《信息技術服務 治理 數(shù)據(jù)審計》征求意見稿

ICS35.080

177

團體標準

T/CESAXXXX—2019

信息技術服務治理數(shù)據(jù)審計

InformationTechnologyService-Governance-DataAudit

征求意見稿

（在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上）

2019--發(fā)布2019-XX-實施

中國電子工業(yè)標準化技術協(xié)會發(fā)布

T/CESAXXXX-2019

前言

T/CESAXXXXX屬于GB/T34960《信息技術服務治理》總標題下的一部分：

----第1部分（即GB/T34960.1-2017《信息技術服務治理第1部分：通用要求》）

----第2部分（即GB/T34960.2-2017《信息技術服務治理第2部分：實施指南》）

----第3部分（即GB/T34960.3-2017《信息技術服務治理第3部分：績效評價》）

----第4部分（即GB/T34960.4-2017《信息技術服務治理第4部分：審計導則》）

----第5部分（即GB/T34960.5-2018《信息技術服務治理第5部分：數(shù)據(jù)治理規(guī)范》）

----第6部分（即GB/T34960.6《信息技術服務治理第6部分：:風險管理》）

----第7部分（即GB/T34960.7《信息技術服務治理第7部分：數(shù)據(jù)審計》）

----第8部分（即GB/T34960.8《信息技術服務治理第8部分：安全審計》）

本標準按照GB/T1.1-2009給出的規(guī)則起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任。

本部分由中國電子技術標準化研究院提出。

本標準起草單位：

本標準主要起草人：

IV

T/CESAXXXX-2019

信息技術服務治理數(shù)據(jù)審計

1范圍

T/CESAXXXXX的本部分規(guī)定了數(shù)據(jù)審計總則、數(shù)據(jù)審計組織管理、數(shù)據(jù)審計人員、數(shù)據(jù)內(nèi)部控

制審計、審計流程、審計報告、審計適用對象和范圍等內(nèi)容。

本部分適用于：

a)組織治理主體實施數(shù)據(jù)審計監(jiān)督職能；

b)建立或完善組織的數(shù)據(jù)審計體系及相關平臺；

c)明確組織數(shù)據(jù)審計過程中的相關要求；

d)規(guī)范組織數(shù)據(jù)審計業(yè)務的開展及相關平臺的建設；

e)第三方或其他相關機構(gòu)開展數(shù)據(jù)審計的指導

f)建立或未建立內(nèi)部數(shù)據(jù)審計機構(gòu)的組織，均可聘請第三方依據(jù)本標準的相關要求開展數(shù)據(jù)審

計。

各級各類信息化主管部門、監(jiān)管機構(gòu)及審計監(jiān)督機構(gòu)，可根據(jù)法律法規(guī)、部門規(guī)章的要求，使用本

標準對所管轄各類組織的數(shù)據(jù)審計提出要求，并進行監(jiān)督。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T34960.1信息技術服務治理第1部分：通用要求

GB/T34960.4信息技術服務治理第4部分：審計導則

3術語和定義

3.1

數(shù)據(jù)data

指所有能輸入到計算機并被計算機程序處理的符號的介質(zhì)的總稱，是用于輸入電子計算機進行

處理，具有一定意義的數(shù)字、字母、符號和模擬量等的通稱。

3.2

數(shù)據(jù)審計dataAudit

根據(jù)數(shù)據(jù)審計標準的要求，對數(shù)據(jù)本身以及與其形成過程相關的內(nèi)部控制和流程進行檢查、評

價，發(fā)表審計意見，并提出改進意見和建議。

3.3

數(shù)據(jù)組織層面控制dataorganizationcontrol

在組織層面建立并實施的數(shù)據(jù)相關控制，控制要素包括數(shù)據(jù)控制環(huán)境、風險評估、控制活動、

信息與溝通及內(nèi)部監(jiān)督。

5

T/CESAXXXX-2019

3.4

數(shù)據(jù)組織控制審計datacontrolaudit

對數(shù)據(jù)組織層面控制開展的審計。

3.5

數(shù)據(jù)一般控制datageneralcontrol

為了保證數(shù)據(jù)系統(tǒng)安全、穩(wěn)定的運行，對整個數(shù)據(jù)系統(tǒng)以及外部各種環(huán)境要素實施的控制。

3.6

數(shù)據(jù)一般控制審計datageneralcontrolaudit

對數(shù)據(jù)一般控制開展的審計。

3.7

數(shù)據(jù)應用內(nèi)部控制dataapplicationinternalcontrol

在數(shù)據(jù)層面為合理保證數(shù)據(jù)應用系統(tǒng)準確、完整、可靠的完成數(shù)據(jù)的準備、分析、挖掘等功能，

而設計、執(zhí)行的IT控制。

3.8

數(shù)據(jù)應用內(nèi)部控制審計dataapplicationinternalcontrolAudit

對數(shù)據(jù)應用控制開展的審計。

4數(shù)據(jù)審計總則

4.1審計與治理的關系

數(shù)據(jù)治理過程包含統(tǒng)籌和規(guī)劃、構(gòu)建和運行、監(jiān)控和評價以及改進和優(yōu)化，數(shù)據(jù)審計是監(jiān)控和評價

