《信息技術(shù)服務(wù) 治理 數(shù)據(jù)審計》征求意見稿

ICS35.080

177

團體標準

T/CESAXXXX—2019

信息技術(shù)服務(wù)治理數(shù)據(jù)審計

InformationTechnologyService-Governance-DataAudit

征求意見稿

（在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上）

2019--發(fā)布2019-XX-實施

中國電子工業(yè)標準化技術(shù)協(xié)會發(fā)布

T/CESAXXXX-2019

前言

T/CESAXXXXX屬于GB/T34960《信息技術(shù)服務(wù)治理》總標題下的一部分：

----第1部分（即GB/T34960.1-2017《信息技術(shù)服務(wù)治理第1部分：通用要求》）

----第2部分（即GB/T34960.2-2017《信息技術(shù)服務(wù)治理第2部分：實施指南》）

----第3部分（即GB/T34960.3-2017《信息技術(shù)服務(wù)治理第3部分：績效評價》）

----第4部分（即GB/T34960.4-2017《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》）

----第5部分（即GB/T34960.5-2018《信息技術(shù)服務(wù)治理第5部分：數(shù)據(jù)治理規(guī)范》）

----第6部分（即GB/T34960.6《信息技術(shù)服務(wù)治理第6部分：:風(fēng)險管理》）

----第7部分（即GB/T34960.7《信息技術(shù)服務(wù)治理第7部分：數(shù)據(jù)審計》）

----第8部分（即GB/T34960.8《信息技術(shù)服務(wù)治理第8部分：安全審計》）

本標準按照GB/T1.1-2009給出的規(guī)則起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任。

本部分由中國電子技術(shù)標準化研究院提出。

本標準起草單位：

本標準主要起草人：

IV

T/CESAXXXX-2019

信息技術(shù)服務(wù)治理數(shù)據(jù)審計

1范圍

T/CESAXXXXX的本部分規(guī)定了數(shù)據(jù)審計總則、數(shù)據(jù)審計組織管理、數(shù)據(jù)審計人員、數(shù)據(jù)內(nèi)部控

制審計、審計流程、審計報告、審計適用對象和范圍等內(nèi)容。

本部分適用于：

a)組織治理主體實施數(shù)據(jù)審計監(jiān)督職能；

b)建立或完善組織的數(shù)據(jù)審計體系及相關(guān)平臺；

c)明確組織數(shù)據(jù)審計過程中的相關(guān)要求；

d)規(guī)范組織數(shù)據(jù)審計業(yè)務(wù)的開展及相關(guān)平臺的建設(shè)；

e)第三方或其他相關(guān)機構(gòu)開展數(shù)據(jù)審計的指導(dǎo)

f)建立或未建立內(nèi)部數(shù)據(jù)審計機構(gòu)的組織，均可聘請第三方依據(jù)本標準的相關(guān)要求開展數(shù)據(jù)審

計。

各級各類信息化主管部門、監(jiān)管機構(gòu)及審計監(jiān)督機構(gòu)，可根據(jù)法律法規(guī)、部門規(guī)章的要求，使用本

標準對所管轄各類組織的數(shù)據(jù)審計提出要求，并進行監(jiān)督。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T34960.1信息技術(shù)服務(wù)治理第1部分：通用要求

GB/T34960.4信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則

3術(shù)語和定義

3.1

數(shù)據(jù)data

指所有能輸入到計算機并被計算機程序處理的符號的介質(zhì)的總稱，是用于輸入電子計算機進行

處理，具有一定意義的數(shù)字、字母、符號和模擬量等的通稱。

3.2

數(shù)據(jù)審計dataAudit

根據(jù)數(shù)據(jù)審計標準的要求，對數(shù)據(jù)本身以及與其形成過程相關(guān)的內(nèi)部控制和流程進行檢查、評

價，發(fā)表審計意見，并提出改進意見和建議。

3.3

數(shù)據(jù)組織層面控制dataorganizationcontrol

在組織層面建立并實施的數(shù)據(jù)相關(guān)控制，控制要素包括數(shù)據(jù)控制環(huán)境、風(fēng)險評估、控制活動、

信息與溝通及內(nèi)部監(jiān)督。

5

T/CESAXXXX-2019

3.4

數(shù)據(jù)組織控制審計datacontrolaudit

對數(shù)據(jù)組織層面控制開展的審計。

3.5

數(shù)據(jù)一般控制datageneralcontrol

為了保證數(shù)據(jù)系統(tǒng)安全、穩(wěn)定的運行，對整個數(shù)據(jù)系統(tǒng)以及外部各種環(huán)境要素實施的控制。

3.6

數(shù)據(jù)一般控制審計datageneralcontrolaudit

對數(shù)據(jù)一般控制開展的審計。

3.7

數(shù)據(jù)應(yīng)用內(nèi)部控制dataapplicationinternalcontrol

在數(shù)據(jù)層面為合理保證數(shù)據(jù)應(yīng)用系統(tǒng)準確、完整、可靠的完成數(shù)據(jù)的準備、分析、挖掘等功能，

而設(shè)計、執(zhí)行的IT控制。

3.8

數(shù)據(jù)應(yīng)用內(nèi)部控制審計dataapplicationinternalcontrolAudit

對數(shù)據(jù)應(yīng)用控制開展的審計。

4數(shù)據(jù)審計總則

4.1審計與治理的關(guān)系

數(shù)據(jù)治理過程包含統(tǒng)籌和規(guī)劃、構(gòu)建和運行、監(jiān)控和評價以及改進和優(yōu)化，數(shù)據(jù)審計是監(jiān)控和評價

