì)的主要方法和程序董事會(huì)的職責(zé)（1）檢

5、查組織董事會(huì)和執(zhí)行管理部門職責(zé)，是否將 數(shù)據(jù)安全治理工作納入到組織綜合治理工作范疇當(dāng)中， 明確數(shù)據(jù)安全治理職責(zé)并對(duì)其安全治理予以承諾和支 持，從戰(zhàn)略、組織、架構(gòu)和實(shí)施等多個(gè)環(huán)節(jié)提供保障。（2）查閱組織數(shù)據(jù)治理的規(guī)章制度，明確數(shù)據(jù)安全 治理需要達(dá)到的目標(biāo)和定位，判斷其治理目標(biāo)是否與組 織戰(zhàn)略、業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)目標(biāo)、業(yè)務(wù)需求相一致。（3）檢查組織是否建立跨部門的數(shù)據(jù)安全管理委員 會(huì)和風(fēng)險(xiǎn)管理委員會(huì)，明確安全治理的角色和責(zé)任。（4）檢查組織是否建立基于滿足業(yè)務(wù)戰(zhàn)略的數(shù)據(jù)架 構(gòu)，并進(jìn)行持續(xù)的評(píng)估、監(jiān)督和改進(jìn)。（5）訪談組織信息科技治理負(fù)責(zé)人，了解組織是否 已經(jīng)或即將部署云服務(wù)平臺(tái)，以及是否將基于云平臺(tái)中

6、 的數(shù)據(jù)安全治理列入主要治理目標(biāo)和任務(wù)當(dāng)中。戰(zhàn)略規(guī)劃與價(jià)值實(shí)現(xiàn)（1）訪談戰(zhàn)略規(guī)劃負(fù)責(zé)人或查閱組織經(jīng)營(yíng)戰(zhàn)略規(guī) 劃，判斷數(shù)據(jù)戰(zhàn)略規(guī)劃是否滿足經(jīng)營(yíng)戰(zhàn)略需要。（經(jīng)營(yíng) 戰(zhàn)略一致性）（2）查閱組織數(shù)據(jù)戰(zhàn)略規(guī)劃，判斷其戰(zhàn)略內(nèi)容是否 與組織數(shù)據(jù)治理目標(biāo)相一致，檢查內(nèi)容上是否包括數(shù)據(jù) 服務(wù)戰(zhàn)略、數(shù)據(jù)平臺(tái)與應(yīng)用戰(zhàn)略，且戰(zhàn)略規(guī)劃內(nèi)容是否 涉及數(shù)據(jù)安全，體現(xiàn)網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保 護(hù)等制度對(duì)于數(shù)據(jù)安全的相關(guān)要求。（3）訪談信息系統(tǒng)戰(zhàn)略規(guī)劃負(fù)責(zé)人，了解組織信息 化及信息安全戰(zhàn)略規(guī)劃要求，判斷數(shù)據(jù)安全戰(zhàn)略是否與 信息系統(tǒng)安全戰(zhàn)略和需求相一致。（信息系統(tǒng)安全戰(zhàn)略 一致性）（4）查閱數(shù)據(jù)安全戰(zhàn)略規(guī)劃，判斷其從內(nèi)容上是否

7、體現(xiàn)組織對(duì)于個(gè)人信息（隱私）保護(hù)和重要數(shù)據(jù)保護(hù)治 理方面的要求。數(shù)據(jù)安全合規(guī)管理（1）查閱組織制定的與數(shù)據(jù)管理相關(guān)的制度與規(guī) 范，從而判斷其是否符合數(shù)據(jù)安全相關(guān)的政策、法律、 法規(guī)等各項(xiàng)監(jiān)管要求。（2）檢查組織的數(shù)據(jù)安全管理相關(guān)制度與規(guī)范，查 看其內(nèi)容是否涵蓋國家和社會(huì)生產(chǎn)的重要數(shù)據(jù)的安全管 理要求，個(gè)人信息的保護(hù)要求，數(shù)據(jù)跨境傳輸與共享的 安全管理要求，以及密碼使用要求。數(shù)據(jù)風(fēng)險(xiǎn)管理訪談組織風(fēng)險(xiǎn)管理負(fù)責(zé)人，詢問組織是否將數(shù)據(jù)風(fēng) 險(xiǎn)管理納入組織風(fēng)險(xiǎn)管理體系當(dāng)中，重點(diǎn)突出數(shù)據(jù)、人 員、產(chǎn)品/服務(wù)三個(gè)方面，并建立數(shù)據(jù)安全內(nèi)控體系； 數(shù)據(jù)方面，以數(shù)據(jù)生命周期為出發(fā)點(diǎn)，識(shí)別全周期面臨 的威脅和自身脆弱

8、性，分析數(shù)據(jù)服務(wù)安全風(fēng)險(xiǎn)和應(yīng)對(duì)措 施需求；人員方面，基于數(shù)據(jù)安全管理需要，基于員工 日常數(shù)據(jù)操作行為，識(shí)別風(fēng)險(xiǎn)并建立風(fēng)險(xiǎn)量化機(jī)制和信 息安全評(píng)價(jià)指標(biāo)體系；產(chǎn)品/服務(wù)方面，以對(duì)個(gè)人信息 和重要數(shù)據(jù)保護(hù)為目的，構(gòu)建產(chǎn)品/服務(wù)提供商在組 織、規(guī)范、設(shè)計(jì)、流程、監(jiān)控等一系列的安全風(fēng)險(xiǎn)評(píng)價(jià) 體系和控制機(jī)制。數(shù)據(jù)安全審計(jì)監(jiān)督（1）訪談組織審計(jì)負(fù)責(zé)人，詢問組織是否將數(shù)據(jù)安 全管理審計(jì)納入到組織安全審計(jì)管理體系內(nèi)。（2）訪談組織審計(jì)負(fù)責(zé)人或信息安全審計(jì)負(fù)責(zé)人， 了解組織是否建立負(fù)責(zé)數(shù)據(jù)安全監(jiān)督與審計(jì)管理的職能 機(jī)構(gòu)及制度與規(guī)范，了解組織對(duì)數(shù)據(jù)服務(wù)及其用戶操作 行為審計(jì)的方法和內(nèi)容。（3）查閱組織有關(guān)數(shù)據(jù)安全審

9、計(jì)的制度和規(guī)范，了 解針對(duì)數(shù)據(jù)安全審計(jì)的方法、頻率和周期，并查閱相關(guān) 審計(jì)報(bào)告。二、數(shù)據(jù)安全管理審計(jì)（一）業(yè)務(wù)概述數(shù)據(jù)安全管理是指保護(hù)數(shù)據(jù)免受威脅的影響，確保 業(yè)務(wù)的連續(xù)性，降低業(yè)務(wù)可能面臨的風(fēng)險(xiǎn)，為業(yè)務(wù)部門 提供有力保障。（二）審計(jì)目標(biāo)和內(nèi)容數(shù)據(jù)安全組織管理該控制項(xiàng)旨在檢查組織為落實(shí)數(shù)據(jù)安全治理工作及 其戰(zhàn)略規(guī)劃，是否從組織層面設(shè)置跨部門的數(shù)據(jù)安全管 理機(jī)構(gòu)及負(fù)責(zé)人，明確安全管理職責(zé)。人員與意識(shí)管理該控制項(xiàng)旨在基于組織對(duì)數(shù)據(jù)安全管理的要求和需 求，從人員安全管理、資源建設(shè)與技能培養(yǎng)、職責(zé)落實(shí) 與考核等三方面進(jìn)行檢查，判斷人員綜合管理的落實(shí)情 況。制度與規(guī)范管理該控制項(xiàng)旨在從制度層面檢查組織是

