数据安全审计—第3205号内部审计实务指南第五章第5节
2021-01-25
伴随互联网、云计算、移动互联网等新技术的迅猛发展,无处不在的移动设备、无线传感器等设备以及数以亿计的互联网用户和企业产生的消费数据及经营数据使得各类信息呈现爆炸式增长。同时,数据的高度集中,共享开放和交叉使用以及数据流动的趋势也在不断加剧。组织由于数据管理、安全隔离、访问控制及数据加密等措施不充分而面临的网络入侵和信息泄露风险越来越大。
一旦数据的机密性、完善性和可用性受到损害,将不能支撑组织业务的健康运行;随着网络安全法的实施,国家对重要业务数据和个人敏感信息保护的力度也在加强,数据安全的违规成本已越来越高。因此,数据安全是数字经济时代生产力要素的必要属性,持续性开展数据安全审计已成为信息系统审计的重要内容。
一、数据安全治理审计
(一)业务概述
数据是指对客观事件进行记录并可以鉴别的符号,是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合。
数据安全风险涉及面较广,既体现在组织在治理层面的治理风险,还体现在数据在其生命周期和服务过程中的管理风险,以及伴随的个人信息和重要数据等敏感信息泄露和跨境流通风险。
(二)审计目标和内容
1、董事会的职责
该控制项旨在从组织的治理层面,检查组织是否将数据的安全治理工作纳入组织治理工作范畴,建立健全包括风险管理和数据安全审计监督在内的架构体系,从而完善数据的安全合规管理。
2、战略规划与价值实现
3、数据安全合规管理
该控制项旨在检查组织是否基于数据安全战略规划,建立健全数据安全管理制度体系,满足合规监管要求。
4、数据风险管理
该控制项旨在检查组织是否从数据、人员、产品与服务等方面,建立并完善数据安全风险管理体系,并将其纳入组织风险管理体系当中。
5、数据安全审计监督
该控制项旨在检查组织是否将数据的安全审计工作纳入到组织的安全审计体系范畴内,建立并完善针对数据安全审计的专项工作。
(三)常见问题和风险
4、数据安全风险评估执行不到位,未识别出重要的数据安全风险,不利于数据安全治理体系的持续优化。
(四)审计的主要方法和程序
(1)检查组织董事会和执行管理部门职责,是否将数据安全治理工作纳入到组织综合治理工作范畴当中,明确数据安全治理职责并对其安全治理予以承诺和支持,从战略、组织、架构和实施等多个环节提供保障。
(2)查阅组织数据治理的规章制度,明确数据安全治理需要达到的目标和定位,判断其治理目标是否与组织战略、业务战略、业务目标、业务需求相一致。
(3)检查组织是否建立跨部门的数据安全管理委员会和风险管理委员会,明确安全治理的角色和责任。
(4)检查组织是否建立基于满足业务战略的数据架构,并进行持续的评估、监督和改进。
(5)访谈组织信息科技治理负责人,了解组织是否已经或即将部署云服务平台,以及是否将基于云平台中的数据安全治理列入主要治理目标和任务当中。
(1)访谈战略规划负责人或查阅组织经营战略规划,判断数据战略规划是否满足经营战略需要。(经营战略一致性)
(3)访谈信息系统战略规划负责人,了解组织信息化及信息安全战略规划要求,判断数据安全战略是否与信息系统安全战略和需求相一致。(信息系统安全战略一致性)
(4)查阅数据安全战略规划,判断其从内容上是否体现组织对于个人信息(隐私)保护和重要数据保护治理方面的要求。
4、数据风险管理访谈组织风险管理负责人,询问组织是否将数据风险管理纳入组织风险管理体系当中,重点突出数据、人员、产品/服务三个方面,并建立数据安全内控体系;数据方面,以数据生命周期为出发点,识别全周期面临的威胁和自身脆弱性,分析数据服务安全风险和应对措施需求;人员方面,基于数据安全管理需要,基于员工日常数据操作行为,识别风险并建立风险量化机制和信息安全评价指标体系;产品/服务方面,以对个人信息和重要数据保护为目的,构建产品/服务提供商在组织、规范、设计、流程、监控等一系列的安全风险评价体系和控制机制。
