TCESA 1078-2020 信息技術(shù) 服務(wù) 治理 數(shù)據(jù)審計

信息技術(shù)服務(wù)治理數(shù)據(jù)審計Informationtechnologyservice-Governance-Data2020-03-01發(fā)布2020-09-01實施I版權(quán)保護文件版權(quán)所有歸屬于該標準的發(fā)布機構(gòu)，除非有其他規(guī)定，否則未經(jīng)許可，此發(fā)行物及其章節(jié)不得以其他形式或任何手段進行復(fù)制、再版或使用，包括電子版，影印件，或發(fā)布在互聯(lián)網(wǎng)及內(nèi)部網(wǎng)絡(luò)等。使用許可可于發(fā)布機構(gòu)獲取。 II Y....…................. 2 2 24.3審計依據(jù) 3 34.6審計質(zhì)量控制 4.7審計業(yè)務(wù)類型 4 4 47.3數(shù)據(jù)治理一般控制審計 7 8 8 9 9 9 11數(shù)據(jù)審計報告 本標準按照GB/T1.1-2009給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任。本標準由中國電子技術(shù)標準化研究院提出。本標準由中國電子技術(shù)標準化研究院、中國電子工業(yè)標準化技術(shù)協(xié)會歸口。本標準起草單位：上海谷航信息科技發(fā)展有限公司、中國電子技術(shù)標準化研究院、國信優(yōu)易數(shù)據(jù)有限公司、上海軟中信息技術(shù)有限公司、北京賽迪認證中心有限公司、無錫農(nóng)村商業(yè)銀行股份有限公司、江蘇江陰農(nóng)村商業(yè)銀行股份有限公司、四川久遠銀海軟件股份有限公司、上海瀚緯信息科技有限公司、廣州賽寶聯(lián)睿信息科技有限公司、神州數(shù)碼系統(tǒng)集成服務(wù)有限公司、萬達信息股份有限公司、上海安言信息技術(shù)有限公司、北京易服務(wù)信息技術(shù)有限公司、廣東鑫盟管理咨詢有限公司、上海計算機軟件技術(shù)開發(fā)中心、首都信息發(fā)展股份有限公司、上海華訊網(wǎng)絡(luò)系統(tǒng)有限公司、北京中軟國際信息技術(shù)有限公司。本標準參加起草單位：北京國家會計學院、上海市衛(wèi)生健康委員會、國家計算機網(wǎng)絡(luò)與信息安全管理中心上海分中心、上海交通大學、上海市衛(wèi)生健康信息中心、東北農(nóng)業(yè)大學。本標準主要起草人：方健、張鳳玲、俞文平、郭鑫偉、趙丹丹、宋俊典、馬烈、王春濤、楊軍、張樹玲、施勇、戴沁蕓、浦軼華、胡海燕、謝樺、陳宏峰、孫佩、李光亞、鄭晨光、黃建新、張明英、周鵬、黃建文、宋躍武、肖筱華、錢偉峰、謝斌、何敬任、顏珠、姜亮、孫翊威、米昂、陳雯、朱永佳、王萌、俞麗平、居琰、曹劍峰、周鵬程、王錚、廖偉、楊琳、張娜、李彩虹、于宏志、陳昌杰、秦峰、高洪美、韓佳赟、王安妮、李晨光、李俊彥、李易、楊明。1信息技術(shù)服務(wù)治理數(shù)據(jù)審計本標準規(guī)定了數(shù)據(jù)審計總則、數(shù)據(jù)審計組織管理、數(shù)據(jù)審計人員、數(shù)據(jù)內(nèi)部控制審計、審計流程、審計系統(tǒng)、審計報告等內(nèi)容。本部分適用于：a)組織治理主體實施數(shù)據(jù)審計監(jiān)督職能；b)建立或完善組織的數(shù)據(jù)審計體系及相關(guān)平臺；c)明確組織數(shù)據(jù)審計過程中的相關(guān)要求；d)規(guī)范組織數(shù)據(jù)審計業(yè)務(wù)的開展及相關(guān)平臺的建設(shè)；e)第三方或其他相關(guān)機構(gòu)開展數(shù)據(jù)審計的指導(dǎo)f)建立或未建立內(nèi)部數(shù)據(jù)審計機構(gòu)的組織，均可聘請第三方依據(jù)本標準的相關(guān)要求開展數(shù)據(jù)審計。各級各類信息化主管部門、監(jiān)管機構(gòu)及審計監(jiān)督機構(gòu)，可根據(jù)法律法規(guī)、部門規(guī)章的要求，使用本標準對所管轄各類組織的數(shù)據(jù)審計提出要求，并進行監(jiān)督。