不可或缺的任務(wù)。

4.2審計結(jié)構(gòu)及其關(guān)系

數(shù)據(jù)審計包括審計組織管理體系、審計依據(jù)、審計方法、審計技術(shù)、審計質(zhì)量控制、審計工作的執(zhí)

行、審計人員、審計業(yè)務(wù)、審計流程及審計報告。

4.3審計依據(jù)

數(shù)據(jù)審計依據(jù)包括但不限于：

a)國家IT與數(shù)據(jù)相關(guān)法律、法規(guī)及標準；

b)行業(yè)IT與數(shù)據(jù)相關(guān)規(guī)范及標準；

c)地方IT與數(shù)據(jù)相關(guān)規(guī)范及標準；

d)組織內(nèi)部IT與數(shù)據(jù)相關(guān)規(guī)范及標準；

e)國際IT與大數(shù)據(jù)相關(guān)標準；

f)國內(nèi)外IT與大數(shù)據(jù)最佳實踐。

4.4審計方法

組織的數(shù)據(jù)審計方法要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。

4.5審計技術(shù)

6

T/CESAXXXX-2019

組織的數(shù)據(jù)審計技術(shù)要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。

4.6審計質(zhì)量控制

組織的數(shù)據(jù)審計質(zhì)量控制要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。

4.7審計業(yè)務(wù)類型

數(shù)據(jù)審計業(yè)務(wù)類型包括數(shù)據(jù)治理內(nèi)部控制審計和數(shù)據(jù)專項審計。數(shù)據(jù)治理內(nèi)部控制審計是為了綜合

評價組織數(shù)據(jù)控制目標實現(xiàn)過程而進行的審計；數(shù)據(jù)專項審計是組織根據(jù)外部要求及內(nèi)部特殊需要而進

行的審計。數(shù)據(jù)專項審計可作為獨立的審計項目實施，或作為綜合性審計項目的組成部分組織實施。

當(dāng)數(shù)據(jù)審計作為綜合性審計項目的一部分時，數(shù)據(jù)審計人員在進行審計計劃時應(yīng)考慮項目審計目標

及要求，在審計實施過程中應(yīng)及時與其他相關(guān)審計人員溝通數(shù)據(jù)審計中的發(fā)現(xiàn)，并考慮依據(jù)數(shù)據(jù)審計結(jié)

果調(diào)整其他相關(guān)審計的范圍、時間及性質(zhì)。

數(shù)據(jù)審計人員應(yīng)當(dāng)以風(fēng)險導(dǎo)向為基礎(chǔ)開展審計，風(fēng)險評估應(yīng)當(dāng)貫穿于審計的全過程。

4.8審計方式

審計方式是指利用計算機輔助審計技術(shù)、大數(shù)據(jù)技術(shù)、人工智能技術(shù)等手段開展的審計，包括現(xiàn)場

審計和遠程審計。

4.8審計工作的執(zhí)行

組織的審計工作執(zhí)行要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。

5數(shù)據(jù)審計組織管理

組織的數(shù)據(jù)審計組織管理通用要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》，

同時還應(yīng)：

a)為數(shù)據(jù)審計開展創(chuàng)造必要的環(huán)境；

b)明確審計機構(gòu)的職責(zé)和權(quán)力；

c)在審計章程中明確數(shù)據(jù)審計的相關(guān)要求；

d)制定數(shù)據(jù)審計相關(guān)制度、流程及操作規(guī)程等；

e)建立數(shù)據(jù)審計系統(tǒng)；

f)制定數(shù)據(jù)審計戰(zhàn)略規(guī)劃。

6數(shù)據(jù)審計人員要求

組織的數(shù)據(jù)審計人員通用要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》，同

時還應(yīng)具備數(shù)據(jù)審計資質(zhì)

7數(shù)據(jù)治理內(nèi)部控制審計

7.1總則

7

T/CESAXXXX-2019

數(shù)據(jù)治理內(nèi)部控制審計是為了綜合評價組織數(shù)據(jù)治理控制目標實現(xiàn)過程而進行的審計，包括數(shù)據(jù)治

理組織層面控制、數(shù)據(jù)治理一般性控制、數(shù)據(jù)治理應(yīng)用控制的審查和評價。數(shù)據(jù)治理內(nèi)部控制審計是組