10、否制定并完善 數(shù)據(jù)安全管理的制度體系及其落實(shí)情況。元數(shù)據(jù)安全管理該控制項(xiàng)旨在從元數(shù)據(jù)的安全管理角度，檢查組織 是否建立完善的元數(shù)據(jù)安全管理規(guī)范，并從技術(shù)層面予 以安全保障。數(shù)據(jù)及平臺(tái)（系統(tǒng)）管理該控制項(xiàng)旨在從數(shù)據(jù)平臺(tái)（系統(tǒng)）管理角度，檢查 組織是否對(duì)平臺(tái)（系統(tǒng)）及其管理之下的數(shù)據(jù)制定相應(yīng) 的安全規(guī)范與標(biāo)準(zhǔn)，實(shí)現(xiàn)統(tǒng)一管理，并與組織經(jīng)營(yíng)戰(zhàn)略 中的安全需求相一致。服務(wù)接口安全管理該控制項(xiàng)旨在從服務(wù)接口角度，檢查組織是否完善 接口安全管理的制度和規(guī)范，并用技術(shù)手段保障接口間 數(shù)據(jù)傳輸?shù)陌踩?。?shù)據(jù)供應(yīng)鏈安全管理該控制項(xiàng)旨在從供應(yīng)鏈安全管理角度，檢查組織在 存在上下游數(shù)據(jù)交換的前提下，制定相關(guān)管理規(guī)范，

11、滿 足合規(guī)監(jiān)管要求。數(shù)據(jù)安全審計(jì)管理該控制項(xiàng)旨在從審計(jì)角度，檢查組織是否落實(shí)數(shù)據(jù) 安全審計(jì)與監(jiān)督的要求，對(duì)組織的數(shù)據(jù)服務(wù)開展安全審 計(jì)，同時(shí)確保國家對(duì)于日志管理的安全合規(guī)要求。（三）常見問題和風(fēng)險(xiǎn)數(shù)據(jù)安全組織架構(gòu)及責(zé)任人缺失，導(dǎo)致數(shù)據(jù)安全 管控要求無法落實(shí)。未定期開展數(shù)據(jù)安全意識(shí)宣貫，由于安全意識(shí)不 足，導(dǎo)致數(shù)據(jù)不經(jīng)意的泄露。元數(shù)據(jù)安全管控不到位，導(dǎo)致元數(shù)據(jù)血緣關(guān)系模 糊、可追溯性不強(qiáng)，影響元數(shù)據(jù)與數(shù)據(jù)標(biāo)準(zhǔn)的結(jié)合。未部署數(shù)據(jù)管控平臺(tái)，無法對(duì)數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì) 量、元數(shù)據(jù)進(jìn)行規(guī)范化管控和技術(shù)實(shí)現(xiàn)。數(shù)據(jù)服務(wù)接口與應(yīng)用在其內(nèi)部跨安全域間的接口 調(diào)用未采用包括安全通道、加密傳輸?shù)劝踩珯C(jī)制可能帶 來的風(fēng)險(xiǎn)

12、。未建立數(shù)據(jù)供應(yīng)鏈安全管理方針，無法落實(shí)上下 游供應(yīng)鏈間數(shù)據(jù)交換和使用的要求，不利于供應(yīng)商之間 的數(shù)據(jù)交換與共享。（四）審計(jì)的主要方法和程序數(shù)據(jù)安全組織管理（1）訪談組織人力管理部門或信息安全管理部門負(fù) 責(zé)人，了解組織是否設(shè)置專門的數(shù)據(jù)安全管理機(jī)構(gòu)和責(zé) 任人及其相關(guān)的部門和崗位。（2）訪談數(shù)據(jù)安全管理機(jī)構(gòu)負(fù)責(zé)人，了解組織目前 是否制定與數(shù)據(jù)安全相關(guān)的包括數(shù)據(jù)服務(wù)安全追責(zé)在內(nèi) 的規(guī)章制度，并定期對(duì)責(zé)任部門和安全崗位組織安全檢 查，形成檢查報(bào)告；組織目前數(shù)據(jù)及其服務(wù)平臺(tái)與應(yīng)用 的安全規(guī)劃、安全建設(shè)、安全運(yùn)營(yíng)和系統(tǒng)維護(hù)工作整體 情況；組織是否清楚地界定服務(wù)提供者、數(shù)據(jù)使用者（包括終端用戶與設(shè)備）；是

13、否設(shè)置專職的數(shù)據(jù)服務(wù)安 全崗位，建立規(guī)范化的數(shù)據(jù)服務(wù)安全保護(hù)、評(píng)估及考核 專職隊(duì)伍。人員安全管理（1）訪談人力資源管理和數(shù)據(jù)安全管理負(fù)責(zé)人，了 解組織是否基于數(shù)據(jù)生命周期各階段數(shù)據(jù)服務(wù)和系統(tǒng)服 務(wù)相關(guān)的工作范疇和安全管控措施，制定數(shù)據(jù)服務(wù)人力 資源安全策略。（2）訪談數(shù)據(jù)安全管理負(fù)責(zé)人，了解是否明確數(shù)據(jù) 服務(wù)相關(guān)重要崗位及其角色安全要求，建立重要崗位角 色清單和授權(quán)機(jī)制。（3）訪談人力資源管理負(fù)責(zé)人，是否就數(shù)據(jù)安全管 理的關(guān)鍵崗位做好人力資源培養(yǎng)和儲(chǔ)備工作。（4）訪談人力資源管理負(fù)責(zé)人，是否在組織內(nèi)部針 對(duì)所有接觸個(gè)人信息和重要數(shù)據(jù)等敏感信息的全職員工 簽署保密協(xié)議，知曉組織對(duì)于數(shù)據(jù)安全管理的