(1)访谈组织审计负责人,询问组织是否将数据安全管理审计纳入到组织安全审计管理体系内。
(2)访谈组织审计负责人或信息安全审计负责人,了解组织是否建立负责数据安全监督与审计管理的职能机构及制度与规范,了解组织对数据服务及其用户操作行为审计的方法和内容。
二、数据安全管理审计
数据安全管理是指保护数据免受威胁的影响,确保业务的连续性,降低业务可能面临的风险,为业务部门提供有力保障。
1、数据安全组织管理
该控制项旨在检查组织为落实数据安全治理工作及其战略规划,是否从组织层面设置跨部门的数据安全管理机构及负责人,明确安全管理职责。
2、人员与意识管理
该控制项旨在基于组织对数据安全管理的要求和需求,从人员安全管理、资源建设与技能培养、职责落实与考核等三方面进行检查,判断人员综合管理的落实情况。
3、制度与规范管理
该控制项旨在从制度层面检查组织是否制定并完善数据安全管理的制度体系及其落实情况。
4、元数据安全管理
该控制项旨在从元数据的安全管理角度,检查组织是否建立完善的元数据安全管理规范,并从技术层面予以安全保障。
5、数据及平台(系统)管理
该控制项旨在从数据平台(系统)管理角度,检查组织是否对平台(系统)及其管理之下的数据制定相应的安全规范与标准,实现统一管理,并与组织经营战略中的安全需求相一致。
6、服务接口安全管理
该控制项旨在从服务接口角度,检查组织是否完善接口安全管理的制度和规范,并用技术手段保障接口间数据传输的安全性。
7、数据供应链安全管理
8、数据安全审计管理
该控制项旨在从审计角度,检查组织是否落实数据安全审计与监督的要求,对组织的数据服务开展安全审计,同时确保国家对于日志管理的安全合规要求。
1、数据安全组织架构及责任人缺失,导致数据安全管控要求无法落实。
2、未定期开展数据安全意识宣贯,由于安全意识不足,导致数据不经意的泄露。
3、元数据安全管控不到位,导致元数据血缘关系模糊、可追溯性不强,影响元数据与数据标准的结合。
4、未部署数据管控平台,无法对数据标准、数据质量、元数据进行规范化管控和技术实现。
5、数据服务接口与应用在其内部跨安全域间的接口调用未采用包括安全通道、加密传输等安全机制可能带来的风险。
6、未建立数据供应链安全管理方针,无法落实上下游供应链间数据交换和使用的要求,不利于供应商之间的数据交换与共享。
2、人员安全管理
(3)访谈人力资源管理负责人,是否就数据安全管理的关键岗位做好人力资源培养和储备工作。
(4)访谈人力资源管理负责人,是否在组织内部针对所有接触个人信息和重要数据等敏感信息的全职员工签署保密协议,知晓组织对于数据安全管理的规范制度与操作须知,并抽检保密协议和制度知晓的记录。
(6)检查组织是否建立数据安全教育培训机制,分别针对数据操作人、数据安全管理人员和第三方人员制定培训计划,并定期对全员,特别是关键岗位人员进行能力检查和考核,考核应纳入到个人与组织的绩效考核体系当中,查阅教育培训与考核的历史记录。
(1)调阅并检查组织是否制定包括数据服务在内的数据安全管理制度和规范、数据分类分级规范和标准、数据安全人员能力要求及向第三方提供或共享数据时的安全管理制度和标准,其中,制度在范围上应覆盖数据全生命周期。
(2)检查制度和标准是否得到定期评审和更新,并分发至机构数据服务部门和操作人员,抽样访谈数据操作和管理人员,了解其对制度规范的知晓情况并查阅制度规范的更新记录。
(2)检查元数据的安全管理制度和规范是否包括:依据资产分类分级策略所建立的元数据安全属性的自动/手工分级机制;可依据元数据安全属性建立标记的策略及标记定义和管理机制。
(3)检查组织是否从技术手段上实现:对表字段、表与上下游表的血缘关系查询进行安全设置和查询限制。可对表访问操作权限进行限制。
(4)检查组织是否建立针对元数据操作的审计制度,并确保对元数据的操作具有可追溯性。