不可或缺的任務。

4.2審計結(jié)構(gòu)及其關系

數(shù)據(jù)審計包括審計組織管理體系、審計依據(jù)、審計方法、審計技術、審計質(zhì)量控制、審計工作的執(zhí)

行、審計人員、審計業(yè)務、審計流程及審計報告。

4.3審計依據(jù)

數(shù)據(jù)審計依據(jù)包括但不限于：

a)國家IT與數(shù)據(jù)相關法律、法規(guī)及標準；

b)行業(yè)IT與數(shù)據(jù)相關規(guī)范及標準；

c)地方IT與數(shù)據(jù)相關規(guī)范及標準；

d)組織內(nèi)部IT與數(shù)據(jù)相關規(guī)范及標準；

e)國際IT與大數(shù)據(jù)相關標準；

f)國內(nèi)外IT與大數(shù)據(jù)最佳實踐。

4.4審計方法

組織的數(shù)據(jù)審計方法要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。

4.5審計技術

6

T/CESAXXXX-2019

組織的數(shù)據(jù)審計技術要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。

4.6審計質(zhì)量控制

組織的數(shù)據(jù)審計質(zhì)量控制要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。

4.7審計業(yè)務類型

數(shù)據(jù)審計業(yè)務類型包括數(shù)據(jù)治理內(nèi)部控制審計和數(shù)據(jù)專項審計。數(shù)據(jù)治理內(nèi)部控制審計是為了綜合

評價組織數(shù)據(jù)控制目標實現(xiàn)過程而進行的審計；數(shù)據(jù)專項審計是組織根據(jù)外部要求及內(nèi)部特殊需要而進

行的審計。數(shù)據(jù)專項審計可作為獨立的審計項目實施，或作為綜合性審計項目的組成部分組織實施。

當數(shù)據(jù)審計作為綜合性審計項目的一部分時，數(shù)據(jù)審計人員在進行審計計劃時應考慮項目審計目標

及要求，在審計實施過程中應及時與其他相關審計人員溝通數(shù)據(jù)審計中的發(fā)現(xiàn)，并考慮依據(jù)數(shù)據(jù)審計結(jié)

果調(diào)整其他相關審計的范圍、時間及性質(zhì)。

數(shù)據(jù)審計人員應當以風險導向為基礎開展審計，風險評估應當貫穿于審計的全過程。

4.8審計方式

審計方式是指利用計算機輔助審計技術、大數(shù)據(jù)技術、人工智能技術等手段開展的審計，包括現(xiàn)場

審計和遠程審計。

4.8審計工作的執(zhí)行

組織的審計工作執(zhí)行要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。

5數(shù)據(jù)審計組織管理

組織的數(shù)據(jù)審計組織管理通用要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》，

同時還應：

a)為數(shù)據(jù)審計開展創(chuàng)造必要的環(huán)境；

b)明確審計機構(gòu)的職責和權(quán)力；

c)在審計章程中明確數(shù)據(jù)審計的相關要求；

d)制定數(shù)據(jù)審計相關制度、流程及操作規(guī)程等；

e)建立數(shù)據(jù)審計系統(tǒng)；

f)制定數(shù)據(jù)審計戰(zhàn)略規(guī)劃。

6數(shù)據(jù)審計人員要求

組織的數(shù)據(jù)審計人員通用要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》，同

時還應具備數(shù)據(jù)審計資質(zhì)

7數(shù)據(jù)治理內(nèi)部控制審計

7.1總則

7

T/CESAXXXX-2019

數(shù)據(jù)治理內(nèi)部控制審計是為了綜合評價組織數(shù)據(jù)治理控制目標實現(xiàn)過程而進行的審計，包括數(shù)據(jù)治