14、規(guī)范制度 與操作須知，并抽檢保密協(xié)議和制度知曉的記錄。（5）訪談人力資源管理負(fù)責(zé)人，了解組織是否建 立第三方人員安全管理制度，對(duì)接觸個(gè)人信息、重要 數(shù)據(jù)等數(shù)據(jù)的人員進(jìn)行審批和登記，并要求簽署保密 協(xié)議，定期對(duì)這些人員行為進(jìn)行安全審查，并調(diào)閱相 關(guān)管理制度、保密協(xié)議和歷史審批與登記記錄。（6）檢查組織是否建立數(shù)據(jù)安全教育培訓(xùn)機(jī)制， 分別針對(duì)數(shù)據(jù)操作人、數(shù)據(jù)安全管理人員和第三方人 員制定培訓(xùn)計(jì)劃，并定期對(duì)全員，特別是關(guān)鍵崗位人 員進(jìn)行能力檢查和考核，考核應(yīng)納入到個(gè)人與組織的 績(jī)效考核體系當(dāng)中，查閱教育培訓(xùn)與考核的歷史記 錄。制度與規(guī)范管理（1）調(diào)閱并檢查組織是否制定包括數(shù)據(jù)服務(wù)在內(nèi) 的數(shù)據(jù)安全管理

15、制度和規(guī)范、數(shù)據(jù)分類分級(jí)規(guī)范和標(biāo) 準(zhǔn)、數(shù)據(jù)安全人員能力要求及向第三方提供或共享數(shù) 據(jù)時(shí)的安全管理制度和標(biāo)準(zhǔn)，其中，制度在范圍上應(yīng) 覆蓋數(shù)據(jù)全生命周期。（2）檢查制度和標(biāo)準(zhǔn)是否得到定期評(píng)審和更新， 并分發(fā)至機(jī)構(gòu)數(shù)據(jù)服務(wù)部門和操作人員，抽樣訪談數(shù) 據(jù)操作和管理人員，了解其對(duì)制度規(guī)范的知曉情況并 查閱制度規(guī)范的更新記錄。元數(shù)據(jù)安全管理（1）檢查組織是否建立與數(shù)據(jù)服務(wù)相關(guān)的元數(shù)據(jù) 及其管理規(guī)范、與數(shù)據(jù)服務(wù)安全架構(gòu)相應(yīng)的安全元數(shù) 據(jù)管理規(guī)范和數(shù)據(jù)訪問控制策略，從而明確元數(shù)據(jù)管 理角色及其授權(quán)控制機(jī)制和查詢限制。（2）檢查元數(shù)據(jù)的安全管理制度和規(guī)范是否包 括：依據(jù)資產(chǎn)分類分級(jí)策略所建立的元數(shù)據(jù)安全屬性 的

16、自動(dòng)/手工分級(jí)機(jī)制；可依據(jù)元數(shù)據(jù)安全屬性建立標(biāo) 記的策略及標(biāo)記定義和管理機(jī)制。（3）檢查組織是否從技術(shù)手段上實(shí)現(xiàn)：對(duì)表字 段、表與上下游表的血緣關(guān)系查詢進(jìn)行安全設(shè)置和查 詢限制?？蓪?duì)表訪問操作權(quán)限進(jìn)行限制。（4）檢查組織是否建立針對(duì)元數(shù)據(jù)操作的審計(jì)制 度，并確保對(duì)元數(shù)據(jù)的操作具有可追溯性。數(shù)據(jù)及平臺(tái)（系統(tǒng)）管理（1）檢查組織是否建立數(shù)據(jù)資產(chǎn)安全管理規(guī)范和 數(shù)據(jù)資產(chǎn)分類、分級(jí)方法、標(biāo)準(zhǔn)、操作指南、數(shù)據(jù)資 產(chǎn)分類分級(jí)變更審批流程，并對(duì)其進(jìn)行定期審核和更 新。（2）檢查組織是否對(duì)數(shù)據(jù)資產(chǎn)實(shí)施登記制度，其 應(yīng)明確數(shù)據(jù)資產(chǎn)管理相關(guān)方及管理責(zé)任、數(shù)據(jù)資產(chǎn)管 理范圍和屬性，并調(diào)閱數(shù)據(jù)資產(chǎn)登記目錄清單。（3）

17、檢查組織是否在技術(shù)上建立綜合的數(shù)據(jù)管理 平臺(tái)或系統(tǒng)，實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)的統(tǒng)一管理，包括：是 否制定數(shù)據(jù)系統(tǒng)平臺(tái)資產(chǎn)安全管理規(guī)范，并明確安全 管理的目標(biāo)和原則；數(shù)據(jù)系統(tǒng)平臺(tái)的規(guī)劃和建設(shè)應(yīng)與 組織經(jīng)營(yíng)戰(zhàn)略和平臺(tái)（系統(tǒng)）全生命周期的安全需求 相一致?？梢罁?jù)數(shù)據(jù)資產(chǎn)和數(shù)據(jù)主體安全分級(jí)要求建 立相應(yīng)的標(biāo)記策略、訪問控制、數(shù)據(jù)加解密、數(shù)據(jù)脫 敏等安全機(jī)制和管控措施。服務(wù)接口安全管理（1）檢查組織是否制定與數(shù)據(jù)服務(wù)接口安全管理 有關(guān)的控制策略和安全規(guī)范。（2）檢查組織的數(shù)據(jù)平臺(tái)與應(yīng)用在其內(nèi)部跨安全 域間的接口調(diào)用是否采用包括安全通道、加密傳輸?shù)?安全機(jī)制。數(shù)據(jù)供應(yīng)鏈安全管理（1）訪談組織數(shù)據(jù)管理部門負(fù)責(zé)人，了解

18、組織目 前是否存在數(shù)據(jù)供應(yīng)鏈上下游間數(shù)據(jù)交換和使用的現(xiàn) 象，若存在，則了解并查看：組織是否建立與數(shù)據(jù)供 應(yīng)鏈安全管理有關(guān)的規(guī)范和安全方針，其應(yīng)明確數(shù)據(jù) 供應(yīng)鏈安全目標(biāo)、原則和范圍，并對(duì)其進(jìn)行查閱；組 織是否識(shí)別并建立數(shù)據(jù)供應(yīng)鏈上下游間數(shù)據(jù)交換和使 用的合規(guī)要求及合規(guī)目錄，從而確保其數(shù)據(jù)交換和使 用的合規(guī)；建立數(shù)據(jù)供應(yīng)鏈目錄和相關(guān)數(shù)據(jù)源數(shù)據(jù)字 典，明確數(shù)據(jù)供應(yīng)鏈的責(zé)任部門和人員。查閱組織與上下游數(shù)據(jù)供應(yīng)鏈服務(wù)商簽署的 合作協(xié)議，檢查協(xié)議是否：明確數(shù)據(jù)供應(yīng)鏈上下游責(zé) 任和義務(wù)，并檢查是否采用安全技術(shù)保障措施確保數(shù)據(jù) 供應(yīng)鏈上下游對(duì)數(shù)據(jù)交換、使用的安全、可靠與合 規(guī)；明確數(shù)據(jù)供應(yīng)鏈中數(shù)據(jù)的使用目的、