織常規(guī)審計內(nèi)容的一部分。

7.2組織控制審計

7.2.1控制環(huán)境

審計數(shù)據(jù)治理控制環(huán)境時，審計范圍包括但不限于：

a）組織遵循的數(shù)據(jù)總則；

b）數(shù)據(jù)戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致性；

c）決策層的數(shù)據(jù)風(fēng)險偏好及風(fēng)險容忍度；

d）數(shù)據(jù)治理與管理的職責(zé)分工和制衡機制；

e）數(shù)據(jù)內(nèi)部控制的監(jiān)督機制；

f）數(shù)據(jù)內(nèi)部控制機構(gòu)的設(shè)置、職責(zé)與權(quán)限；

g）內(nèi)部審計機構(gòu)設(shè)置、人員配備和工作獨立性；

h）……。

7.2.2風(fēng)險評估

審計數(shù)據(jù)治理風(fēng)險評估時，審計范圍包括但不限于：

a）數(shù)據(jù)風(fēng)險管理目標和策略；

b）數(shù)據(jù)風(fēng)險管理原則；

c）數(shù)據(jù)風(fēng)險管理組織；

d）數(shù)據(jù)風(fēng)險管理制度；

e）數(shù)據(jù)風(fēng)險管理流程；

f）數(shù)據(jù)風(fēng)險識別、風(fēng)險分析、風(fēng)險評價及風(fēng)險處置的執(zhí)行情況；

g）……。

7.2.3控制活動

7.2.3.1通用要求

審計組織層面數(shù)據(jù)治理控制活動通用要求時，審計范圍包括但不限于：

a）數(shù)據(jù)治理控制政策與流程；

b）數(shù)據(jù)治理授權(quán)與審批控制；

c）數(shù)據(jù)治理預(yù)算控制；

d）數(shù)據(jù)治理信息記錄與報告；

e）數(shù)據(jù)治理資產(chǎn)保護；

f）數(shù)據(jù)治理績效考核；

g）數(shù)據(jù)治理不相容職責(zé)分離。

7.2.3.2頂層設(shè)計

審計數(shù)據(jù)治理頂層設(shè)計時，審計范圍包括但不限于：

a）戰(zhàn)略規(guī)劃；

b）組織構(gòu)建；

c）架構(gòu)設(shè)計。

7.2.3.3數(shù)據(jù)治理域

8

T/CESAXXXX-2019

審計數(shù)據(jù)治理域時，審計范圍包括但不限于治理主體對以下管理情況要求，以及相關(guān)的評估、指導(dǎo)、

監(jiān)督和改進情況：

a）數(shù)據(jù)管理體系；

b）數(shù)據(jù)價值體系。

7.2.3.4數(shù)據(jù)治理過程

審計數(shù)據(jù)治理過程時，審計范圍包括但不限于：

a）統(tǒng)籌和規(guī)劃；

b）構(gòu)建和運行；

c）監(jiān)控和評價；

d）改進和優(yōu)化。

7.2.4信息與溝通

審計數(shù)據(jù)治理的信息與溝通時，審計范圍包括但不限于：

a）與數(shù)據(jù)治理相關(guān)的信息系統(tǒng)架構(gòu)，以及對決策與業(yè)務(wù)的支持度；

b）決策層有關(guān)數(shù)據(jù)治理的信息溝通模式；

c）數(shù)據(jù)治理戰(zhàn)略、政策及制度等方面的傳達與溝通的連續(xù)性、完整性及有效性；

d）組織對數(shù)據(jù)治理風(fēng)險內(nèi)部控制所需要信息的明確；

e）……。

7.2.5內(nèi)部監(jiān)督

審計數(shù)據(jù)治理內(nèi)部監(jiān)督時，審計范圍包括但不限于：

a）數(shù)據(jù)治理風(fēng)險防線建立的合規(guī)性；

b）組織的數(shù)據(jù)治理監(jiān)控管理報告系統(tǒng)、監(jiān)控反饋、跟蹤處理程序；

c）數(shù)據(jù)治理內(nèi)部控制的自我評估機制；

d）……。

7.3一般控制審計

7.3.1通用要求

審計數(shù)據(jù)治理一般控制的通用要求時，審計范圍包括但不限于：

a）數(shù)據(jù)治理控制政策與流程；

b）數(shù)據(jù)治理授權(quán)與審批控制；

c）信息記錄與報告；

d）資產(chǎn)保護；

e）績效考核；

f）不相容職責(zé)分離。

7.3.2采購管理

組織的數(shù)據(jù)治理一般控制采購管理審計要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計

導(dǎo)則》。

7.3.3項目整體管理

組織的數(shù)據(jù)治理一般控制項目整體管理審計要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：

審計導(dǎo)則》。

9

T/CESAXXXX-2019

7.3.4開發(fā)管理

審計開發(fā)管理時，審計范圍包括但不限于：

a）組織模式；

b）需求管理；

c）過程管理。

7.3.5交付管理

審計交付管理時，審計范圍包括但不限于：

a）配置管理；

b）構(gòu)建與持續(xù)集成；

c）測試管理；

d）布置與發(fā)布管理；

e）……。

7.3.6運營管理

審計運營管理時，審計范圍包括但不限于：

a）監(jiān)控管理；

b）變更管理；

c）容量與性能管理；

d）成本管理；

e）事件管理；

f）……。

7.3.7風(fēng)險管理

審計風(fēng)險管理時，審計范圍包括但不限于：

a）總體風(fēng)險；

b）開發(fā)風(fēng)險；

c)交付風(fēng)險；

d)技術(shù)運營風(fēng)險。

7.3.8組織管理

審計組織管理時，審計范圍包括但不限于：

a)組織架構(gòu)；

b）文化建設(shè)；

c）人員素質(zhì)；

d）創(chuàng)新管理；

e）……。

7.3.9系統(tǒng)運行管理

審計系統(tǒng)運行時，審計范圍包括但不限于：

a）系統(tǒng)運行監(jiān)控；

b）系統(tǒng)性能與容量；

c）物理環(huán)境；

d）系統(tǒng)和大數(shù)據(jù)的備份與恢復(fù)管理；

e）事件及問題管理；

10

T/CESAXXXX-2019

f）應(yīng)急及災(zāi)備管理。

7.3.10系統(tǒng)與網(wǎng)絡(luò)安全管理

審計系統(tǒng)與網(wǎng)絡(luò)安全管理時，審計范圍包括但不限于：

a）信息安全事件管理；

b）系統(tǒng)研發(fā)安全；

c）網(wǎng)絡(luò)安全；

d）設(shè)備安全；

e）操作系統(tǒng)安全；

f）應(yīng)用系統(tǒng)安全；

g）大數(shù)據(jù)安全。

7.3.11其他相關(guān)控制

組織的數(shù)據(jù)治理一般控制其他相關(guān)控制審計要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：