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T34960.1信息技術(shù)服務(wù)治理第1部分：通用要求GB/T34960.4信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則GB/T34960.5信息技術(shù)服務(wù)治理第5部分：數(shù)據(jù)治理規(guī)范3術(shù)語和定義數(shù)據(jù)data所有能輸入到計算機并被計算機程序處理的符號介質(zhì)的總稱，是用于輸入電子計算機進行處理，具有一定意義的數(shù)字、字母、符號和模擬量等的通稱。數(shù)據(jù)審計dataaudit根據(jù)數(shù)據(jù)審計依據(jù)的要求，對數(shù)據(jù)本身以及與其形成過程相關(guān)的內(nèi)部控制和流程進行檢查、評價，并發(fā)表審計意見。信息技術(shù)審計informationtechnologyaudit(ITaudit)根據(jù)IT審計標準的要求，對信息系統(tǒng)及相關(guān)的IT內(nèi)部控制和流程進行檢查、評價，并發(fā)表審計意2數(shù)據(jù)治理一般控制審計datagovernancegeneralcontrol數(shù)據(jù)治理應(yīng)用內(nèi)部控制datagovernanceapplicationinternalcontrol控制。數(shù)據(jù)治理應(yīng)用內(nèi)部控制審計datagovernanceapplicationinternal4數(shù)據(jù)審計總則4.1審計與治理的關(guān)系數(shù)據(jù)治理是IT治理的一部分，數(shù)據(jù)審計是IT審計的一部分。組織的IT審計與治理的關(guān)系要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。4.2審計結(jié)構(gòu)及其關(guān)系數(shù)據(jù)審計是IT審計的一部分，組織的IT審計結(jié)構(gòu)及其關(guān)系要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。4.3審計依據(jù)d)組織內(nèi)部IT與數(shù)據(jù)相關(guān)規(guī)范及標準；3e)國際IT與數(shù)據(jù)相關(guān)標準；f)國內(nèi)外IT與數(shù)據(jù)最佳實踐。4.4審計方法組織的數(shù)據(jù)審計方法要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。4.5審計技術(shù)組織的數(shù)據(jù)審計技術(shù)要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。4.6審計質(zhì)量控制組織的數(shù)據(jù)審計質(zhì)量控制要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。4.7審計業(yè)務(wù)類型數(shù)據(jù)審計業(yè)務(wù)類型包括數(shù)據(jù)治理內(nèi)部控制專項審計和數(shù)據(jù)特定領(lǐng)域?qū)ｍ棇徲?。?shù)據(jù)治理內(nèi)部控制專項審計是為了綜合評價組織數(shù)據(jù)治理控制目標實現(xiàn)過程而進行的審計；數(shù)據(jù)特定領(lǐng)域?qū)ｍ棇徲嬍墙M織根據(jù)外部要求及內(nèi)部特殊需要而進行的審計。數(shù)據(jù)審計業(yè)務(wù)可作為獨立的審計項目實施，或作為綜合性審計項目的組成部分組織實施。當數(shù)據(jù)審計業(yè)務(wù)作為綜合性審計項目的一部分時，數(shù)據(jù)審計人員在進行審計計劃時應(yīng)考慮項目審計目標及要求，在審計實施過程中應(yīng)及時與其他相關(guān)審計人員溝通數(shù)據(jù)審計中的發(fā)現(xiàn)，并考慮依據(jù)數(shù)據(jù)審計結(jié)果調(diào)整其他相關(guān)審計的范圍、時間及性質(zhì)。數(shù)據(jù)審計人員應(yīng)當以風險導(dǎo)向為基礎(chǔ)開展審計，風險評估應(yīng)當貫穿于審計的全過程。