19、供應(yīng)方式、 保密約定等內(nèi)容。檢查組織是否對(duì)數(shù)據(jù)供應(yīng)鏈上下游的數(shù)據(jù)服 務(wù)提供者和數(shù)據(jù)使用者的行為進(jìn)行合規(guī)性審核和分析，并查閱相關(guān)記錄和報(bào)告。數(shù)據(jù)安全審計(jì)管理訪談組織負(fù)責(zé)數(shù)據(jù)審計(jì)的負(fù)責(zé)人，詢問組織 是否明確對(duì)于數(shù)據(jù)安全審計(jì)的要求、審計(jì)范圍、審計(jì) 方式。訪談組織負(fù)責(zé)數(shù)據(jù)審計(jì)的負(fù)責(zé)人，詢問對(duì)數(shù) 據(jù)服務(wù)平臺(tái)(系統(tǒng))部署審計(jì)產(chǎn)品，登錄安全審計(jì)產(chǎn) 品并查看審計(jì)日志是否完整，其保存期限是否符合國 家強(qiáng)制要求并具有防篡改的功能。查閱歷史審計(jì)報(bào)告，了解審計(jì)對(duì)象是否包括 與數(shù)據(jù)相關(guān)的物理環(huán)境、網(wǎng)絡(luò)傳輸、平臺(tái)/系統(tǒng)、數(shù)據(jù) 庫及存儲(chǔ)介質(zhì)，以及基于數(shù)據(jù)平臺(tái)/提供者，數(shù)據(jù)提供 者，服務(wù)提供者和內(nèi)部服務(wù)/數(shù)據(jù)使用者針對(duì)主要操

20、 作、敏感行為、敏感數(shù)據(jù)流通等安全事件。三、數(shù)據(jù)生命周期安全管理審計(jì)（一）業(yè)務(wù)概述數(shù)據(jù)生命周期管理是指在數(shù)據(jù)采集、傳輸、存儲(chǔ)、 處理、交換（共享、應(yīng)用）、銷毀等階段下對(duì)流動(dòng)的 數(shù)據(jù)進(jìn)行綜合管理。（二）審計(jì)目標(biāo)和內(nèi)容數(shù)據(jù)收集該控制項(xiàng)旨在針對(duì)數(shù)據(jù)收集過程，檢查組織是否依 據(jù)收集數(shù)據(jù)的敏感性對(duì)其進(jìn)行數(shù)據(jù)標(biāo)識(shí)，從而基于該 標(biāo)識(shí)進(jìn)行后續(xù)數(shù)據(jù)操作處理的監(jiān)控。數(shù)據(jù)傳輸該控制項(xiàng)旨在針對(duì)數(shù)據(jù)傳輸過程，檢查組織是否根 據(jù)傳輸過程的安全性劃分安全域，并根據(jù)安全域的級(jí) 別采取相應(yīng)的安全控制措施，防范數(shù)據(jù)遭受竊聽或泄 露，確保數(shù)據(jù)的完整性。數(shù)據(jù)存儲(chǔ)與恢復(fù)該控制項(xiàng)旨在針對(duì)數(shù)據(jù)存儲(chǔ)，檢查組織是否對(duì)所存 儲(chǔ)的數(shù)據(jù)采取安全措施

21、，確保其安全性和完整性，同 時(shí)，根據(jù)組織對(duì)于數(shù)據(jù)可用性的要求，檢查組織是否 采取備份措施。數(shù)據(jù)處理與加工該控制項(xiàng)旨在針對(duì)處理和加工過程，檢查組織是否 對(duì)可接觸到數(shù)據(jù)的人員基于角色采取身份驗(yàn)證和訪問 控制，并對(duì)該過程采取加密和脫敏處置措施，防范數(shù) 據(jù)非法訪問或敏感信息遭到泄露。數(shù)據(jù)使用與安全審計(jì)該控制項(xiàng)旨在針對(duì)數(shù)據(jù)使用過程，檢查組織是否采 取身份驗(yàn)證和訪問控制措施，防止人員對(duì)于數(shù)據(jù)的非 法訪問，并采取加密和脫敏等技術(shù)手段，防止在使用 環(huán)節(jié)造成信息泄露并對(duì)使用環(huán)節(jié)進(jìn)行安全審計(jì)。數(shù)據(jù)共享與流動(dòng)該控制項(xiàng)旨在針對(duì)組織存在數(shù)據(jù)共享與流動(dòng)，特別 是跨境流動(dòng)時(shí)，是否制定相應(yīng)的規(guī)范制度和審批流 程，滿足國家合規(guī)

22、監(jiān)管要求。數(shù)據(jù)歸檔與銷毀該控制項(xiàng)旨在檢查組織是否針對(duì)數(shù)據(jù)歸檔與銷毀過 程，并基于數(shù)據(jù)敏感程度制定完善的管理制度與規(guī)范 流程，防范在該過程中出現(xiàn)數(shù)據(jù)泄露。（三）常見問題和風(fēng)險(xiǎn)在數(shù)據(jù)生命周期管理期間，由于在人員、管理、 技術(shù)三個(gè)層面沒有建立適用的數(shù)據(jù)安全管理體系，使 得數(shù)據(jù)安全管理的效率與效果低下。未實(shí)現(xiàn)數(shù)據(jù)分類分級(jí)管理或分級(jí)方法不合理，導(dǎo) 致未按照不同類別建立不同的安全控制措施，導(dǎo)致保 護(hù)過重或保護(hù)不當(dāng)。數(shù)據(jù)在收集、傳輸、存儲(chǔ)和恢復(fù)、處理和加工、 使用與審計(jì)、歸檔與銷毀等過程中，由于缺乏有效的數(shù) 據(jù)加密和訪問控制，容易導(dǎo)致數(shù)據(jù)泄露風(fēng)險(xiǎn)。數(shù)據(jù)在共享與流動(dòng)，特別是跨邊界和跨境流動(dòng) 時(shí)，由于未制定相應(yīng)

23、的安全規(guī)范制度和審批流程，容 易產(chǎn)生違規(guī)風(fēng)險(xiǎn)。5.數(shù)據(jù)銷毀機(jī)制不健全或執(zhí)行不嚴(yán) 格，導(dǎo)致銷毀過程中敏感數(shù)據(jù)的泄露。審計(jì)的主要方法和程序數(shù)據(jù)收集檢查組織是否根據(jù)數(shù)據(jù)分級(jí)分類管理制度中 定義的數(shù)據(jù)類型、安全等級(jí)對(duì)所收集的數(shù)據(jù)進(jìn)行標(biāo) 識(shí)，特別是敏感數(shù)據(jù)，并根據(jù)數(shù)據(jù)標(biāo)識(shí)和合規(guī)要求進(jìn) 行后續(xù)傳輸、存儲(chǔ)等流程的跟蹤和監(jiān)控。對(duì)收集的數(shù)據(jù)進(jìn)行抽查，檢查是否對(duì)已收集 的數(shù)據(jù)進(jìn)行標(biāo)記。數(shù)據(jù)傳輸訪談網(wǎng)絡(luò)安全管理員，詢問組織是否在數(shù)據(jù) 傳輸過程中進(jìn)行安全域的劃分。訪談網(wǎng)絡(luò)安全管理員，詢問數(shù)據(jù)在跨域傳 輸，特別是在非安全域傳輸時(shí)是否采用安全加密機(jī)制 確保傳輸鏈路的安全可靠和對(duì)數(shù)據(jù)進(jìn)行安全加密，查 閱組織網(wǎng)絡(luò)拓?fù)鋱D并進(jìn)行