審計導(dǎo)則》。

7.4應(yīng)用控制

7.4.1通用要求

審計應(yīng)用控制的通用要求時，審計范圍包括但不限于：

g）應(yīng)用控制政策與流程；

h）應(yīng)用授權(quán)與審批控制；

i）信息記錄與報告；

j）資產(chǎn)保護；

k）績效考核；

l）不相容職責(zé)分離。

7.4.2數(shù)據(jù)生存周期控制

審計數(shù)據(jù)生存周期控制時，審計范圍包括但不限于：

a)數(shù)據(jù)獲取

b)數(shù)據(jù)移交

c)數(shù)據(jù)恢復(fù)

d)數(shù)據(jù)存儲

e)數(shù)據(jù)運用

f)數(shù)據(jù)維護

g)數(shù)據(jù)交易

h)數(shù)據(jù)傳輸

i)數(shù)據(jù)銷毀

……

7.4.3應(yīng)用組織管理

審計數(shù)據(jù)治理相關(guān)應(yīng)用系統(tǒng)的組織管理時，審計范圍包括但不限于：

a）組織結(jié)構(gòu)，包括組織架構(gòu)設(shè)置、部門及崗位職責(zé)等；

b）用戶管理，包括用戶賬號及權(quán)限等；

c）參數(shù)管理，包括參數(shù)設(shè)置的范圍與依據(jù)、參數(shù)調(diào)整的授權(quán)與審批及參數(shù)調(diào)整的日志記錄等；

d）操作管理，包括操作環(huán)境、功能使用、操作要求等；

11

T/CESAXXXX-2019

e）信息安全管理，包括系統(tǒng)應(yīng)用環(huán)境安全、操作安全、介質(zhì)與文檔安全等；

f）事件管理，包括事件記錄、上報、處理、跟蹤與監(jiān)控等；

g）問題管理，包括問題的確定、記錄、分類、處理、解決及跟蹤等；

h）文檔與數(shù)據(jù)管理，包括文檔與數(shù)據(jù)介質(zhì)的生成、分類、歸檔、保存、調(diào)用及銷毀等；

i）績效考核與獎懲，包括績效考核指標、評價方法、評價結(jié)果及獎懲措施等。

7.4.4業(yè)務(wù)流程設(shè)計

審計業(yè)務(wù)流程控制時，審計范圍包括但不限于：

a）業(yè)務(wù)流程設(shè)計的完備性；

b）業(yè)務(wù)流程處理的正確性和控制的有效性；

c）業(yè)務(wù)功能的合理性。

7.4.5數(shù)據(jù)采集、處理及輸出

審計數(shù)據(jù)采集、處理及輸出時，審計范圍包括但不限于：

a）數(shù)據(jù)采集控制，包括數(shù)據(jù)導(dǎo)入、修改、刪除、校驗、備份的恢復(fù)、權(quán)限控制及錯誤處理機制等；

b）數(shù)據(jù)處理控制，包括數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)整理、數(shù)據(jù)計算、數(shù)據(jù)匯總控制及錯誤處理機制等；

c）數(shù)據(jù)輸出控制，包括輸出外設(shè)、輸出范圍和內(nèi)容、輸出信息分發(fā)、保存和訪問、備份、權(quán)限控

制及錯誤處理機制等。

7.4.6系統(tǒng)接口與信息共享

7.4.6.1系統(tǒng)接口

審計系統(tǒng)接口時，審計范圍包括但不限于：

a）系統(tǒng)接口標準；

b）接口/轉(zhuǎn)換控制，包括數(shù)據(jù)采集、校驗、轉(zhuǎn)換、傳輸、權(quán)限控制及錯誤處理機制等。

7.4.6.2信息共享

審計信息共享時，審計范圍包括但不限于：

a）共享信息分類；

b）共享信息的控制。

7.4.7數(shù)據(jù)質(zhì)量

審計數(shù)據(jù)質(zhì)量時，審計范圍包括但不限于：

a）數(shù)據(jù)質(zhì)量管理，包括數(shù)據(jù)質(zhì)量管理的組織、制度、流程及控制執(zhí)行等；

b）數(shù)據(jù)質(zhì)量，包括完整性、準確性、有效性、合法性、一致性等。

8數(shù)據(jù)專項審計

8.1總則

數(shù)據(jù)專項審計是組織根據(jù)外部要求及內(nèi)部特殊需要而進行的審計。數(shù)據(jù)專項審計是組織常規(guī)審計內(nèi)

容的一部分。數(shù)據(jù)專項審計包括（但不限于）數(shù)據(jù)庫管理專項審計、外部數(shù)據(jù)管理專項審計、業(yè)務(wù)數(shù)據(jù)

管理專項審計、數(shù)據(jù)生存周期管理專項審計、數(shù)據(jù)應(yīng)用管理專項審計、數(shù)據(jù)安全管理專項審計、云數(shù)據(jù)

管理專項審計、數(shù)據(jù)合規(guī)管理專項審計、數(shù)據(jù)治理績效專項審計、數(shù)據(jù)質(zhì)量管理專項審計及數(shù)據(jù)資產(chǎn)管