4.8審計工作的執(zhí)行組織的審計工作執(zhí)行要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。4.9審計方式審計方式是指利用計算機輔助審計技術(shù)、大數(shù)據(jù)技術(shù)、人工智能技術(shù)等手段開展的審計，包括現(xiàn)場審計和遠程審計。5數(shù)據(jù)審計組織管理數(shù)據(jù)審計組織管理通用要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》,同時還a)為數(shù)據(jù)審計開展創(chuàng)造必要的環(huán)境；b)明確審計機構(gòu)的職責和權(quán)力；c)在審計章程中明確數(shù)據(jù)審計的相關(guān)要求；d)制定數(shù)據(jù)審計相關(guān)制度、流程及操作規(guī)程等；e)建立數(shù)據(jù)審計系統(tǒng)；f)制定數(shù)據(jù)審計戰(zhàn)略規(guī)劃。6數(shù)據(jù)審計人員4計人員應(yīng)具備數(shù)據(jù)審計資質(zhì)。數(shù)據(jù)審計與IT審計具有一定的關(guān)聯(lián)關(guān)系。組織的IT審計人員要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》,組織的數(shù)據(jù)審計人員要求包括但不限于：a)職業(yè)道德，包括誠實、守信、正確履行職責及保守保密等；b)知識、技能、資質(zhì)和經(jīng)驗，包括掌握與審計、業(yè)務(wù)、IT、數(shù)據(jù)治理與管理、數(shù)據(jù)審計等方面的c)專業(yè)勝任能力，包括具備相應(yīng)的數(shù)據(jù)審計專業(yè)勝任能力、擁有與所處管理或業(yè)務(wù)崗位相適應(yīng)的7.1總則是組織常規(guī)審計內(nèi)容的一部分。組織宜依據(jù)GB/T34960.5《信息技術(shù)服務(wù)治理第5部分：數(shù)據(jù)治理規(guī)a)組織遵循的數(shù)據(jù)治理原則；b)數(shù)據(jù)治理戰(zhàn)略、IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致性；c)決策層的數(shù)據(jù)風險偏好及風險容忍度；d)數(shù)據(jù)治理與管理的職責分工和制衡機制；e)數(shù)據(jù)治理內(nèi)部控制的監(jiān)督機制；f)數(shù)據(jù)治理內(nèi)部控制機構(gòu)的設(shè)置、職責與權(quán)限；g)內(nèi)部審計機構(gòu)設(shè)置、人員配備和工作獨立性；i)決策層對組織數(shù)據(jù)風險概況及如何應(yīng)對的了解程度。a)數(shù)據(jù)治理風險管理目標和策略；b)數(shù)據(jù)治理風險管理原則；c)數(shù)據(jù)治理風險組織管理，包括組織架構(gòu)、責任人、角色、職責和權(quán)限等；f)數(shù)據(jù)風險識別、風險分析、風險評價及風險處置的執(zhí)行情況；h)數(shù)據(jù)資產(chǎn)所有者的職責。57.2.3控制活動a)數(shù)據(jù)治理控制政策與流程；c)數(shù)據(jù)治理預(yù)算控制；e)數(shù)據(jù)治理資產(chǎn)保護；g)數(shù)據(jù)治理不相容職責分離。a)戰(zhàn)略規(guī)劃控制措施的合理性、有效性；b)組織構(gòu)建控制措施的合理性、有效性；c)架構(gòu)設(shè)計控制措施的合理性、有效性。7.2.3.3數(shù)據(jù)治理域a)數(shù)據(jù)管理體系建設(shè)控制措施的合理性、有效性；b)數(shù)據(jù)價值體系建設(shè)控制措施的合理性、有效性。b)構(gòu)建和運行控制措施的合理性、有效性；c)監(jiān)控和評價控制措施的合理性、有效性；d)改進和優(yōu)化控制措施的合理性、有效性。7.2.4信息與溝通a)與數(shù)據(jù)治理相關(guān)的信息系統(tǒng)架構(gòu)，以及對決策與業(yè)務(wù)的支持度；b)決策層有關(guān)數(shù)據(jù)治理的信息溝通模式；c)數(shù)據(jù)治理戰(zhàn)略、政策及制度等方面的傳達與溝通的連續(xù)性、完整性及有效性；d)組織對數(shù)據(jù)治理風險內(nèi)部控制所需要信息的明確；e)組織與外部的信息溝通模式及方案。