理組織層面控制、數(shù)據(jù)治理一般性控制、數(shù)據(jù)治理應用控制的審查和評價。數(shù)據(jù)治理內(nèi)部控制審計是組

織常規(guī)審計內(nèi)容的一部分。

7.2組織控制審計

7.2.1控制環(huán)境

審計數(shù)據(jù)治理控制環(huán)境時，審計范圍包括但不限于：

a）組織遵循的數(shù)據(jù)總則；

b）數(shù)據(jù)戰(zhàn)略與業(yè)務戰(zhàn)略的一致性；

c）決策層的數(shù)據(jù)風險偏好及風險容忍度；

d）數(shù)據(jù)治理與管理的職責分工和制衡機制；

e）數(shù)據(jù)內(nèi)部控制的監(jiān)督機制；

f）數(shù)據(jù)內(nèi)部控制機構(gòu)的設置、職責與權(quán)限；

g）內(nèi)部審計機構(gòu)設置、人員配備和工作獨立性；

h）……。

7.2.2風險評估

審計數(shù)據(jù)治理風險評估時，審計范圍包括但不限于：

a）數(shù)據(jù)風險管理目標和策略；

b）數(shù)據(jù)風險管理原則；

c）數(shù)據(jù)風險管理組織；

d）數(shù)據(jù)風險管理制度；

e）數(shù)據(jù)風險管理流程；

f）數(shù)據(jù)風險識別、風險分析、風險評價及風險處置的執(zhí)行情況；

g）……。

7.2.3控制活動

7.2.3.1通用要求

審計組織層面數(shù)據(jù)治理控制活動通用要求時，審計范圍包括但不限于：

a）數(shù)據(jù)治理控制政策與流程；

b）數(shù)據(jù)治理授權(quán)與審批控制；

c）數(shù)據(jù)治理預算控制；

d）數(shù)據(jù)治理信息記錄與報告；

e）數(shù)據(jù)治理資產(chǎn)保護；

f）數(shù)據(jù)治理績效考核；

g）數(shù)據(jù)治理不相容職責分離。

7.2.3.2頂層設計

審計數(shù)據(jù)治理頂層設計時，審計范圍包括但不限于：

a）戰(zhàn)略規(guī)劃；

b）組織構(gòu)建；

c）架構(gòu)設計。

7.2.3.3數(shù)據(jù)治理域

8

T/CESAXXXX-2019

審計數(shù)據(jù)治理域時，審計范圍包括但不限于治理主體對以下管理情況要求，以及相關的評估、指導、

監(jiān)督和改進情況：

a）數(shù)據(jù)管理體系；

b）數(shù)據(jù)價值體系。

7.2.3.4數(shù)據(jù)治理過程

審計數(shù)據(jù)治理過程時，審計范圍包括但不限于：

a）統(tǒng)籌和規(guī)劃；

b）構(gòu)建和運行；

c）監(jiān)控和評價；

d）改進和優(yōu)化。

7.2.4信息與溝通

審計數(shù)據(jù)治理的信息與溝通時，審計范圍包括但不限于：

a）與數(shù)據(jù)治理相關的信息系統(tǒng)架構(gòu)，以及對決策與業(yè)務的支持度；

b）決策層有關數(shù)據(jù)治理的信息溝通模式；

c）數(shù)據(jù)治理戰(zhàn)略、政策及制度等方面的傳達與溝通的連續(xù)性、完整性及有效性；

d）組織對數(shù)據(jù)治理風險內(nèi)部控制所需要信息的明確；

e）……。

7.2.5內(nèi)部監(jiān)督

審計數(shù)據(jù)治理內(nèi)部監(jiān)督時，審計范圍包括但不限于：

a）數(shù)據(jù)治理風險防線建立的合規(guī)性；

b）組織的數(shù)據(jù)治理監(jiān)控管理報告系統(tǒng)、監(jiān)控反饋、跟蹤處理程序；

c）數(shù)據(jù)治理內(nèi)部控制的自我評估機制；

d）……。

7.3一般控制審計

7.3.1通用要求

審計數(shù)據(jù)治理一般控制的通用要求時，審計范圍包括但不限于：

a）數(shù)據(jù)治理控制政策與流程；

b）數(shù)據(jù)治理授權(quán)與審批控制；

c）信息記錄與報告；

d）資產(chǎn)保護；

e）績效考核；

f）不相容職責分離。

7.3.2采購管理

組織的數(shù)據(jù)治理一般控制采購管理審計要求見GB/T34960.4《信息技術服務治理第4部分：審計

導則》。

7.3.3項目整體管理

組織的數(shù)據(jù)治理一般控制項目整體管理審計要求見GB/T34960.4《信息技術服務治理第4部分：

審計導則》。

9

T/CESAXXXX-2019

7.3.4開發(fā)管理

審計開發(fā)管理時，審計范圍包括但不限于：

a）組織模式；

b）需求管理；

c）過程管理。

7.3.5交付管理

審計交付管理時，審計范圍包括但不限于：

a）配置管理；

b）構(gòu)建與持續(xù)集成；

c）測試管理；

d）布置與發(fā)布管理；

e）……。

7.3.6運營管理

審計運營管理時，審計范圍包括但不限于：

a）監(jiān)控管理；

b）變更管理；

c）容量與性能管理；

d）成本管理；

e）事件管理；

f）……。

7.3.7風險管理

審計風險管理時，審計范圍包括但不限于：

a）總體風險；

b）開發(fā)風險；

c)交付風險；

d)技術運營風險。

7.3.8組織管理

審計組織管理時，審計范圍包括但不限于：

a)組織架構(gòu)；

b）文化建設；

c）人員素質(zhì)；

d）創(chuàng)新管理；

e）……。

7.3.9系統(tǒng)運行管理