理專項審計等。

12

T/CESAXXXX-2019

8.2數(shù)據(jù)庫管理專項審計（INFORMATICA）（數(shù)據(jù)標準、）

數(shù)據(jù)庫管理專項審計任務(wù)包括但不限于：

a）數(shù)據(jù)庫管理目標、方針和策略

b）數(shù)據(jù)庫管理組織的建立；

c）外部數(shù)據(jù)管理制度和流程

d）業(yè)務(wù)需求說明書

e）數(shù)據(jù)庫架構(gòu)設(shè)計方案

f）數(shù)據(jù)結(jié)構(gòu)的規(guī)范性、合理性

g）數(shù)據(jù)標準；

h）數(shù)據(jù)庫維護；

i）……

8.3外部數(shù)據(jù)管理專項審計

外部數(shù)據(jù)管理審計范圍包括但不限于：

a)外部數(shù)據(jù)管理目標、方針和策略；

b)外部數(shù)據(jù)管理組織的建立；

c)外部數(shù)據(jù)管理制度和流程

d)外部數(shù)據(jù)安全的分級分類和保護機制；

e)數(shù)據(jù)的合規(guī)與隱私保護；

f)外部數(shù)據(jù)的權(quán)屬確定；

g)外部數(shù)據(jù)獲取方式和來源的可靠性；

h)外部數(shù)據(jù)個人信息的保護機制；

i)外部數(shù)據(jù)的完整性、準確性、有效性、合法性、一致性等

j)外部數(shù)據(jù)生存周期管理；

k)外部數(shù)據(jù)應(yīng)用領(lǐng)域的規(guī)范性、合理性

l)外部數(shù)據(jù)風(fēng)險評估與審計機制的建立

……

8.4業(yè)務(wù)數(shù)據(jù)管理專項審計

業(yè)務(wù)數(shù)據(jù)管理審計范圍包括但不限于：

a)業(yè)務(wù)數(shù)據(jù)管理目標、方針和策略；

b)業(yè)務(wù)數(shù)據(jù)管理組織的建立；

c)業(yè)務(wù)數(shù)據(jù)管理制度和流程

d)業(yè)務(wù)數(shù)據(jù)安全的分級分類和保護機制；

e)業(yè)務(wù)數(shù)據(jù)獲取方式和來源的可靠性；

f)業(yè)務(wù)數(shù)據(jù)個人信息的保護機制；

g)業(yè)務(wù)數(shù)據(jù)標準與模型

h)數(shù)據(jù)的合規(guī)與隱私保護；

i)業(yè)務(wù)數(shù)據(jù)的完整性、準確性、有效性、合法性、一致性等

j)業(yè)務(wù)數(shù)據(jù)生存周期管理；

k)業(yè)務(wù)數(shù)據(jù)應(yīng)用領(lǐng)域的規(guī)范性、合理性

l)業(yè)務(wù)數(shù)據(jù)風(fēng)險評估與審計機制的建立

13

T/CESAXXXX-2019

……

8.5數(shù)據(jù)生存周期管理專項審計

數(shù)據(jù)生命周期管理專項審計范圍包括但不限于：

a)數(shù)據(jù)獲取

b)數(shù)據(jù)移交

c)數(shù)據(jù)恢復(fù)