6b)數(shù)據(jù)治理監(jiān)控管理報告系統(tǒng)、監(jiān)控反饋、跟蹤處理程序；c)數(shù)據(jù)治理內(nèi)部控制的自我評估機制；d)已按規(guī)定要求開展數(shù)據(jù)治理審計工作；e)組織對數(shù)據(jù)治理風險控制的監(jiān)督、自我評估及整改情況。a)數(shù)據(jù)治理控制政策與流程；f)不相容職責分離。7.3.2采購管理組織的數(shù)據(jù)治理一般控制采購管理審計要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審7.3.3項目整體管理組織的數(shù)據(jù)治理一般控制項目整體管理審計要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：7.3.4數(shù)據(jù)治理信息系統(tǒng)開發(fā)管理a)組織模式；c)過程管理。a)配置管理；b)構(gòu)建與持續(xù)集成；d)配置與發(fā)布管理。b)物理環(huán)境；7h)備份與恢復(fù)管理；i)應(yīng)急及災(zāi)備管理；j)安全管理。7.3.7其他相關(guān)控制數(shù)據(jù)治理一般控制中的其他相關(guān)控制審計要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。7.4數(shù)據(jù)治理應(yīng)用控制審計7.4.1通用要求審計數(shù)據(jù)治理應(yīng)用控制的通用要求時，審計范圍包括但不限于：a)應(yīng)用控制政策與流程；b)應(yīng)用授權(quán)與審批控制；c)信息記錄與報告；d)資產(chǎn)保護；e)績效考核；f)不相容職責分離。7.4.2數(shù)據(jù)治理信息系統(tǒng)應(yīng)用組織管理審計數(shù)據(jù)治理信息系統(tǒng)的組織管理時，審計范圍包括但不限于：a)組織結(jié)構(gòu)，包括組織架構(gòu)設(shè)置、部門及崗位職責等；b)用戶管理，包括用戶賬號及權(quán)限等；c)參數(shù)管理，包括參數(shù)設(shè)置的范圍與依據(jù)、參數(shù)調(diào)整的授權(quán)與審批及參數(shù)調(diào)整的日志記錄等；d)操作管理，包括操作環(huán)境、功能使用、操作要求等；e)網(wǎng)絡(luò)與信息安全管理，包括網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用環(huán)境安全、操作安全、介質(zhì)與文檔安全、數(shù)據(jù)脫敏等；f)事件管理，包括事件記錄、上報、處理、跟蹤與監(jiān)控等；g)問題管理，包括問題的確定、記錄、分類、處理、解決及跟蹤等；h)文檔與數(shù)據(jù)管理，包括文檔與數(shù)據(jù)介質(zhì)的生成、分類、歸檔、保存、調(diào)用及銷毀等；i)績效考核與獎懲，包括績效考核指標、評價方法、評價結(jié)果及獎懲措施等。7.4.3數(shù)據(jù)治理信息系統(tǒng)數(shù)據(jù)流程設(shè)計審計數(shù)據(jù)治理信息系統(tǒng)數(shù)據(jù)流程控制時，審計范圍包括但不限于：a)數(shù)據(jù)流程設(shè)計的完備性；b)數(shù)據(jù)流程處理的正確性和控制的有效性；c)數(shù)據(jù)治理信息系統(tǒng)功能的合理性。7.4.4數(shù)據(jù)采集、處理及輸出審計數(shù)據(jù)采集、處理及輸出時，審計范圍包括但不限于：a)數(shù)據(jù)采集控制，包括數(shù)據(jù)導(dǎo)入、修改、刪除、校驗、備份的恢復(fù)、權(quán)限控制及錯誤處理機制等；b)數(shù)據(jù)處理控制，包括數(shù)據(jù)清洗、數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)整理、數(shù)據(jù)計算、數(shù)據(jù)匯總控制及錯誤處理機c)數(shù)據(jù)輸出控制，包括輸出外設(shè)、輸出范圍和內(nèi)容、輸出信息分發(fā)、保存和訪問、備份、權(quán)限控制及錯誤處理機制等。