審計系統(tǒng)運行時，審計范圍包括但不限于：

a）系統(tǒng)運行監(jiān)控；

b）系統(tǒng)性能與容量；

c）物理環(huán)境；

d）系統(tǒng)和大數(shù)據(jù)的備份與恢復管理；

e）事件及問題管理；

10

T/CESAXXXX-2019

f）應急及災備管理。

7.3.10系統(tǒng)與網(wǎng)絡安全管理

審計系統(tǒng)與網(wǎng)絡安全管理時，審計范圍包括但不限于：

a）信息安全事件管理；

b）系統(tǒng)研發(fā)安全；

c）網(wǎng)絡安全；

d）設備安全；

e）操作系統(tǒng)安全；

f）應用系統(tǒng)安全；

g）大數(shù)據(jù)安全。

7.3.11其他相關控制

組織的數(shù)據(jù)治理一般控制其他相關控制審計要求見GB/T34960.4《信息技術服務治理第4部分：

審計導則》。

7.4應用控制

7.4.1通用要求

審計應用控制的通用要求時，審計范圍包括但不限于：

g）應用控制政策與流程；

h）應用授權(quán)與審批控制；

i）信息記錄與報告；

j）資產(chǎn)保護；

k）績效考核；

l）不相容職責分離。

7.4.2數(shù)據(jù)生存周期控制

審計數(shù)據(jù)生存周期控制時，審計范圍包括但不限于：

a)數(shù)據(jù)獲取

b)數(shù)據(jù)移交

c)數(shù)據(jù)恢復

d)數(shù)據(jù)存儲

e)數(shù)據(jù)運用

f)數(shù)據(jù)維護

g)數(shù)據(jù)交易

h)數(shù)據(jù)傳輸

i)數(shù)據(jù)銷毀

……

7.4.3應用組織管理

審計數(shù)據(jù)治理相關應用系統(tǒng)的組織管理時，審計范圍包括但不限于：

a）組織結(jié)構(gòu)，包括組織架構(gòu)設置、部門及崗位職責等；

b）用戶管理，包括用戶賬號及權(quán)限等；

c）參數(shù)管理，包括參數(shù)設置的范圍與依據(jù)、參數(shù)調(diào)整的授權(quán)與審批及參數(shù)調(diào)整的日志記錄等；

d）操作管理，包括操作環(huán)境、功能使用、操作要求等；

11

T/CESAXXXX-2019

e）信息安全管理，包括系統(tǒng)應用環(huán)境安全、操作安全、介質(zhì)與文檔安全等；

f）事件管理，包括事件記錄、上報、處理、跟蹤與監(jiān)控等；

g）問題管理，包括問題的確定、記錄、分類、處理、解決及跟蹤等；

h）文檔與數(shù)據(jù)管理，包括文檔與數(shù)據(jù)介質(zhì)的生成、分類、歸檔、保存、調(diào)用及銷毀等；

i）績效考核與獎懲，包括績效考核指標、評價方法、評價結(jié)果及獎懲措施等。

7.4.4業(yè)務流程設計

審計業(yè)務流程控制時，審計范圍包括但不限于：

a）業(yè)務流程設計的完備性；

b）業(yè)務流程處理的正確性和控制的有效性；

c）業(yè)務功能的合理性。

7.4.5數(shù)據(jù)采集、處理及輸出

審計數(shù)據(jù)采集、處理及輸出時，審計范圍包括但不限于：

a）數(shù)據(jù)采集控制，包括數(shù)據(jù)導入、修改、刪除、校驗、備份的恢復、權(quán)限控制及錯誤處理機制等；

b）數(shù)據(jù)處理控制，包括數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)整理、數(shù)據(jù)計算、數(shù)據(jù)匯總控制及錯誤處理機制等；

c）數(shù)據(jù)輸出控制，包括輸出外設、輸出范圍和內(nèi)容、輸出信息分發(fā)、保存和訪問、備份、權(quán)限控

制及錯誤處理機制等。

7.4.6系統(tǒng)接口與信息共享

7.4.6.1系統(tǒng)接口

審計系統(tǒng)接口時，審計范圍包括但不限于：

a）系統(tǒng)接口標準；

b）接口/轉(zhuǎn)換控制，包括數(shù)據(jù)采集、校驗、轉(zhuǎn)換、傳輸、權(quán)限控制及錯誤處理機制等。

7.4.6.2信息共享

審計信息共享時，審計范圍包括但不限于：

a）共享信息分類；

b）共享信息的控制。

7.4.7數(shù)據(jù)質(zhì)量

審計數(shù)據(jù)質(zhì)量時，審計范圍包括但不限于：

a）數(shù)據(jù)質(zhì)量管理，包括數(shù)據(jù)質(zhì)量管理的組織、制度、流程及控制執(zhí)行等；

b）數(shù)據(jù)質(zhì)量，包括完整性、準確性、有效性、合法性、一致性等。

8數(shù)據(jù)專項審計

8.1總則

數(shù)據(jù)專項審計是組織根據(jù)外部要求及內(nèi)部特殊需要而進行的審計。數(shù)據(jù)專項審計是組織常規(guī)審計內(nèi)

容的一部分。數(shù)據(jù)專項審計包括（但不限于）數(shù)據(jù)庫管理專項審計、外部數(shù)據(jù)管理專項審計、業(yè)務數(shù)據(jù)

管理專項審計、數(shù)據(jù)生存周期管理專項審計、數(shù)據(jù)應用管理專項審計、數(shù)據(jù)安全管理專項審計、云數(shù)據(jù)

管理專項審計、數(shù)據(jù)合規(guī)管理專項審計、數(shù)據(jù)治理績效專項審計、數(shù)據(jù)質(zhì)量管理專項審計及數(shù)據(jù)資產(chǎn)管