d)數(shù)據(jù)存儲

e)數(shù)據(jù)運用

f)數(shù)據(jù)維護

g)數(shù)據(jù)交易

h)數(shù)據(jù)傳輸

i)數(shù)據(jù)銷毀

……

8.6數(shù)據(jù)應(yīng)用管理專項審計

數(shù)據(jù)應(yīng)用管理審計范圍包括但不限于：

a)數(shù)據(jù)應(yīng)用管理目標、方針和策略；

b)數(shù)據(jù)應(yīng)用管理組織的建立；

c)數(shù)據(jù)應(yīng)用管理制度和流程

d)數(shù)據(jù)應(yīng)用安全的分級分類和保護機制；

e)數(shù)據(jù)的合規(guī)與隱私保護；

f)數(shù)據(jù)應(yīng)用相關(guān)標準與模型

g)數(shù)據(jù)獲取方式和來源的可靠性；

h)數(shù)據(jù)應(yīng)用個人信息的保護機制；

i)數(shù)據(jù)的完整性、準確性、有效性、合法性、一致性等

j)數(shù)據(jù)應(yīng)用生存周期管理；

k)數(shù)據(jù)應(yīng)用領(lǐng)域的規(guī)范性、合理性

l)數(shù)據(jù)應(yīng)用風(fēng)險評估與審計機制的建立

……

8.7數(shù)據(jù)安全管理專項審計（個人信息保護、數(shù)據(jù)標準、）

數(shù)據(jù)安全管理審計范圍包括但不限于：

a)數(shù)據(jù)安全管理目標、方針和策略；

b)數(shù)據(jù)安全管理組織的建立；

c)數(shù)據(jù)安全管理制度、流程；

d)數(shù)據(jù)的分級分類和保護機制；

e)數(shù)據(jù)的合規(guī)與隱私保護；

f)數(shù)據(jù)標準與數(shù)據(jù)模型；

g)數(shù)據(jù)安全事件管理；

h)人力資源安全；

i)安全教育和培訓(xùn)；

j)物理安全；

14

T/CESAXXXX-2019

k)系統(tǒng)開發(fā)安全；

l)網(wǎng)絡(luò)安全；

m)設(shè)備安全；

n)操作系統(tǒng)安全；

o)應(yīng)用系統(tǒng)安全；

p)數(shù)據(jù)生存周期的安全；

q)業(yè)務(wù)連續(xù)性管理；

r)數(shù)據(jù)供應(yīng)商管理；

s)……

8.8云數(shù)據(jù)管理專項審計

云數(shù)據(jù)管理審計范圍包括但不限于：

a)云數(shù)據(jù)管理目標、方針和策略；

b)云數(shù)據(jù)管理組織的建立；

c)云數(shù)據(jù)管理制度和流程；

d)云數(shù)據(jù)標準與云數(shù)據(jù)模型

e)云數(shù)據(jù)的分級分類和保護機制

f)云數(shù)據(jù)的合規(guī)與隱私保護；

g)云數(shù)據(jù)的完整性、準確性、有效性、合法性、一致性等

h)云數(shù)據(jù)生存周期；

i）云數(shù)據(jù)的安全管理

j)云數(shù)據(jù)應(yīng)用領(lǐng)域的規(guī)范性、合理性

k)云數(shù)據(jù)風(fēng)險評估與審計機制的建立

l)……。

8.9數(shù)據(jù)合規(guī)管理專項審計

數(shù)據(jù)合規(guī)管理專項審計范圍包括但不限于：

a)數(shù)據(jù)合規(guī)性管理目標、方針和策略

b)數(shù)據(jù)合規(guī)性管理組織架構(gòu)、職責(zé)及權(quán)限；

c)數(shù)據(jù)合規(guī)性管理制度的建立；

d)數(shù)據(jù)標準與數(shù)據(jù)模型；

e)數(shù)據(jù)合規(guī)納入組織合規(guī)管理的情況；

f)數(shù)據(jù)邊界相關(guān)的合規(guī)性

g)數(shù)據(jù)合規(guī)性管理制度的執(zhí)行

h)……

8.10數(shù)據(jù)治理績效專項審計

數(shù)據(jù)治理績效專項審計范圍包括但不限于：

a)數(shù)據(jù)治理績效管理目標、方針和策略

b)數(shù)據(jù)治理績效組織管理；

c)數(shù)據(jù)治理績效管理制度與流程；

d)數(shù)據(jù)治理績效考核指標體系；

e)數(shù)據(jù)治理績效評價方法；

15

T/CESAXXXX-2019

f)數(shù)據(jù)治理績效考核步驟

g)獎勵與懲罰措施；

h)數(shù)據(jù)治理績效考核活動的開展。

8.11數(shù)據(jù)質(zhì)量管理專項審計

數(shù)據(jù)質(zhì)量管理專項審計范圍包括但不限于：

a)數(shù)據(jù)質(zhì)量管理目標、方針和策略；

b)數(shù)據(jù)質(zhì)量管理制度與流程；

c)數(shù)據(jù)質(zhì)量管理組織架構(gòu)、職責(zé)及權(quán)限；

d)數(shù)據(jù)標準；

e)數(shù)據(jù)質(zhì)量管理的資源保障；

f)數(shù)據(jù)生存周期的安全性、可靠性和有效性；

g)數(shù)據(jù)的完整性、準確性、有效性、合法性、一致性等

h)數(shù)據(jù)產(chǎn)品及服務(wù)實現(xiàn)過程和結(jié)果的監(jiān)視和測量；

i)數(shù)據(jù)質(zhì)量管理風(fēng)險評估與審計機制的建立

j)……。

8.12數(shù)據(jù)資產(chǎn)管理專項審計（數(shù)據(jù)標準、）

數(shù)據(jù)資產(chǎn)管理專項審計范圍包括但不限于：

a)數(shù)據(jù)資產(chǎn)管理目標、方針和策略

b)數(shù)據(jù)資產(chǎn)管理規(guī)劃

c)數(shù)據(jù)資產(chǎn)管理組織架構(gòu)、職責(zé)、權(quán)限及人員配備等；

d)數(shù)據(jù)標準；

e)數(shù)據(jù)資產(chǎn)管理過程；

f)數(shù)據(jù)資產(chǎn)評估；

g)數(shù)據(jù)資產(chǎn)安全；

h)數(shù)據(jù)資產(chǎn)管理內(nèi)外部環(huán)境及技術(shù)資源保障等。

i)數(shù)據(jù)資產(chǎn)管理風(fēng)險評估與審計機制的建立

j)……。

9數(shù)據(jù)審計流程

數(shù)據(jù)審計流程要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》

10數(shù)據(jù)審計報告

數(shù)據(jù)審計報告要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》

附錄A（規(guī)范性附錄）總體風(fēng)險管理

參考文獻

16

T/CESAXXXX-2019

附錄A

（規(guī)范性附錄）

數(shù)據(jù)審計系統(tǒng)

A.1概述

數(shù)據(jù)審計系統(tǒng)屬于GB34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》中審計平臺的一部分，是

在審計中充分利用信息技術(shù)管理和支持完成相關(guān)數(shù)據(jù)審計工作的信息系統(tǒng)。

A.2數(shù)據(jù)審計系統(tǒng)的規(guī)劃

對數(shù)據(jù)審計系統(tǒng)進行規(guī)劃時，至少應(yīng)：

a)明確數(shù)據(jù)審計系統(tǒng)建設(shè)目標；

b)與組織的業(yè)務(wù)戰(zhàn)略、信息化戰(zhàn)略保持一致；

c)……

A.3安全審計系統(tǒng)的建設(shè)