87.4.5系統(tǒng)接口與信息共享7.4.5.1系統(tǒng)接口審計系統(tǒng)接口時，審計范圍包括但不限于：a)系統(tǒng)接口標準；b)接口/轉(zhuǎn)換控制，包括數(shù)據(jù)采集、校驗、轉(zhuǎn)換、傳輸、權(quán)限控制及錯誤處理機制等。7.4.5.2信息共享審計信息共享時，審計范圍包括但不限于：a)共享信息分類；b)共享信息的控制。7.4.6數(shù)據(jù)質(zhì)量審計數(shù)據(jù)質(zhì)量時，審計范圍包括但不限于：a)數(shù)據(jù)質(zhì)量管理，包括數(shù)據(jù)質(zhì)量管理的組織、制度、流程及控制執(zhí)行等；b)數(shù)據(jù)質(zhì)量，包括完整性、準確性、有效性、合法性、一致性等。8數(shù)據(jù)特定領(lǐng)域?qū)ｍ棇徲嫈?shù)據(jù)特定領(lǐng)域?qū)ｍ棇徲嬍墙M織根據(jù)外部要求及內(nèi)部特殊需要而進行的審計。數(shù)據(jù)特定領(lǐng)域?qū)ｍ棇徲嬍墙M織常規(guī)審計內(nèi)容的一部分。數(shù)據(jù)特定領(lǐng)域?qū)ｍ棇徲嫲?但不限于)數(shù)據(jù)庫管理專項審計、外部數(shù)據(jù)管理專項審計、業(yè)務(wù)數(shù)據(jù)管理專項審計、數(shù)據(jù)生存周期管理專項審計、數(shù)據(jù)應(yīng)用管理專項審計、數(shù)據(jù)安全管理專項審計、云數(shù)據(jù)管理專項審計、數(shù)據(jù)合規(guī)管理專項審計、數(shù)據(jù)治理績效專項審計、數(shù)據(jù)質(zhì)量管理專項審計及數(shù)據(jù)資產(chǎn)管理專項審計等。8.2數(shù)據(jù)庫管理專項審計數(shù)據(jù)庫管理專項審計是指針對存儲數(shù)據(jù)的數(shù)據(jù)庫管理開展專項審計，審計范圍包括但不限于：a)數(shù)據(jù)庫管理目標、方針和策略；b)數(shù)據(jù)庫組織管理，包括組織架構(gòu)、責任人、角色、職責和權(quán)限等；c)數(shù)據(jù)庫管理制度和流程；d)業(yè)務(wù)需求說明書；e)數(shù)據(jù)庫架構(gòu)設(shè)計方案；f)數(shù)據(jù)結(jié)構(gòu)的規(guī)范性、合理性；g)數(shù)據(jù)標準；h)數(shù)據(jù)庫管理風險評估與審計機制的建立。8.3外部數(shù)據(jù)管理專項審計外部數(shù)據(jù)管理專項審計是指針對從組織外部獲取數(shù)據(jù)的管理開展專項審計，審計范圍包括但不限于：a)外部數(shù)據(jù)管理目標、方針和策略；b)外部數(shù)據(jù)組織管理，包括組織架構(gòu)、責任人、角色、職責和權(quán)限等；c)外部數(shù)據(jù)管理制度和流程；d)外部數(shù)據(jù)來源的合理性、合規(guī)性；9e)外部數(shù)據(jù)安全的分級分類和保護機制；g)外部數(shù)據(jù)生存周期管理，包括數(shù)據(jù)獲取、處理、使用、存儲、傳輸及銷毀等；8.4業(yè)務(wù)數(shù)據(jù)管理專項審計a)業(yè)務(wù)數(shù)據(jù)管理目標、方針和策略；b)業(yè)務(wù)數(shù)據(jù)組織管理，包括組織架構(gòu)、責任人、角色、職責和權(quán)限等；c)業(yè)務(wù)數(shù)據(jù)管理制度和流程；d)業(yè)務(wù)數(shù)據(jù)安全的分級分類和保護機制；e)業(yè)務(wù)數(shù)據(jù)獲取方式和來源的可靠性；f)業(yè)務(wù)數(shù)據(jù)敏感信息的保護機制；g)業(yè)務(wù)數(shù)據(jù)標準與模型；h)數(shù)據(jù)的合規(guī)與隱私保護；i)業(yè)務(wù)數(shù)據(jù)質(zhì)量，包括完整性、準確性、有效性、合法性、一致性等；j)業(yè)務(wù)數(shù)據(jù)生存周期，包括數(shù)據(jù)獲取、處理、使用、存儲、傳輸及銷毀等；k)業(yè)務(wù)數(shù)據(jù)應(yīng)用領(lǐng)域的規(guī)范性、合理性；1)業(yè)務(wù)數(shù)據(jù)風險評估與審計機制的建立。