24、實(shí)質(zhì)性查驗(yàn)。通過執(zhí)行滲透，獲取傳輸數(shù)據(jù)包，查驗(yàn)數(shù)據(jù) 包的完整性和保密性措施是否有效。數(shù)據(jù)存儲(chǔ)與恢復(fù)（1）訪談數(shù)據(jù)安全管理員，詢問組織為確保靜態(tài) 數(shù)據(jù)的安全性和完整性所采取的安全措施、加密手段 與方式、完整性校驗(yàn)手段與方式有哪些。（2）訪談組織核心業(yè)務(wù)部門負(fù)責(zé)人對(duì)于數(shù)據(jù)可用 性的要求，并查閱組織業(yè)務(wù)連續(xù)性計(jì)劃，了解組織業(yè) 務(wù)對(duì)關(guān)鍵數(shù)據(jù)的可用性指標(biāo)。（3）訪談數(shù)據(jù)安全管理員，詢問組織為確保靜態(tài) 數(shù)據(jù)的可用性，所采取的存儲(chǔ)架構(gòu)、技術(shù)手段和工具 有哪些，以及是否部署實(shí)現(xiàn)集群異地災(zāi)備，判斷數(shù)據(jù) 存儲(chǔ)和恢復(fù)是否滿足業(yè)務(wù)需求。（4）查閱數(shù)據(jù)完整性測(cè)試報(bào)告和異地?cái)?shù)據(jù)恢復(fù)的 測(cè)試報(bào)告。數(shù)據(jù)處理與加工（1）訪談數(shù)

25、據(jù)安全管理員，詢問在對(duì)數(shù)據(jù)進(jìn)行操 作處理過程中是否采用安全的身份驗(yàn)證和加密措施， 確保數(shù)據(jù)交換和處理過程中的安全、可靠。（2）訪談數(shù)據(jù)安全管理員，詢問在對(duì)數(shù)據(jù)進(jìn)行操 作處理過程中涉及敏感信息時(shí)，是否對(duì)其脫敏處理。數(shù)據(jù)使用與安全審計(jì)（1）訪談數(shù)據(jù)安全管理員或系統(tǒng)管理員，詢問在 進(jìn)行數(shù)據(jù)展示時(shí)，是否對(duì)敏感數(shù)據(jù)進(jìn)行不可逆加密、 區(qū)間隨機(jī)、掩碼替換等脫敏手段。（2）訪談系統(tǒng)管理員，詢問是否基于數(shù)據(jù)安全管 理員或系統(tǒng)管理員，基于角色和“按需所知”原則做 到對(duì)數(shù)據(jù)表列級(jí)的訪問和操作權(quán)限控制。（3）訪談數(shù)據(jù)安全管理員或系統(tǒng)管理員，詢問用 戶在對(duì)數(shù)據(jù)進(jìn)行操作和管理的過程中，是否基于制定 的訪問權(quán)限，建立統(tǒng)一的

26、身份識(shí)別和權(quán)限管理系統(tǒng)， 實(shí)現(xiàn)對(duì)各類業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫等賬號(hào)實(shí)現(xiàn)統(tǒng)一管理， 并對(duì)數(shù)據(jù)的訪問和使用進(jìn)行安全審計(jì)。數(shù)據(jù)共享與流動(dòng)（1）訪談數(shù)據(jù)應(yīng)用或管理部門的負(fù)責(zé)人，詢問組 織是否基于業(yè)務(wù)戰(zhàn)略和信息安全戰(zhàn)略制定數(shù)據(jù)共享和 流動(dòng)的安全評(píng)估和處理流程、審批制度、安全策略等 規(guī)范制度，調(diào)閱制度并檢查其內(nèi)容是否符合對(duì)于數(shù)據(jù) 共享與跨境傳輸?shù)暮弦?guī)要求。（2）訪談數(shù)據(jù)應(yīng)用或管理部門的負(fù)責(zé)人，詢問并 查閱組織在進(jìn)行日常數(shù)據(jù)服務(wù)時(shí)：是否與第三方簽訂 數(shù)據(jù)服務(wù)合同，審查合同是否約定數(shù)據(jù)接收方的數(shù)據(jù) 處理目的、方式和采取的安全措施以及數(shù)據(jù)接收方應(yīng) 配合組織對(duì)數(shù)據(jù)出境活動(dòng)進(jìn)行調(diào)查等關(guān)鍵內(nèi)容；合同 是否約定在未獲得數(shù)據(jù)發(fā)送

27、方的授權(quán)前提下，數(shù)據(jù)接 收方不得對(duì)數(shù)據(jù)進(jìn)行公開披露及再轉(zhuǎn)移；是否約定數(shù) 據(jù)接收方使用、留存數(shù)據(jù)的合法周期及超出合法周期 后數(shù)據(jù)接收方對(duì)數(shù)據(jù)所采取的處理措施；是否約定數(shù) 據(jù)接收方應(yīng)配合數(shù)據(jù)發(fā)送方履行的安全責(zé)任和義務(wù)。（3）訪談數(shù)據(jù)應(yīng)用或管理部門的負(fù)責(zé)人，詢問組 織日常數(shù)據(jù)共享與流動(dòng)若涉及跨境傳輸，是否開展如 下活動(dòng)并調(diào)閱相關(guān)操作文檔：在數(shù)據(jù)出境前應(yīng)制定出 境計(jì)劃，滿足合法性、正當(dāng)性和必要性的要求；在數(shù) 據(jù)跨境傳輸前開展安全風(fēng)險(xiǎn)評(píng)估，并周期性的開展安 全評(píng)估，評(píng)估應(yīng)包括安全自評(píng)估和主管部門評(píng)估；在 開展數(shù)據(jù)共享或跨境傳輸前，是否對(duì)數(shù)據(jù)接受方的背 景、資質(zhì)進(jìn)行安全審查和檢查，并基于國家關(guān)于個(gè)人 信息

28、和重要數(shù)據(jù)出境安全評(píng)估相關(guān)條件進(jìn)行安全評(píng) 估；對(duì)數(shù)據(jù)出境的全過程進(jìn)行記錄并保留所有操作流 程，操作日志應(yīng)保存不少于2年；當(dāng)發(fā)生數(shù)據(jù)出境安 全事件時(shí)，是否制定安全事件的通報(bào)機(jī)制和手段；訪 談數(shù)據(jù)應(yīng)用或管理部門的負(fù)責(zé)人，詢問組織是否制定 數(shù)據(jù)共享與流動(dòng)的安全事件應(yīng)急預(yù)案，并進(jìn)行應(yīng)急演 練，審查應(yīng)急預(yù)案是否包含應(yīng)急處置、安全事件告知 和上報(bào)等相關(guān)內(nèi)容。（4）當(dāng)發(fā)生數(shù)據(jù)出境安全事件時(shí)，應(yīng)按照國家有 關(guān)規(guī)定及時(shí)向國家網(wǎng)信部門或行業(yè)主管部門上報(bào)數(shù)據(jù) 出境安全事件，上報(bào)內(nèi)容包括但不限于：安全事件發(fā) 生的時(shí)間、數(shù)據(jù)類型、數(shù)量、范圍、可能造成的影 響，已采取或?qū)⒁扇〉奶幹么胧录幹孟嚓P(guān)人 員的聯(lián)系方式。數(shù)