理專項審計等。

12

T/CESAXXXX-2019

8.2數(shù)據(jù)庫管理專項審計（INFORMATICA）（數(shù)據(jù)標準、）

數(shù)據(jù)庫管理專項審計任務包括但不限于：

a）數(shù)據(jù)庫管理目標、方針和策略

b）數(shù)據(jù)庫管理組織的建立；

c）外部數(shù)據(jù)管理制度和流程

d）業(yè)務需求說明書

e）數(shù)據(jù)庫架構(gòu)設計方案

f）數(shù)據(jù)結(jié)構(gòu)的規(guī)范性、合理性

g）數(shù)據(jù)標準；

h）數(shù)據(jù)庫維護；

i）……

8.3外部數(shù)據(jù)管理專項審計

外部數(shù)據(jù)管理審計范圍包括但不限于：

a)外部數(shù)據(jù)管理目標、方針和策略；

b)外部數(shù)據(jù)管理組織的建立；

c)外部數(shù)據(jù)管理制度和流程

d)外部數(shù)據(jù)安全的分級分類和保護機制；

e)數(shù)據(jù)的合規(guī)與隱私保護；

f)外部數(shù)據(jù)的權(quán)屬確定；

g)外部數(shù)據(jù)獲取方式和來源的可靠性；

h)外部數(shù)據(jù)個人信息的保護機制；

i)外部數(shù)據(jù)的完整性、準確性、有效性、合法性、一致性等

j)外部數(shù)據(jù)生存周期管理；

k)外部數(shù)據(jù)應用領域的規(guī)范性、合理性

l)外部數(shù)據(jù)風險評估與審計機制的建立

……

8.4業(yè)務數(shù)據(jù)管理專項審計

業(yè)務數(shù)據(jù)管理審計范圍包括但不限于：

a)業(yè)務數(shù)據(jù)管理目標、方針和策略；

b)業(yè)務數(shù)據(jù)管理組織的建立；

c)業(yè)務數(shù)據(jù)管理制度和流程

d)業(yè)務數(shù)據(jù)安全的分級分類和保護機制；

e)業(yè)務數(shù)據(jù)獲取方式和來源的可靠性；

f)業(yè)務數(shù)據(jù)個人信息的保護機制；

g)業(yè)務數(shù)據(jù)標準與模型

h)數(shù)據(jù)的合規(guī)與隱私保護；

i)業(yè)務數(shù)據(jù)的完整性、準確性、有效性、合法性、一致性等

j)業(yè)務數(shù)據(jù)生存周期管理；

k)業(yè)務數(shù)據(jù)應用領域的規(guī)范性、合理性

l)業(yè)務數(shù)據(jù)風險評估與審計機制的建立

13

T/CESAXXXX-2019

……

8.5數(shù)據(jù)生存周期管理專項審計

數(shù)據(jù)生命周期管理專項審計范圍包括但不限于：

a)數(shù)據(jù)獲取

b)數(shù)據(jù)移交

c)數(shù)據(jù)恢復

d)數(shù)據(jù)存儲

e)數(shù)據(jù)運用

f)數(shù)據(jù)維護

g)數(shù)據(jù)交易

h)數(shù)據(jù)傳輸

i)數(shù)據(jù)銷毀

……

8.6數(shù)據(jù)應用管理專項審計

數(shù)據(jù)應用管理審計范圍包括但不限于：

a)數(shù)據(jù)應用管理目標、方針和策略；

b)數(shù)據(jù)應用管理組織的建立；

c)數(shù)據(jù)應用管理制度和流程

d)數(shù)據(jù)應用安全的分級分類和保護機制；

e)數(shù)據(jù)的合規(guī)與隱私保護；

f)數(shù)據(jù)應用相關標準與模型

g)數(shù)據(jù)獲取方式和來源的可靠性；

h)數(shù)據(jù)應用個人信息的保護機制；

i)數(shù)據(jù)的完整性、準確性、有效性、合法性、一致性等

j)數(shù)據(jù)應用生存周期管理；

k)數(shù)據(jù)應用領域的規(guī)范性、合理性

l)數(shù)據(jù)應用風險評估與審計機制的建立

……

8.7數(shù)據(jù)安全管理專項審計（個人信息保護、數(shù)據(jù)標準、）

數(shù)據(jù)安全管理審計范圍包括但不限于：

a)數(shù)據(jù)安全管理目標、方針和策略；

b)數(shù)據(jù)安全管理組織的建立；

c)數(shù)據(jù)安全管理制度、流程；

d)數(shù)據(jù)的分級分類和保護機制；

e)數(shù)據(jù)的合規(guī)與隱私保護；

f)數(shù)據(jù)標準與數(shù)據(jù)模型；

g)數(shù)據(jù)安全事件管理；

h)人力資源安全；

i)安全教育和培訓；

j)物理安全；

14

T/CESAXXXX-2019

k)系統(tǒng)開發(fā)安全；