8.5數(shù)據(jù)生存周期管理專項審計a)數(shù)據(jù)生存周期管理目標、方針和策略；b)數(shù)據(jù)生存周期組織管理，包括組織架構(gòu)、責任人、角色、職責和權(quán)限等；c)數(shù)據(jù)生存周期管理制度，包括數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全、數(shù)據(jù)模型、數(shù)據(jù)標準及元數(shù)據(jù)等；d)數(shù)據(jù)生存周期管理流程，包括數(shù)據(jù)獲取、處理、使用、存儲、傳輸及銷毀等；e)數(shù)據(jù)生存周期管理風險評估與審計機制的建立。a)數(shù)據(jù)應(yīng)用管理目標、方針和策略；b)數(shù)據(jù)應(yīng)用組織管理，包括組織架構(gòu)、責任人、角色、職責和權(quán)限等；c)數(shù)據(jù)應(yīng)用管理制度和流程；d)數(shù)據(jù)應(yīng)用安全的分級分類和保護機制；e)數(shù)據(jù)的合規(guī)與隱私保護；f)數(shù)據(jù)應(yīng)用相關(guān)標準與模型；h)數(shù)據(jù)應(yīng)用個人信息的保護機制；j)數(shù)據(jù)應(yīng)用生存周期管理，包括數(shù)據(jù)獲取、處理、使用、存儲、傳輸及銷毀等；1)數(shù)據(jù)應(yīng)用風險評估與審計機制的建立。8.7數(shù)據(jù)安全管理專項審計數(shù)據(jù)安全管理專項審計是指針對數(shù)據(jù)安全的管理開展專項審計，審計范圍包括但不限于：a)數(shù)據(jù)安全管理目標、方針和策略；b)數(shù)據(jù)安全組織管理，包括組織架構(gòu)、責任人、角色、職責和權(quán)限等；c)數(shù)據(jù)安全管理制度、流程；d)數(shù)據(jù)的分級分類和保護機制；e)數(shù)據(jù)標準與數(shù)據(jù)模型；f)數(shù)據(jù)安全事件管理；g)人力資源安全；h)安全教育和培訓(xùn)；i)物理安全；j)系統(tǒng)開發(fā)安全；k)網(wǎng)絡(luò)安全；m)操作系統(tǒng)安全；n)應(yīng)用系統(tǒng)安全；o)數(shù)據(jù)生存周期的安全，包括數(shù)據(jù)的獲取、處理、使用、存儲、傳輸及銷毀安全等；p)數(shù)據(jù)供方安全管理；q)數(shù)據(jù)安全風險評估與審計機制。8.8云數(shù)據(jù)管理專項審計云數(shù)據(jù)管理專項審計是指針對云端數(shù)據(jù)的管理開展專項審計，審計范圍包括但不限于：a)云數(shù)據(jù)管理目標、方針和策略；b)云數(shù)據(jù)組織管理，包括組織架構(gòu)、責任人、角色、職責和權(quán)限等；c)云數(shù)據(jù)管理制度和流程；d)云數(shù)據(jù)標準與云數(shù)據(jù)模型；e)云數(shù)據(jù)的分級分類和保護機制；f)云數(shù)據(jù)的合規(guī)與隱私保護；g)云數(shù)據(jù)質(zhì)量，包括數(shù)據(jù)完整性、準確性、有效性、合法性、一致性等；h)云數(shù)據(jù)生存周期，包括數(shù)據(jù)的獲取、處理、使用、存儲、傳輸及銷毀等；i)云數(shù)據(jù)的安全管理；j)云數(shù)據(jù)應(yīng)用領(lǐng)域的規(guī)范性、合理性；k)云數(shù)據(jù)風險評估與審計機制的建立。8.9數(shù)據(jù)合規(guī)管理專項審計數(shù)據(jù)合規(guī)管理專項審計是指針對數(shù)據(jù)合規(guī)的管理開展專項審計，審計范圍包括但不限于：a)數(shù)據(jù)合規(guī)納入組織合規(guī)管理的情況；b)數(shù)據(jù)合規(guī)性管理目標、方針和策略；c)數(shù)據(jù)合規(guī)組織管理，包括組織架構(gòu)、責任人、角色、職責和權(quán)限等；d)數(shù)據(jù)合規(guī)管理制度與流程；e)數(shù)據(jù)標準與數(shù)據(jù)模型的合規(guī)；f)數(shù)據(jù)邊界相關(guān)的合規(guī)性；h)數(shù)據(jù)合規(guī)風險評估與審計機制的建立。