29、據(jù)歸檔與銷毀（1）檢查組織是否基于數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)制定數(shù) 據(jù)及存儲(chǔ)介質(zhì)銷毀相關(guān)的管理制度和安全策略，明確 銷毀對(duì)象、流程、方式及審批、監(jiān)督和評(píng)價(jià)機(jī)制。（2）訪談組織目前本地和網(wǎng)絡(luò)分布式存儲(chǔ)數(shù)據(jù)的 銷毀方式與技術(shù)手段，并查閱歷史銷毀記錄。四、個(gè)人信息安全管理審計(jì)（一）業(yè)務(wù)概述個(gè)人信息，是指以電子或者其他方式記錄的能夠單 獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信 息，包括但不限于自然人的姓名、出生日期、身份證 件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。規(guī)范個(gè)人信息控制者在收集、保存、使用、共享、 轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為。旨在 遏制個(gè)人信息非法收集、濫用、泄漏等亂象，最大程

30、 度地保障個(gè)人的合法權(quán)益和社會(huì)公共利益。（二）審計(jì)目標(biāo)和內(nèi)容通用管理該控制項(xiàng)旨在檢查組織是否針對(duì)個(gè)人信息，建立健 全個(gè)人信息保護(hù)的管理體系和風(fēng)險(xiǎn)管理體系，并提供 個(gè)人信息泄露或非法使用的申訴管理機(jī)制和舉報(bào)渠 道。個(gè)人信息的收集該控制項(xiàng)旨在檢查組織在個(gè)人信息收集環(huán)節(jié)，是否 制定完善的安全策略和規(guī)范，滿足網(wǎng)絡(luò)安全法中 關(guān)于個(gè)人信息保護(hù)的合規(guī)要求。個(gè)人信息的傳輸與存儲(chǔ)該控制項(xiàng)旨在檢查組織在個(gè)人信息傳輸與存儲(chǔ)環(huán) 節(jié)，是否采取管理與技術(shù)手段，確保個(gè)人信息境內(nèi)存 儲(chǔ)和離境前安全與風(fēng)險(xiǎn)評(píng)估的合規(guī)要求，以及個(gè)人敏 感信息不被泄露。個(gè)人信息的處理該控制項(xiàng)旨在檢查組織在個(gè)人信息處理環(huán)節(jié)，是否 采取技術(shù)手段防范個(gè)人

31、信息主體被識(shí)別和還原。個(gè)人信息的使用該控制項(xiàng)旨在檢查組織是否在個(gè)人信息使用環(huán)節(jié)， 采取訪問控制措施防范對(duì)其非法訪問，并在個(gè)人信息 控制權(quán)發(fā)生轉(zhuǎn)移時(shí)對(duì)接收方進(jìn)行安全評(píng)估，并獲得其 安全使用的承諾。個(gè)人信息的變更與銷毀該控制項(xiàng)旨在檢查組織在個(gè)人信息變更和銷毀環(huán) 節(jié)，是否為個(gè)人信息主體提供合法變更的渠道，或在 完成所收集個(gè)人信息使用目的后，規(guī)范個(gè)人信息的刪 除流程和途徑。（三）常見問題和風(fēng)險(xiǎn)未建立個(gè)人信息保護(hù)組織或缺乏相關(guān)負(fù)責(zé)人，不 利于個(gè)人信息保護(hù)工作的推廣和執(zhí)行，也無法有效落 實(shí)個(gè)人信息保護(hù)的責(zé)任。未建立規(guī)范化的個(gè)人信息保護(hù)制度和流程，可能 造成個(gè)人信息的收集、存儲(chǔ)、使用、變更、銷毀等操 作不合

32、法的情況。組織在使用個(gè)人信息時(shí)，沒有開展安全影響評(píng) 估，無法判斷個(gè)人信息使用與保護(hù)的程度，容易造成 侵權(quán)與違規(guī)風(fēng)險(xiǎn)。在收集個(gè)人信息時(shí)，沒有注意最小化要求，或者 在沒有得到允許的情況下公開披露個(gè)人信息，容易造 成侵權(quán)與違規(guī)風(fēng)險(xiǎn)。組織在處理個(gè)人敏感信息時(shí)，個(gè)人信息的傳輸、 處理、存儲(chǔ)、銷毀未采用加密、訪問控制等安全措 施，容易造成泄露個(gè)人敏感信息的風(fēng)險(xiǎn)。（四）審計(jì)的主要方法和程序通用管理（1）訪談組織數(shù)據(jù)管理部門，了解是否基于業(yè)務(wù) 量和個(gè)人信息處理數(shù)量，設(shè)立專職的個(gè)人信息保護(hù)負(fù) 責(zé)機(jī)構(gòu)與負(fù)責(zé)人，并明確相關(guān)工作職責(zé)。（2）訪談組織數(shù)據(jù)管理部門，了解組織是否制定 關(guān)于個(gè)人信息和個(gè)人隱私保護(hù)的管理規(guī)范，

33、其明確定 義個(gè)人敏感信息的識(shí)別范圍、類別，以及對(duì)個(gè)人信息 進(jìn)行匿名化處理的條件和定期評(píng)審更新機(jī)制。（3）訪談組織數(shù)據(jù)管理部門或風(fēng)險(xiǎn)管理部門，詢 問是否建立針對(duì)個(gè)人信息安全影響的風(fēng)險(xiǎn)評(píng)估制度并 定期開展個(gè)人信息安全影響評(píng)估，并查閱歷史風(fēng)險(xiǎn)評(píng) 估記錄。（4）訪談組織數(shù)據(jù)管理部門，詢問是否制定個(gè)人 信息安全事件應(yīng)急預(yù)案并定期開展應(yīng)急響應(yīng)培訓(xùn)和應(yīng) 急演練，包括當(dāng)發(fā)生個(gè)人信息泄露時(shí)通知個(gè)人信息主 體的方式、方法與內(nèi)容。（5）訪談人力資源管理部門，詢問從事或接觸個(gè) 人信息處理崗位的人員（包括第三方人員），在錄用 時(shí)是否進(jìn)行背景審查并簽署保密協(xié)議，在調(diào)離崗位或 終止勞動(dòng)合同時(shí)是否要求繼續(xù)履行保密義務(wù)，并對(duì)上

