数据安全审计伴随互联网、云计算、移动互联网等新技术的迅猛发展,无处不在的移动设备、无线传感器等设备以及数以亿计的互联网用户和企业产生的消费数据及经营数据使得各类信息呈现爆炸式增长。同时,数据的高度集中,共享开放和交叉使用以及数据流动的趋势也在不断加剧。组织由于数据管理、安全隔离、访问控制及数据加密等措施不充分而面临的网络入侵和信息泄露风险越来越大。一旦数据的机密性、完善性和可用性受到损害,将不能支撑组织业务的健康运行;随着网络安全法的实施,国家对重要业务数据和个人敏感信息保护的力度也在加强,数据安全的违规成本已越来越高。因此,数据安全是数字经济时代生产力要素的必要属性,持续性开展数据安全审计已成为信息系统审计的重要内容。本节所涉及的数据包括了日常数据和大数据(按结构化程度和数据规模)、个人信息和重要数据(按数据对象类型)的相关内容。本节将从数据安全治理、数据安全管理、数据生命周期安全管理、个人信息安全管理、重要数据安全管理、数据平台与技术安全管理等方面对数据安全的审计方法和步骤进行描述。一、数据安全治理审计(一)业务概述数据是指对客观事件进行记录并可以鉴别的符号,是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合。数据安全风险涉及面较广,既体现在组织在治理层面的治理风险,还体现在数据在其生命周期和服务过程中的管理风险,以及伴随的个人信息和重要数据等敏感信息泄露和跨境流通风险。(二)审计目标和内容1. 董事会的职责该控制项旨在从组织的治理层面,检查组织是否将数据的安全治理工作纳入组织治理工作范畴,建立健全包括风险管理和数据安全审计监督在内的架构体系,从而完善数据的安全合规管理。2. 战略规划与价值实现该控制项旨在检查组织是否依据董事会所明确的数据安全治理目标制定相关的安全战略。3. 数据安全合规管理该控制项旨在检查组织是否基于数据安全战略规划,建立健全数据安全管理制度体系,满足合规监管要求。4. 数据风险管理该控制项旨在检查组织是否从数据、人员、产品与服务等方面,建立并完善数据安全风险管理体系,并将其纳入组织风险管理体系当中。5. 数据安全审计监督该控制项旨在检查组织是否将数据的安全审计工作纳入到组织的安全审计体系范畴内,建立并完善针对数据安全审计的专项工作。(三)常见问题和风险1. 未建立数据安全治理组织架构及职责,无法自上而下推动相关数据安全治理...