l)網(wǎng)絡安全；

m)設備安全；

n)操作系統(tǒng)安全；

o)應用系統(tǒng)安全；

p)數(shù)據(jù)生存周期的安全；

q)業(yè)務連續(xù)性管理；

r)數(shù)據(jù)供應商管理；

s)……

8.8云數(shù)據(jù)管理專項審計

云數(shù)據(jù)管理審計范圍包括但不限于：

a)云數(shù)據(jù)管理目標、方針和策略；

b)云數(shù)據(jù)管理組織的建立；

c)云數(shù)據(jù)管理制度和流程；

d)云數(shù)據(jù)標準與云數(shù)據(jù)模型

e)云數(shù)據(jù)的分級分類和保護機制

f)云數(shù)據(jù)的合規(guī)與隱私保護；

g)云數(shù)據(jù)的完整性、準確性、有效性、合法性、一致性等

h)云數(shù)據(jù)生存周期；

i）云數(shù)據(jù)的安全管理

j)云數(shù)據(jù)應用領域的規(guī)范性、合理性

k)云數(shù)據(jù)風險評估與審計機制的建立

l)……。

8.9數(shù)據(jù)合規(guī)管理專項審計

數(shù)據(jù)合規(guī)管理專項審計范圍包括但不限于：

a)數(shù)據(jù)合規(guī)性管理目標、方針和策略

b)數(shù)據(jù)合規(guī)性管理組織架構(gòu)、職責及權(quán)限；

c)數(shù)據(jù)合規(guī)性管理制度的建立；

d)數(shù)據(jù)標準與數(shù)據(jù)模型；

e)數(shù)據(jù)合規(guī)納入組織合規(guī)管理的情況；

f)數(shù)據(jù)邊界相關的合規(guī)性

g)數(shù)據(jù)合規(guī)性管理制度的執(zhí)行

h)……

8.10數(shù)據(jù)治理績效專項審計

數(shù)據(jù)治理績效專項審計范圍包括但不限于：

a)數(shù)據(jù)治理績效管理目標、方針和策略

b)數(shù)據(jù)治理績效組織管理；

c)數(shù)據(jù)治理績效管理制度與流程；

d)數(shù)據(jù)治理績效考核指標體系；

e)數(shù)據(jù)治理績效評價方法；

15

T/CESAXXXX-2019

f)數(shù)據(jù)治理績效考核步驟

g)獎勵與懲罰措施；

h)數(shù)據(jù)治理績效考核活動的開展。

8.11數(shù)據(jù)質(zhì)量管理專項審計

數(shù)據(jù)質(zhì)量管理專項審計范圍包括但不限于：

a)數(shù)據(jù)質(zhì)量管理目標、方針和策略；

b)數(shù)據(jù)質(zhì)量管理制度與流程；

c)數(shù)據(jù)質(zhì)量管理組織架構(gòu)、職責及權(quán)限；

d)數(shù)據(jù)標準；

e)數(shù)據(jù)質(zhì)量管理的資源保障；

f)數(shù)據(jù)生存周期的安全性、可靠性和有效性；

g)數(shù)據(jù)的完整性、準確性、有效性、合法性、一致性等

h)數(shù)據(jù)產(chǎn)品及服務實現(xiàn)過程和結(jié)果的監(jiān)視和測量；

i)數(shù)據(jù)質(zhì)量管理風險評估與審計機制的建立

j)……。

8.12數(shù)據(jù)資產(chǎn)管理專項審計（數(shù)據(jù)標準、）

數(shù)據(jù)資產(chǎn)管理專項審計范圍包括但不限于：

a)數(shù)據(jù)資產(chǎn)管理目標、方針和策略

b)數(shù)據(jù)資產(chǎn)管理規(guī)劃

c)數(shù)據(jù)資產(chǎn)管理組織架構(gòu)、職責、權(quán)限及人員配備等；

d)數(shù)據(jù)標準；

e)數(shù)據(jù)資產(chǎn)管理過程；

f)數(shù)據(jù)資產(chǎn)評估；

g)數(shù)據(jù)資產(chǎn)安全；

h)數(shù)據(jù)資產(chǎn)管理內(nèi)外部環(huán)境及技術資源保障等。

i)數(shù)據(jù)資產(chǎn)管理風險評估與審計機制的建立

j)……。

9數(shù)據(jù)審計流程

數(shù)據(jù)審計流程要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》

10數(shù)據(jù)審計報告

數(shù)據(jù)審計報告要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》

附錄A（規(guī)范性附錄）總體風險管理

參考文獻

16

T/CESAXXXX-2019

附錄A

（規(guī)范性附錄）

數(shù)據(jù)審計系統(tǒng)