34、 述人員開展個(gè)人信息安全專業(yè)化培訓(xùn)和考核，確保相 關(guān)人員熟練掌握隱私政策和相關(guān)規(guī)程。（6）訪談組織數(shù)據(jù)管理部門，是否建立個(gè)人信息 泄露或非法使用的申訴管理機(jī)制和舉報(bào)渠道，并對(duì)造 成安全事件違反安全使用的人員制定處罰機(jī)制。個(gè)人信息的收集（1）訪談個(gè)人信息收集崗位的負(fù)責(zé)人，了解在進(jìn) 行個(gè)人信息收集前，組織是否以明示的方式（如隱私 政策）向個(gè)人信息主體說明收集、使用的目的、收集 方式和頻率、存放地域、存儲(chǔ)期限、自身的數(shù)據(jù)安全 能力、對(duì)外共享、轉(zhuǎn)讓、公開披露的有關(guān)情況等，確 保個(gè)人信息主體的知情權(quán)并得到其授權(quán)，同時(shí)抽查信 息收集說明和信息主體的授權(quán)確認(rèn)信息。（2）抽查年滿14周歲的未成年人個(gè)人信息收集

35、 記錄，查看是否征得未成年人或其監(jiān)護(hù)人的明示同 意；不滿14周歲的，應(yīng)征得其監(jiān)護(hù)人的明示同意。（3）訪談個(gè)人信息收集崗位的負(fù)責(zé)人，了解組織 間接獲得的個(gè)人信息，是否獲得個(gè)人信息提供方就個(gè) 人信息來源的書面確認(rèn)，確保來源的合法性，包括個(gè) 人信息提供方已獲得的個(gè)人信息處理的授權(quán)同意范圍，包括使用目的，個(gè)人信息主體是否授權(quán)同意轉(zhuǎn) 讓、共享、公開披露等。（4）訪談個(gè)人信息收集崗位的負(fù)責(zé)人，了解組織 是否向個(gè)人信息主體提供撤回收集、使用其個(gè)人信息 同意授權(quán)的途徑和方法。個(gè)人信息的傳輸與存儲(chǔ)（1）分別訪談數(shù)據(jù)安全管理者及數(shù)據(jù)存儲(chǔ)管理 員，了解組織在傳輸和存儲(chǔ)個(gè)人敏感信息時(shí)是否采用加密等安全措施，對(duì)于個(gè)人生

36、物識(shí)別信息，詢問是否 采用技術(shù)措施處理后再進(jìn)行存儲(chǔ)，例如僅存儲(chǔ)個(gè)人生 物識(shí)別信息的摘要。（2）訪談數(shù)據(jù)存儲(chǔ)管理員，詢問組織所收集和產(chǎn) 生的個(gè)人信息是否在中華人民共和國境內(nèi)存儲(chǔ)。（3）分別訪談數(shù)據(jù)安全管理者及數(shù)據(jù)存儲(chǔ)管理 員，了解組織若涉及個(gè)人信息的跨境傳輸與存儲(chǔ)業(yè)務(wù)，是否制定相應(yīng)的審批流程，并在進(jìn)行跨境傳輸與 存儲(chǔ)時(shí)，按照合規(guī)監(jiān)管要求進(jìn)行安全檢查和安全評(píng) 估，調(diào)閱并查看相關(guān)的審批、審查和評(píng)估歷史文檔。個(gè)人信息的處理（1）訪談數(shù)據(jù)安全管理負(fù)責(zé)人，了解組織是否制 定針對(duì)個(gè)人信息去標(biāo)識(shí)化的規(guī)范與流程，由專人、專 崗負(fù)責(zé)。（2）訪談個(gè)人信息去標(biāo)識(shí)化負(fù)責(zé)人，了解所使用 的個(gè)人信息匿名化、去標(biāo)識(shí)化和加密手

37、段，并抽查去 標(biāo)識(shí)化后的個(gè)人信息是否可被識(shí)別、復(fù)原，或在不借 助額外信息的情況下，無法識(shí)別個(gè)人信息主體。（3）訪談個(gè)人信息去標(biāo)識(shí)化負(fù)責(zé)人，了解對(duì)不滿 足隱私保護(hù)的數(shù)據(jù)項(xiàng)進(jìn)行刪除時(shí)應(yīng)采用的抑制技術(shù)。個(gè)人信息的使用（1）訪談數(shù)據(jù)安全負(fù)責(zé)人或個(gè)人信息安全負(fù)責(zé) 人，了解組織是否在將其個(gè)人信息控制權(quán)向另一個(gè)控 制者轉(zhuǎn)移時(shí)，對(duì)其安全管理環(huán)境進(jìn)行風(fēng)險(xiǎn)評(píng)估，并以 書面形式獲得轉(zhuǎn)移方的安全評(píng)估結(jié)果和使用承諾，查 閱歷史風(fēng)險(xiǎn)評(píng)估記錄、接受方的安全評(píng)估結(jié)果和使用承諾書。（2）訪談數(shù)據(jù)安全負(fù)責(zé)人或個(gè)人信息安全負(fù)責(zé) 人，了解組織對(duì)內(nèi)部個(gè)人信息使用者、管理者和操作 者是否基于業(yè)務(wù)需要和角色對(duì)個(gè)人敏感信息的訪問、修改等行為

38、進(jìn)行訪問權(quán)限設(shè)置，并對(duì)涉及個(gè)人信息的 重要操作應(yīng)設(shè)置內(nèi)部審批流程。個(gè)人信息的變更與銷毀（1）訪談個(gè)人信息安全負(fù)責(zé)人，了解組織是否在 收集到有錯(cuò)誤或不完整的個(gè)人信息主體修改請(qǐng)求時(shí)， 提供更正或補(bǔ)充信息的方法或渠道，并對(duì)其進(jìn)行驗(yàn) 證。（2）訪談個(gè)人信息安全負(fù)責(zé)人，了解組織是否制 定個(gè)人信息銷毀的規(guī)范與流程，向通過注冊(cè)賬戶獲得 個(gè)人信息的個(gè)人信息主體提供注銷賬戶的方法，并刪 除其個(gè)人信息或做匿名化處理。五、重要數(shù)據(jù)安全管理審計(jì)（一）業(yè)務(wù)概述重要數(shù)據(jù)，一方面是指與國家安全、經(jīng)濟(jì)發(fā)展，以 及社會(huì)公共利益密切相關(guān)的數(shù)據(jù)，具體范圍參照國家 有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識(shí)別指南；另一方面是指企事業(yè) 單位的戰(zhàn)略規(guī)劃、管理