數(shù)據(jù)審計系統(tǒng)的建設(shè)應(yīng)納入組織信息化建設(shè)體系進行規(guī)范管理，包括但不限于：

a)數(shù)據(jù)審計系統(tǒng)的建設(shè)方式；

b)數(shù)據(jù)審計系統(tǒng)的立項管理；

c)數(shù)據(jù)審計系統(tǒng)的項目管理等

d)……

A.4數(shù)據(jù)審計系統(tǒng)的應(yīng)用

數(shù)據(jù)審計系統(tǒng)的應(yīng)用應(yīng)進行規(guī)范管理，包括但不限于：

a)數(shù)據(jù)審計系統(tǒng)應(yīng)用的組織架構(gòu)；

b)數(shù)據(jù)審計系統(tǒng)應(yīng)用的制度與流程；

c)數(shù)據(jù)審計系統(tǒng)應(yīng)用的模型管理

d)數(shù)據(jù)審計系統(tǒng)應(yīng)用的安全管理；

……。

A.5數(shù)據(jù)審計系統(tǒng)運行

數(shù)據(jù)審計系統(tǒng)的運行應(yīng)進行規(guī)范管理，包括但不限于：

e)數(shù)據(jù)審計系統(tǒng)運行的組織管理；

f)數(shù)據(jù)審計系統(tǒng)運行的制度與流程；

g)數(shù)據(jù)審計系統(tǒng)運行的安全管理；

……

17

T/CESAXXXX-2019

_________________________________

18

T/CESAXXXX-2019

目次

目次.................................................................................II

前言.............................................................................IV

信息技術(shù)服務(wù)治理數(shù)據(jù)審計............................................................5

1范圍................................................................................5

2規(guī)范性引用文件......................................................................5

3術(shù)語和定義..........................................................................5

4數(shù)據(jù)審計總則......................................................................6

4.1審計與治理的關(guān)系................................................................6

4.2審計結(jié)構(gòu)及其關(guān)系................................................................6

4.3審計依據(jù)........................................................................6

4.4審計方法........................................................................6

4.5審計技術(shù)........................................................................6

4.6審計質(zhì)量控制....................................................................7

4.7審計業(yè)務(wù)類型....................................................................7

4.8審計方式........................................................................7

4.8審計工作的執(zhí)行..................................................................7

5數(shù)據(jù)審計組織管理..................................................................7

6數(shù)據(jù)審計人員要求..................................................................7

7數(shù)據(jù)治理內(nèi)部控制審計..............................................................7

7.1總則............................................................................7

7.2組織控制審計....................................................................8

7.3一般控制審計....................................................................9

7.4應(yīng)用控制....................................................................11

8數(shù)據(jù)專項審計.....................................................................12

8.1總則...........................................................................12

8.2數(shù)據(jù)庫管理專項審計（INFORMATICA）（數(shù)據(jù)標準、）................................13

8.3外部數(shù)據(jù)管理專項審計...........................................................13

8.4業(yè)務(wù)數(shù)據(jù)管理專項審計...................................................13

8.5數(shù)據(jù)生存周期管理專項審計.......................................................14

8.6數(shù)據(jù)應(yīng)用管理專項審計...........................................................14

8.7數(shù)據(jù)安全管理專項審計（個人信息保護、數(shù)據(jù)標準、）...............................14

8.8云數(shù)據(jù)管理專項審計.............................................................15

8.9數(shù)據(jù)合規(guī)管理專項審計...........................................................15

8.10數(shù)據(jù)治理績效專項審計..........................................................15

8.11數(shù)據(jù)質(zhì)量管理專項審計..........................................................16

8.12數(shù)據(jù)資產(chǎn)管理專項審計（數(shù)據(jù)標準、）............................................16

9數(shù)據(jù)審計流程.....................................................................16

II

T/CESAXXXX-2019

10數(shù)據(jù)審計報告...................................................................16

附錄A（規(guī)范性附錄）數(shù)據(jù)審計系統(tǒng)...............................................17

III

T/CESAXXXX-2019

信息技術(shù)服務(wù)治理數(shù)據(jù)審計

1范圍

T/CESAXXXXX的本部分規(guī)定了數(shù)據(jù)審計總則、數(shù)據(jù)審計組織管理、數(shù)據(jù)審計人員、數(shù)據(jù)內(nèi)部控

制審計、審計流程、審計報告、審計適用對象和范圍等內(nèi)容。

本部分適用于：

a)組織治理主體實施數(shù)據(jù)審計監(jiān)督職能；

b)建立或完善組織的數(shù)據(jù)審計體系及相關(guān)平臺；

c)明確組織數(shù)據(jù)審計過程中的相關(guān)要求；

d)規(guī)范組織數(shù)據(jù)審計業(yè)務(wù)的開展及相關(guān)平臺的建設(shè)；

e)第三方或其他相關(guān)機構(gòu)開展數(shù)據(jù)審計的指導(dǎo)

f)建立或未建立內(nèi)部數(shù)據(jù)審計機構(gòu)的組織，均可聘請第三方依據(jù)本標準的相關(guān)要求開展數(shù)據(jù)審

計。

各級各類信息化主管部門、監(jiān)管機構(gòu)及審計監(jiān)督機構(gòu)，可根據(jù)法律法規(guī)、部門規(guī)章的要求，使用本

標準對所管轄各類組織的數(shù)據(jù)審計提出要求，并進行監(jiān)督。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T34960.1信息技術(shù)服務(wù)治理第1部分：通用要求