(1)检查组织是否建立数据资产安全管理规范和数据资产分类、分级方法、标准、操作指南、数据资产分类分级变更审批流程,并对其进行定期审核和更新。
(3)检查组织是否在技术上建立综合的数据管理平台或系统,实现对数据资产的统一管理,包括:是否制定数据系统平台资产安全管理规范,并明确安全管理的目标和原则;数据系统平台的规划和建设应与组织经营战略和平台(系统)全生命周期的安全需求相一致。可依据数据资产和数据主体安全分级要求建立相应的标记策略、访问控制、数据加解密、数据脱敏等安全机制和管控措施。
(1)检查组织是否制定与数据服务接口安全管理有关的控制策略和安全规范。
(2)检查组织的数据平台与应用在其内部跨安全域间的接口调用是否采用包括安全通道、加密传输等安全机制。
(2)查阅组织与上下游数据供应链服务商签署的合作协议,检查协议是否:明确数据供应链上下游责任和义务,并检查是否采用安全技术保障措施确保数据供应链上下游对数据交换、使用的安全、可靠与合规;明确数据供应链中数据的使用目的、供应方式、保密约定等内容。
(1)访谈组织负责数据审计的负责人,询问组织是否明确对于数据安全审计的要求、审计范围、审计方式。
三、数据生命周期安全管理审计
数据生命周期管理是指在数据采集、传输、存储、处理、交换(共享、应用)、销毁等阶段下对流动的数据进行综合管理。
1、数据收集该
控制项旨在针对数据收集过程,检查组织是否依据收集数据的敏感性对其进行数据标识,从而基于该标识进行后续数据操作处理的监控。
2、数据传输
该控制项旨在针对数据传输过程,检查组织是否根据传输过程的安全性划分安全域,并根据安全域的级别采取相应的安全控制措施,防范数据遭受窃听或泄露,确保数据的完整性。
3、数据存储与恢复
该控制项旨在针对数据存储,检查组织是否对所存储的数据采取安全措施,确保其安全性和完整性,同时,根据组织对于数据可用性的要求,检查组织是否采取备份措施。
4、数据处理与加工
该控制项旨在针对处理和加工过程,检查组织是否对可接触到数据的人员基于角色采取身份验证和访问控制,并对该过程采取加密和脱敏处置措施,防范数据非法访问或敏感信息遭到泄露。
5、数据使用与安全审计
该控制项旨在针对数据使用过程,检查组织是否采取身份验证和访问控制措施,防止人员对于数据的非法访问,并采取加密和脱敏等技术手段,防止在使用环节造成信息泄露并对使用环节进行安全审计。
6、数据共享与流动
该控制项旨在针对组织存在数据共享与流动,特别是跨境流动时,是否制定相应的规范制度和审批流程,满足国家合规监管要求。
7、数据归档与销毁
该控制项旨在检查组织是否针对数据归档与销毁过程,并基于数据敏感程度制定完善的管理制度与规范流程,防范在该过程中出现数据泄露。
1、在数据生命周期管理期间,由于在人员、管理、技术三个层面没有建立适用的数据安全管理体系,使得数据安全管理的效率与效果低下。
2、未实现数据分类分级管理或分级方法不合理,导致未按照不同类别建立不同的安全控制措施,导致保护过重或保护不当。
3、数据在收集、传输、存储和恢复、处理和加工、使用与审计、归档与销毁等过程中,由于缺乏有效的数据加密和访问控制,容易导致数据泄露风险。
4、数据在共享与流动,特别是跨边界和跨境流动时,由于未制定相应的安全规范制度和审批流程,容易产生违规风险。
5、数据销毁机制不健全或执行不严格,导致销毁过程中敏感数据的泄露。
1、数据收集
(1)检查组织是否根据数据分级分类管理制度中定义的数据类型、安全等级对所收集的数据进行标识,特别是敏感数据,并根据数据标识和合规要求进行后续传输、存储等流程的跟踪和监控。
(2)对收集的数据进行抽查,检查是否对已收集的数据进行标记。
(1)访谈网络安全管理员,询问组织是否在数据传输过程中进行安全域的划分。
(2)访谈网络安全管理员,询问数据在跨域传输,特别是在非安全域传输时是否采用安全加密机制确保传输链路的安全可靠和对数据进行安全加密,查阅组织网络拓扑图并进行实质性查验。