39、方法、商業(yè)模式、財(cái)務(wù)信息等 經(jīng)營(yíng)信息和設(shè)計(jì)程序、產(chǎn)品配方、制作工藝、技術(shù)訣 竅等技術(shù)信息。規(guī)范重要數(shù)據(jù)在收集、保存、使用、傳輸、共享等 信息處理環(huán)節(jié)中的相關(guān)行為。旨在遏制數(shù)據(jù)非授權(quán)收 集、濫用、泄漏等亂象，最大程度地保障重要數(shù)據(jù)的 安全。（二）審計(jì)目標(biāo)和內(nèi)容通用管理該控制項(xiàng)旨在檢查組織針對(duì)其重要數(shù)據(jù)是否建立健 全完善的管理體系，包括制度體系、組織與人員體 系、應(yīng)急管理體系，并提供重要數(shù)據(jù)安全事件的申訴 渠道。重要數(shù)據(jù)識(shí)別與分類分級(jí)該控制項(xiàng)旨在檢查組織是否就所屬行業(yè)和經(jīng)營(yíng)業(yè)務(wù) 制定重要數(shù)據(jù)識(shí)別及分類分級(jí)的制度規(guī)范、標(biāo)準(zhǔn)以及 變更和審批流程，從而為后續(xù)重要數(shù)據(jù)操作和處理提 供依據(jù)?？缇硞鬏斉c存儲(chǔ)前

40、安全風(fēng)險(xiǎn)評(píng)估該控制項(xiàng)旨在檢查組織在其存在重要數(shù)據(jù)跨境傳輸 與境外存儲(chǔ)的背景下，是否建立完善的安全風(fēng)險(xiǎn)評(píng)估 與審批流程，滿足國家合規(guī)監(jiān)管要求。應(yīng)急管理該控制項(xiàng)旨在檢查組織依據(jù)建立的重要數(shù)據(jù)安全事 件應(yīng)急管理體系，制定并完善應(yīng)急管理制度并定期開 展應(yīng)急演練，在滿足合規(guī)要求的同時(shí)，確保安全事件 發(fā)生時(shí)得到有效、迅速的遏制，防范事件蔓延。（三）常見問題和風(fēng)險(xiǎn)未建立重要數(shù)據(jù)保護(hù)工作機(jī)構(gòu)或指定負(fù)責(zé)人，不 利于重要數(shù)據(jù)的保護(hù)和管理，同時(shí)無法有效落實(shí)重要 數(shù)據(jù)保護(hù)的責(zé)任。未實(shí)現(xiàn)重要數(shù)據(jù)分類分級(jí)管理，無法有效對(duì)重要 數(shù)據(jù)建立針對(duì)性的保護(hù)措施，由于保護(hù)機(jī)制不到位， 造成的重要數(shù)據(jù)泄露或非法訪問。未建立規(guī)范化的重要

41、數(shù)據(jù)保護(hù)制度和流程，可能 造成重要數(shù)據(jù)的收集、存儲(chǔ)、使用、變更、銷毀等操 作不合法的情況。組織在使用重要數(shù)據(jù)時(shí)，沒有開展安全風(fēng)險(xiǎn)評(píng) 估，無法判斷重要數(shù)據(jù)的使用與保護(hù)的程度，容易造 成侵權(quán)與違規(guī)風(fēng)險(xiǎn)。組織在處理重要數(shù)據(jù)時(shí)，數(shù)據(jù)的傳輸、處理、存 儲(chǔ)、銷毀未采用加密、訪問控制等安全措施，容易造 成重要數(shù)據(jù)泄露的風(fēng)險(xiǎn)。未建立數(shù)據(jù)應(yīng)急預(yù)案，無法有效制定數(shù)據(jù)丟失、 數(shù)據(jù)泄露等重要場(chǎng)景的處置措施，不利于重要數(shù)據(jù)發(fā) 生異常的處置和恢復(fù)。（四）審計(jì)的主要方法和程序通用管理（1）訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問 了解組織是否在其內(nèi)部成立重要數(shù)據(jù)保護(hù)的工作機(jī) 構(gòu)、日常辦事機(jī)構(gòu)，并指定專門的安全管理人員。（2）

42、訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問 了解組織目前是否建立關(guān)于重要數(shù)據(jù)保護(hù)的管理體系 和相應(yīng)的規(guī)章制度，并基于合規(guī)和監(jiān)管要求，對(duì)組織 日常經(jīng)營(yíng)活動(dòng)所涉及的重要數(shù)據(jù)進(jìn)行了識(shí)別，并明確 定義了對(duì)重要數(shù)據(jù)進(jìn)行匿名化處理的條件。（3）訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問 了解組織是否建立針對(duì)重要數(shù)據(jù)安全事件的處置、應(yīng) 急響應(yīng)和事后調(diào)查的流程與機(jī)制，記錄事件的處置與 調(diào)查全過程，及時(shí)發(fā)現(xiàn)并消除重要數(shù)據(jù)的違規(guī)使用和 濫用等情況，同時(shí)查看有關(guān)處置方案和歷史記錄。（4）訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問 了解組織是否建立申訴管理機(jī)制和渠道。重要數(shù)據(jù)識(shí)別與分類分級(jí)（1）訪談組織數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問

43、了解 是否基于行業(yè)監(jiān)管要求制定重要數(shù)據(jù)識(shí)別的管理制度 與規(guī)范。（2）訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問 了解組織是否制定針對(duì)重要數(shù)據(jù)的分類分級(jí)策略和管 理制度與規(guī)范，查看是否對(duì)各類重要數(shù)據(jù)的保護(hù)期限 和標(biāo)記做出明確規(guī)定。（3）訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問 了解組織是否制定重要數(shù)據(jù)保護(hù)范圍和分類分級(jí)的變 更與審批流程，并查看歷史變更和審批記錄。跨境傳輸與存儲(chǔ)前安全風(fēng)險(xiǎn)評(píng)估（1）訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問 了解組織重要數(shù)據(jù)的存儲(chǔ)位置及是否涉及跨境流動(dòng)和 存儲(chǔ)。（2）訪談組織負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問 了解組織對(duì)涉及跨境傳輸與存儲(chǔ)的重要數(shù)據(jù)是否進(jìn)行 安全檢查與風(fēng)險(xiǎn)評(píng)估，并建立完善的審批流程，同時(shí) 查看歷史相關(guān)記錄，判斷記錄的完整性與合規(guī)性。應(yīng)急管理（1）訪談負(fù)責(zé)數(shù)據(jù)安全管理的負(fù)責(zé)人，詢問了解 組織是否制定針對(duì)重要數(shù)據(jù)安全事件應(yīng)急預(yù)案并定期 開展應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練。（2）調(diào)閱并查看應(yīng)急預(yù)案，檢查其內(nèi)容是否明確 安全事件的具體處置措施、上報(bào)和信息披露流程，并 查看培訓(xùn)和演練的歷史記錄。六、數(shù)據(jù)平臺(tái)與技術(shù)安全管理審計(jì)（一）業(yè)務(wù)概述數(shù)據(jù)平臺(tái)是指為數(shù)據(jù)應(yīng)用提供資源和服務(wù)的支撐集 成環(huán)境，包括基礎(chǔ)設(shè)施層、數(shù)據(jù)平臺(tái)層和計(jì)算分析層。 重點(diǎn)關(guān)注數(shù)據(jù)平臺(tái)基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)與通信安全、應(yīng) 用安全及安全審計(jì)工具使用等內(nèi)容。（二）審計(jì)目標(biāo)和內(nèi)容平臺(tái)基礎(chǔ)