A.1概述

數(shù)據(jù)審計系統(tǒng)屬于GB34960.4《信息技術服務治理第4部分：審計導則》中審計平臺的一部分，是

在審計中充分利用信息技術管理和支持完成相關數(shù)據(jù)審計工作的信息系統(tǒng)。

A.2數(shù)據(jù)審計系統(tǒng)的規(guī)劃

對數(shù)據(jù)審計系統(tǒng)進行規(guī)劃時，至少應：

a)明確數(shù)據(jù)審計系統(tǒng)建設目標；

b)與組織的業(yè)務戰(zhàn)略、信息化戰(zhàn)略保持一致；

c)……

A.3安全審計系統(tǒng)的建設

數(shù)據(jù)審計系統(tǒng)的建設應納入組織信息化建設體系進行規(guī)范管理，包括但不限于：

a)數(shù)據(jù)審計系統(tǒng)的建設方式；

b)數(shù)據(jù)審計系統(tǒng)的立項管理；

c)數(shù)據(jù)審計系統(tǒng)的項目管理等

d)……

A.4數(shù)據(jù)審計系統(tǒng)的應用

數(shù)據(jù)審計系統(tǒng)的應用應進行規(guī)范管理，包括但不限于：

a)數(shù)據(jù)審計系統(tǒng)應用的組織架構(gòu)；

b)數(shù)據(jù)審計系統(tǒng)應用的制度與流程；

c)數(shù)據(jù)審計系統(tǒng)應用的模型管理

d)數(shù)據(jù)審計系統(tǒng)應用的安全管理；

……。

A.5數(shù)據(jù)審計系統(tǒng)運行

數(shù)據(jù)審計系統(tǒng)的運行應進行規(guī)范管理，包括但不限于：

e)數(shù)據(jù)審計系統(tǒng)運行的組織管理；

f)數(shù)據(jù)審計系統(tǒng)運行的制度與流程；

g)數(shù)據(jù)審計系統(tǒng)運行的安全管理；

……

17

T/CESAXXXX-2019

_________________________________

18

T/CESAXXXX-2019

目次

目次.................................................................................II

前言.............................................................................IV

信息技術服務治理數(shù)據(jù)審計............................................................5

1范圍................................................................................5

2規(guī)范性引用文件......................................................................5

3術語和定義..........................................................................5

4數(shù)據(jù)審計總則......................................................................6

4.1審計與治理的關系................................................................6

4.2審計結(jié)構(gòu)及其關系................................................................6

4.3審計依據(jù)........................................................................6

4.4審計方法........................................................................6

4.5審計技術........................................................................6

4.6審計質(zhì)量控制....................................................................7

4.7審計業(yè)務類型....................................................................7

4.8審計方式........................................................................7

4.8審計工作的執(zhí)行..................................................................7

5數(shù)據(jù)審計組織管理..................................................................7

6數(shù)據(jù)審計人員要求..................................................................7

7數(shù)據(jù)治理內(nèi)部控制審計..............................................................7

7.1總則............................................................................7

7.2組織控制審計....................................................................8

7.3一般控制審計....................................................................9

7.4應用控制....................................................................11

8數(shù)據(jù)專項審計.....................................................................12

8.1總則...........................................................................12

8.2數(shù)據(jù)庫管理專項審計（INFORMATICA）（數(shù)據(jù)標準、）................................13

8.3外部數(shù)據(jù)管理專項審計...........................................................13

8.4業(yè)務數(shù)據(jù)管理專項審計...................................................13

8.5數(shù)據(jù)生存周期管理專項審計.......................................................14

8.6數(shù)據(jù)應用管理專項審計...........................................................14

8.7數(shù)據(jù)安全管理專項審計（個人信息保護、數(shù)據(jù)標準、）...............................14

8.8云數(shù)據(jù)管理專項審計.............................................................15

8.9數(shù)據(jù)合規(guī)管理專項審計...........................................................15

8.10數(shù)據(jù)治理績效專項審計..........................................................15

8.11數(shù)據(jù)質(zhì)量管理專項審計..........................................................16

8.12數(shù)據(jù)資產(chǎn)管理專項審計（數(shù)據(jù)標準、）............................................16

9數(shù)據(jù)審計流程.....................................................................16

II

T/CESAXXXX-2019

10數(shù)據(jù)審計報告...................................................................16

附錄A（規(guī)范性附錄）數(shù)據(jù)審計系統(tǒng)...............................................17

III

T/CESAXXXX-2019

信息技術服務治理數(shù)據(jù)審計

1范圍

T/CESAXXXXX的本部分規(guī)定了數(shù)據(jù)審計總則、數(shù)據(jù)審計組織管理、數(shù)據(jù)審計人員、數(shù)據(jù)內(nèi)部控

制審計、審計流程、審計報告、審計適用對象和范圍等內(nèi)容。

本部分適用于：

a)組織治理主體實施數(shù)據(jù)審計監(jiān)督職能；

b)建立或完善組織的數(shù)據(jù)審計體系及相關平臺；

c)明確組織數(shù)據(jù)審計過程中的相關要求；

d)規(guī)范組織數(shù)據(jù)審計業(yè)務的開展及相關平臺的建設；

e)第三方或其他相關機構(gòu)開展數(shù)據(jù)審計的指導

f)建立或未建立內(nèi)部數(shù)據(jù)審計機構(gòu)的組織，均可聘請第三方依據(jù)本標準的相關要求開展數(shù)據(jù)審

計。

各級各類信息化主管部門、監(jiān)管機構(gòu)及審計監(jiān)督機構(gòu)，可根據(jù)法律法規(guī)、部門規(guī)章的要求，使用本

標準對所管轄各類組織的數(shù)據(jù)審計提出要求，并進行監(jiān)督。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T34960.1信息技術服務治理第1部分：通用要求