(3)通过执行渗透,获取传输数据包,查验数据包的完整性和保密性措施是否有效。
(1)访谈数据安全管理员,询问组织为确保静态数据的安全性和完整性所采取的安全措施、加密手段与方式、完整性校验手段与方式有哪些。
(2)访谈组织核心业务部门负责人对于数据可用性的要求,并查阅组织业务连续性计划,了解组织业务对关键数据的可用性指标。
(3)访谈数据安全管理员,询问组织为确保静态数据的可用性,所采取的存储架构、技术手段和工具有哪些,以及是否部署实现集群异地灾备,判断数据存储和恢复是否满足业务需求。
(4)查阅数据完整性测试报告和异地数据恢复的测试报告。
(1)访谈数据安全管理员,询问在对数据进行操作处理过程中是否采用安全的身份验证和加密措施,确保数据交换和处理过程中的安全、可靠。
(2)访谈数据安全管理员,询问在对数据进行操作处理过程中涉及敏感信息时,是否对其脱敏处理。
(1)访谈数据安全管理员或系统管理员,询问在进行数据展示时,是否对敏感数据进行不可逆加密、区间随机、掩码替换等脱敏手段。
(2)访谈系统管理员,询问是否基于数据安全管理员或系统管理员,基于角色和“按需所知”原则做到对数据表列级的访问和操作权限控制。
(3)访谈数据安全管理员或系统管理员,询问用户在对数据进行操作和管理的过程中,是否基于制定的访问权限,建立统一的身份识别和权限管理系统,实现对各类业务系统、数据库等账号实现统一管理,并对数据的访问和使用进行安全审计。
(1)访谈数据应用或管理部门的负责人,询问组织是否基于业务战略和信息安全战略制定数据共享和流动的安全评估和处理流程、审批制度、安全策略等规范制度,调阅制度并检查其内容是否符合对于数据共享与跨境传输的合规要求。
(2)访谈组织目前本地和网络分布式存储数据的销毁方式与技术手段,并查阅历史销毁记录。
四、个人信息安全管理审计
1、通用管理该控制项旨在检查组织是否针对个人信息,建立健全个人信息保护的管理体系和风险管理体系,并提供个人信息泄露或非法使用的申诉管理机制和举报渠道。
2、个人信息的收集
该控制项旨在检查组织在个人信息收集环节,是否制定完善的安全策略和规范,满足《网络安全法》中关于个人信息保护的合规要求。
3、个人信息的传输与存储
该控制项旨在检查组织在个人信息传输与存储环节,是否采取管理与技术手段,确保个人信息境内存储和离境前安全与风险评估的合规要求,以及个人敏感信息不被泄露。
4、个人信息的处理
该控制项旨在检查组织在个人信息处理环节,是否采取技术手段防范个人信息主体被识别和还原。
5、个人信息的使用
该控制项旨在检查组织是否在个人信息使用环节,采取访问控制措施防范对其非法访问,并在个人信息控制权发生转移时对接收方进行安全评估,并获得其安全使用的承诺。
6、个人信息的变更与销毁
该控制项旨在检查组织在个人信息变更和销毁环节,是否为个人信息主体提供合法变更的渠道,或在完成所收集个人信息使用目的后,规范个人信息的删除流程和途径。
2、未建立规范化的个人信息保护制度和流程,可能造成个人信息的收集、存储、使用、变更、销毁等操作不合法的情况。
3、组织在使用个人信息时,没有开展安全影响评估,无法判断个人信息使用与保护的程度,容易造成侵权与违规风险。
4、在收集个人信息时,没有注意最小化要求,或者在没有得到允许的情况下公开披露个人信息,容易造成侵权与违规风险。
5、组织在处理个人敏感信息时,个人信息的传输、处理、存储、销毁未采用加密、访问控制等安全措施,容易造成泄露个人敏感信息的风险。
1、通用管理
(2)访谈组织数据管理部门,了解组织是否制定关于个人信息和个人隐私保护的管理规范,其明确定义个人敏感信息的识别范围、类别,以及对个人信息进行匿名化处理的条件和定期评审更新机制。
(3)访谈组织数据管理部门或风险管理部门,询问是否建立针对个人信息安全影响的风险评估制度并定期开展个人信息安全影响评估,并查阅历史风险评估记录。