GB/T34960.4信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則

3術(shù)語和定義

3.1

數(shù)據(jù)data

指所有能輸入到計算機并被計算機程序處理的符號的介質(zhì)的總稱，是用于輸入電子計算機進行

處理，具有一定意義的數(shù)字、字母、符號和模擬量等的通稱。

3.2

數(shù)據(jù)審計dataAudit

根據(jù)數(shù)據(jù)審計標準的要求，對數(shù)據(jù)本身以及與其形成過程相關(guān)的內(nèi)部控制和流程進行檢查、評

價，發(fā)表審計意見，并提出改進意見和建議。

3.3

數(shù)據(jù)組織層面控制dataorganizationcontrol

在組織層面建立并實施的數(shù)據(jù)相關(guān)控制，控制要素包括數(shù)據(jù)控制環(huán)境、風(fēng)險評估、控制活動、

信息與溝通及內(nèi)部監(jiān)督。

5

T/CESAXXXX-2019

3.4

數(shù)據(jù)組織控制審計datacontrolaudit

對數(shù)據(jù)組織層面控制開展的審計。

3.5

數(shù)據(jù)一般控制datageneralcontrol

為了保證數(shù)據(jù)系統(tǒng)安全、穩(wěn)定的運行，對整個數(shù)據(jù)系統(tǒng)以及外部各種環(huán)境要素實施的控制。

3.6

數(shù)據(jù)一般控制審計datageneralcontrolaudit

對數(shù)據(jù)一般控制開展的審計。

3.7

數(shù)據(jù)應(yīng)用內(nèi)部控制dataapplicationinternalcontrol

在數(shù)據(jù)層面為合理保證數(shù)據(jù)應(yīng)用系統(tǒng)準確、完整、可靠的完成數(shù)據(jù)的準備、分析、挖掘等功能，

而設(shè)計、執(zhí)行的IT控制。

3.8

數(shù)據(jù)應(yīng)用內(nèi)部控制審計dataapplicationinternalcontrolAudit

對數(shù)據(jù)應(yīng)用控制開展的審計。

4數(shù)據(jù)審計總則

4.1審計與治理的關(guān)系

數(shù)據(jù)治理過程包含統(tǒng)籌和規(guī)劃、構(gòu)建和運行、監(jiān)控和評價以及改進和優(yōu)化，數(shù)據(jù)審計是監(jiān)控和評價

不可或缺的任務(wù)。

4.2審計結(jié)構(gòu)及其關(guān)系

數(shù)據(jù)審計包括審計組織管理體系、審計依據(jù)、審計方法、審計技術(shù)、審計質(zhì)量控制、審計工作的執(zhí)

行、審計人員、審計業(yè)務(wù)、審計流程及審計報告。

4.3審計依據(jù)

數(shù)據(jù)審計依據(jù)包括但不限于：

a)國家IT與數(shù)據(jù)相關(guān)法律、法規(guī)及標準；

b)行業(yè)IT與數(shù)據(jù)相關(guān)規(guī)范及標準；

c)地方IT與數(shù)據(jù)相關(guān)規(guī)范及標準；

d)組織內(nèi)部IT與數(shù)據(jù)相關(guān)規(guī)范及標準；

e)國際IT與大數(shù)據(jù)相關(guān)標準；

f)國內(nèi)外IT與大數(shù)據(jù)最佳實踐。

4.4審計方法

組織的數(shù)據(jù)審計方法要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。

4.5審計技術(shù)

6

T/CESAXXXX-2019

組織的數(shù)據(jù)審計技術(shù)要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。

4.6審計質(zhì)量控制

組織的數(shù)據(jù)審計質(zhì)量控制要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。

4.7審計業(yè)務(wù)類型

數(shù)據(jù)審計業(yè)務(wù)類型包括數(shù)據(jù)治理內(nèi)部控制審計和數(shù)據(jù)專項審計。數(shù)據(jù)治理內(nèi)部控制審計是為了綜合

評價組織數(shù)據(jù)控制目標實現(xiàn)過程而進行的審計；數(shù)據(jù)專項審計是組織根據(jù)外部要求及內(nèi)部特殊需要而進

行的審計。數(shù)據(jù)專項審計可作為獨立的審計項目實施，或作為綜合性審計項目的組成部分組織實施。

當(dāng)數(shù)據(jù)審計作為綜合性審計項目的一部分時，數(shù)據(jù)審計人員在進行審計計劃時應(yīng)考慮項目審計目標

及要求，在審計實施過程中應(yīng)及時與其他相關(guān)審計人員溝通數(shù)據(jù)審計中的發(fā)現(xiàn)，并考慮依據(jù)數(shù)據(jù)審計結(jié)

果調(diào)整其他相關(guān)審計的范圍、時間及性質(zhì)。

數(shù)據(jù)審計人員應(yīng)當(dāng)以風(fēng)險導(dǎo)向為基礎(chǔ)開展審計，風(fēng)險評估應(yīng)當(dāng)貫穿于審計的全過程。

4.8審計方式

審計方式是指利用計算機輔助審計技術(shù)、大數(shù)據(jù)技術(shù)、人工智能技術(shù)等手段開展的審計，包括現(xiàn)場

審計和遠程審計。

4.8審計工作的執(zhí)行

組織的審計工作執(zhí)行要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。

5數(shù)據(jù)審計組織管理

組織的數(shù)據(jù)審計組織管理通用要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》，

同時還應(yīng)：

a)為數(shù)據(jù)審計開展創(chuàng)造必要的環(huán)境；

b)明確審計機構(gòu)的職責(zé)和權(quán)力；

c)在審計章程