GB/T34960.4信息技術服務治理第4部分：審計導則

3術語和定義

3.1

數(shù)據(jù)data

指所有能輸入到計算機并被計算機程序處理的符號的介質(zhì)的總稱，是用于輸入電子計算機進行

處理，具有一定意義的數(shù)字、字母、符號和模擬量等的通稱。

3.2

數(shù)據(jù)審計dataAudit

根據(jù)數(shù)據(jù)審計標準的要求，對數(shù)據(jù)本身以及與其形成過程相關的內(nèi)部控制和流程進行檢查、評

價，發(fā)表審計意見，并提出改進意見和建議。

3.3

數(shù)據(jù)組織層面控制dataorganizationcontrol

在組織層面建立并實施的數(shù)據(jù)相關控制，控制要素包括數(shù)據(jù)控制環(huán)境、風險評估、控制活動、

信息與溝通及內(nèi)部監(jiān)督。

5

T/CESAXXXX-2019

3.4

數(shù)據(jù)組織控制審計datacontrolaudit

對數(shù)據(jù)組織層面控制開展的審計。

3.5

數(shù)據(jù)一般控制datageneralcontrol

為了保證數(shù)據(jù)系統(tǒng)安全、穩(wěn)定的運行，對整個數(shù)據(jù)系統(tǒng)以及外部各種環(huán)境要素實施的控制。

3.6

數(shù)據(jù)一般控制審計datageneralcontrolaudit

對數(shù)據(jù)一般控制開展的審計。

3.7

數(shù)據(jù)應用內(nèi)部控制dataapplicationinternalcontrol

在數(shù)據(jù)層面為合理保證數(shù)據(jù)應用系統(tǒng)準確、完整、可靠的完成數(shù)據(jù)的準備、分析、挖掘等功能，

而設計、執(zhí)行的IT控制。

3.8

數(shù)據(jù)應用內(nèi)部控制審計dataapplicationinternalcontrolAudit

對數(shù)據(jù)應用控制開展的審計。

4數(shù)據(jù)審計總則

4.1審計與治理的關系

數(shù)據(jù)治理過程包含統(tǒng)籌和規(guī)劃、構(gòu)建和運行、監(jiān)控和評價以及改進和優(yōu)化，數(shù)據(jù)審計是監(jiān)控和評價

不可或缺的任務。

4.2審計結(jié)構(gòu)及其關系

數(shù)據(jù)審計包括審計組織管理體系、審計依據(jù)、審計方法、審計技術、審計質(zhì)量控制、審計工作的執(zhí)

行、審計人員、審計業(yè)務、審計流程及審計報告。

4.3審計依據(jù)

數(shù)據(jù)審計依據(jù)包括但不限于：

a)國家IT與數(shù)據(jù)相關法律、法規(guī)及標準；

b)行業(yè)IT與數(shù)據(jù)相關規(guī)范及標準；

c)地方IT與數(shù)據(jù)相關規(guī)范及標準；

d)組織內(nèi)部IT與數(shù)據(jù)相關規(guī)范及標準；

e)國際IT與大數(shù)據(jù)相關標準；

f)國內(nèi)外IT與大數(shù)據(jù)最佳實踐。

4.4審計方法

組織的數(shù)據(jù)審計方法要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。

4.5審計技術

6

T/CESAXXXX-2019

組織的數(shù)據(jù)審計技術要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。

4.6審計質(zhì)量控制

組織的數(shù)據(jù)審計質(zhì)量控制要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。

4.7審計業(yè)務類型

數(shù)據(jù)審計業(yè)務類型包括數(shù)據(jù)治理內(nèi)部控制審計和數(shù)據(jù)專項審計。數(shù)據(jù)治理內(nèi)部控制審計是為了綜合

評價組織數(shù)據(jù)控制目標實現(xiàn)過程而進行的審計；數(shù)據(jù)專項審計是組織根據(jù)外部要求及內(nèi)部特殊需要而進

行的審計。數(shù)據(jù)專項審計可作為獨立的審計項目實施，或作為綜合性審計項目的組成部分組織實施。

當數(shù)據(jù)審計作為綜合性審計項目的一部分時，數(shù)據(jù)審計人員在進行審計計劃時應考慮項目審計目標

及要求，在審計實施過程中應及時與其他相關審計人員溝通數(shù)據(jù)審計中的發(fā)現(xiàn)，并考慮依據(jù)數(shù)據(jù)審計結(jié)

果調(diào)整其他相關審計的范圍、時間及性質(zhì)。

數(shù)據(jù)審計人員應當以風險導向為基礎開展審計，風險評估應當貫穿于審計的全過程。

4.8審計方式

審計方式是指利用計算機輔助審計技術、大數(shù)據(jù)技術、人工智能技術等手段開展的審計，包括現(xiàn)場

審計和遠程審計。

4.8審計工作的執(zhí)行

組織的審計工作執(zhí)行要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。

5數(shù)據(jù)審計組織管理

組織的數(shù)據(jù)審計組織管理通用要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》，

同時還應：

a)為數(shù)據(jù)審計開展創(chuàng)造必要的環(huán)境；

b)明確審計機構(gòu)的職責和權(quán)力；

c)在審計章程