(4)访谈组织数据管理部门,询问是否制定个人信息安全事件应急预案并定期开展应急响应培训和应急演练,包括当发生个人信息泄露时通知个人信息主体的方式、方法与内容。
(6)访谈组织数据管理部门,是否建立个人信息泄露或非法使用的申诉管理机制和举报渠道,并对造成安全事件违反安全使用的人员制定处罚机制。
(2)抽查年满14周岁的未成年人个人信息收集记录,查看是否征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
(1)分别访谈数据安全管理者及数据存储管理员,了解组织在传输和存储个人敏感信息时是否采用加密等安全措施,对于个人生物识别信息,询问是否采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
(2)访谈数据存储管理员,询问组织所收集和产生的个人信息是否在中华人民共和国境内存储。
(1)访谈数据安全管理负责人,了解组织是否制定针对个人信息去标识化的规范与流程,由专人、专岗负责。
(2)访谈个人信息去标识化负责人,了解所使用的个人信息匿名化、去标识化和加密手段,并抽查去标识化后的个人信息是否可被识别、复原,或在不借助额外信息的情况下,无法识别个人信息主体。
(3)访谈个人信息去标识化负责人,了解对不满足隐私保护的数据项进行删除时应采用的抑制技术。
(1)访谈数据安全负责人或个人信息安全负责人,了解组织是否在将其个人信息控制权向另一个控制者转移时,对其安全管理环境进行风险评估,并以书面形式获得转移方的安全评估结果和使用承诺,查阅历史风险评估记录、接受方的安全评估结果和使用承诺书。
(2)访谈数据安全负责人或个人信息安全负责人,了解组织对内部个人信息使用者、管理者和操作者是否基于业务需要和角色对个人敏感信息的访问、修改等行为进行访问权限设置,并对涉及个人信息的重要操作应设置内部审批流程。
(1)访谈个人信息安全负责人,了解组织是否在收集到有错误或不完整的个人信息主体修改请求时,提供更正或补充信息的方法或渠道,并对其进行验证。
(2)访谈个人信息安全负责人,了解组织是否制定个人信息销毁的规范与流程,向通过注册账户获得个人信息的个人信息主体提供注销账户的方法,并删除其个人信息或做匿名化处理。
五、重要数据安全管理审计
该控制项旨在检查组织针对其重要数据是否建立健全完善的管理体系,包括制度体系、组织与人员体系、应急管理体系,并提供重要数据安全事件的申诉渠道。
2、重要数据识别与分类分级
该控制项旨在检查组织是否就所属行业和经营业务制定重要数据识别及分类分级的制度规范、标准以及变更和审批流程,从而为后续重要数据操作和处理提供依据。
3、跨境传输与存储前安全风险评估
该控制项旨在检查组织在其存在重要数据跨境传输与境外存储的背景下,是否建立完善的安全风险评估与审批流程,满足国家合规监管要求。
4、应急管理
该控制项旨在检查组织依据建立的重要数据安全事件应急管理体系,制定并完善应急管理制度并定期开展应急演练,在满足合规要求的同时,确保安全事件发生时得到有效、迅速的遏制,防范事件蔓延。
1、未建立重要数据保护工作机构或指定负责人,不利于重要数据的保护和管理,同时无法有效落实重要数据保护的责任。
2、未实现重要数据分类分级管理,无法有效对重要数据建立针对性的保护措施,由于保护机制不到位,造成的重要数据泄露或非法访问。
3、未建立规范化的重要数据保护制度和流程,可能造成重要数据的收集、存储、使用、变更、销毁等操作不合法的情况。
4、组织在使用重要数据时,没有开展安全风险评估,无法判断重要数据的使用与保护的程度,容易造成侵权与违规风险。
5、组织在处理重要数据时,数据的传输、处理、存储、销毁未采用加密、访问控制等安全措施,容易造成重要数据泄露的风险。
6、未建立数据应急预案,无法有效制定数据丢失、数据泄露等重要场景的处置措施,不利于重要数据发生异常的处置和恢复。