a)數(shù)據(jù)治理績效管理目標、方針和策略；b)數(shù)據(jù)治理績效組織管理，包括組織架構(gòu)、責任人、角色、職責和權(quán)限等；c)數(shù)據(jù)治理績效管理制度與流程；e)數(shù)據(jù)治理績效考核步驟；h)數(shù)據(jù)治理風險評估與審計機制的建立。數(shù)據(jù)質(zhì)量管理專項審計是指針對數(shù)據(jù)質(zhì)量的管理開展專項審計，審計范圍包a)數(shù)據(jù)質(zhì)量管理目標、方針和策略；b)數(shù)據(jù)質(zhì)量組織管理，包括組織架構(gòu)、責任人、角色、職責和權(quán)限等；c)數(shù)據(jù)質(zhì)量管理制度與流程；d)數(shù)據(jù)質(zhì)量管理的資源保障；e)數(shù)據(jù)生存周期的安全性、可靠性和有效性；h)數(shù)據(jù)質(zhì)量管理風險評估與審計機制的建立。8.12數(shù)據(jù)資產(chǎn)管理專項審計a)數(shù)據(jù)資產(chǎn)管理目標、方針和策略；c)數(shù)據(jù)資產(chǎn)組織管理，包括組織架構(gòu)、責任人、角色、職責和權(quán)限等；e)數(shù)據(jù)資產(chǎn)管理過程；g)數(shù)據(jù)資產(chǎn)安全；h)數(shù)據(jù)資產(chǎn)管理內(nèi)外部環(huán)境及技術(shù)資源保障等；i)數(shù)據(jù)資產(chǎn)管理風險評估與審計機制的建立。9數(shù)據(jù)審計流程數(shù)據(jù)審計流程要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。數(shù)據(jù)審計系統(tǒng)屬于GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》中審計平臺的一部a)數(shù)據(jù)審計系統(tǒng)規(guī)模應(yīng)與組織業(yè)務(wù)復(fù)雜程度、信息技術(shù)依賴程度等相匹配；b)數(shù)據(jù)審計系統(tǒng)組織管理，包括組織架構(gòu)、責任人、角色、職c)數(shù)據(jù)審計系統(tǒng)管理制度與流程；d)數(shù)據(jù)審計系統(tǒng)建設(shè)，包括建設(shè)方式、立項、需求、設(shè)計、開發(fā)、測試、驗收及上線等管理；f)數(shù)據(jù)審計系統(tǒng)運行，包括基礎(chǔ)設(shè)施管理、網(wǎng)絡(luò)與信息安全管理、事件管理及問題管理等。數(shù)據(jù)審計報告要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計導(dǎo)則》。[1]GB/T19001-2016質(zhì)量管理體系[2]GB/T26317-2010公司治理風險管理指南[3]GB/T29264-2012信息技術(shù)服務(wù)分類與代碼[4]GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求[5]GB/T20984-2007信息安全技術(shù)信息安全風險評估規(guī)范[6]GB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求[7]GB/T22081-2016信息技術(shù)安全技術(shù)信息安全控制實踐指南[8]GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求[9]GB/T20984-2007信息安全技術(shù)信息安全風險評估規(guī)范[10]GB/T20918-2007信息技術(shù)軟件生存周期過程風險管理[11]GB/T24353-2009風險管理原則與實施指南[14]GB/T31509-2015信息安全技術(shù)信息安全風險評估實施指南[15]GB/T33132-2016信息安全技術(shù)信息安全風險處理實施指南[16]GB/T34960.1-2017信息技術(shù)服務(wù)治理第1部分：通用要求[17]GB/T34960.2-2017信息技術(shù)服務(wù)治理第2部分：實施指