(1)访谈组织负责数据安全管理的负责人,询问了解组织是否在其内部成立重要数据保护的工作机构、日常办事机构,并指定专门的安全管理人员。
(2)访谈组织负责数据安全管理的负责人,询问了解组织目前是否建立关于重要数据保护的管理体系和相应的规章制度,并基于合规和监管要求,对组织日常经营活动所涉及的重要数据进行了识别,并明确定义了对重要数据进行匿名化处理的条件。
(3)访谈组织负责数据安全管理的负责人,询问了解组织是否建立针对重要数据安全事件的处置、应急响应和事后调查的流程与机制,记录事件的处置与调查全过程,及时发现并消除重要数据的违规使用和滥用等情况,同时查看有关处置方案和历史记录。
(4)访谈组织负责数据安全管理的负责人,询问了解组织是否建立申诉管理机制和渠道。
(1)访谈组织数据安全管理的负责人,询问了解是否基于行业监管要求制定重要数据识别的管理制度与规范。
(2)访谈组织负责数据安全管理的负责人,询问了解组织是否制定针对重要数据的分类分级策略和管理制度与规范,查看是否对各类重要数据的保护期限和标记做出明确规定。
(3)访谈组织负责数据安全管理的负责人,询问了解组织是否制定重要数据保护范围和分类分级的变更与审批流程,并查看历史变更和审批记录。
(1)访谈组织负责数据安全管理的负责人,询问了解组织重要数据的存储位置及是否涉及跨境流动和存储。
(1)访谈负责数据安全管理的负责人,询问了解组织是否制定针对重要数据安全事件应急预案并定期开展应急响应培训和应急演练。
(2)调阅并查看应急预案,检查其内容是否明确安全事件的具体处置措施、上报和信息披露流程,并查看培训和演练的历史记录。
六、数据平台与技术安全管理审计
1、平台基础设施安全
该控制项旨在检查组织为确保数据平台基础设施安全,除对其所处的物理环境进行安全检查外,还应检查是否采取技术措施与工具,监控并防范平台受到恶意代码等非法攻击。
2、网络与通信安全
该控制项旨在检查组织为确保数据平台的网络与通信安全,是否制定访问控制策略并在网络隔离设备上部署、实施,同时,检查为确保通信链路的安全是否采取相应的安全监控与链路加密手段。
3、应用安全
该控制项旨在检查组织在应用层面针对应用接口、平台服务和平台资源是否采取相应的安全控制措施。
4、安全审计
该控制项旨在检查组织针对数据平台的日常服务和运维是否开展安全审计,并验证安全审计是否具有自动分析和报警的功能。
1、数据平台或系统安全保护措施部署不到位,导致数据泄露或非法访问。
2、数据平台与其他平台交换数据未实施加密,导致数据外泄。
3、未部署独立的数据库审计系统,无法对数据违规操作行为进行跟踪分析,不利于数据的规范化管理。
(1)访谈负责数据平台或系统的负责人,询问是否对各类基础设施采用防病毒、边界防护、入侵防护、态势感知、威胁情报等手段保障其设备安全,并调阅查看最新网络拓扑图,检查符合性。
(2)访谈负责数据平台物理基础设施安全的负责人,了解对数据平台依赖的机房环境所采取的具体安全保障措施并进行实际走查和传感器监控数据的抽查。
(3)检查是否对平台系统和主机制定预警策略,并对漏洞爆发等威胁进行自动预警和漏洞修复。
(4)检查是否定期组织第三方机构对应用系统进行渗透测试,及时发现并修复应用层安全漏洞。
(5)检查组织是否根据识别出的数据关键业务,对其安全基线检查及后续加固。
(1)访谈网络安全管理员,了解为确保数据平台所进行的网络安全规划和具体措施,检查是否至少在业务层面与管理层面采用隔离措施和工具。
(3)访谈网络安全管理员,是否在数据平台网络边界出口部署流量控制系统,对异常流量实现实时阻断。
(4)访谈网络安全管理员,了解针对数据平台的日常管理维护和开发测试的人员接入平台的方式,判断接入链路是否安全,操作行为是否受控并对其进行安全审计。
(5)访谈网络安全管理员,了解为确保客户端与数据库服务器间通信安全所采取的加密安全措施。
(2)验证数据平台的安全审计系统是否具有日志自动分析功能,并在遭受危害平台安全的操作时是否触发安全报警。