数据安全审计—第3205号内部审计实务指南第五章第5节
2021-01-25
伴随互联网、云计算、移动互联网等新技术的迅猛发展,无处不在的移动设备、无线传感器等设备以及数以亿计的互联网用户和企业产生的消费数据及经营数据使得各类信息呈现爆炸式增长。同时,数据的高度集中,共享开放和交叉使用以及数据流动的趋势也在不断加剧。组织由于数据管理、安全隔离、访问控制及数据加密等措施不充分而面临的网络入侵和信息泄露风险越来越大。
一旦数据的机密性、完善性和可用性受到损害,将不能支撑组织业务的健康运行;随着网络安全法的实施,国家对重要业务数据和个人敏感信息保护的力度也在加强,数据安全的违规成本已越来越高。因此,数据安全是数字经济时代生产力要素的必要属性,持续性开展数据安全审计已成为信息系统审计的重要内容。
本节所涉及的数据包括了日常数据和大数据(按结构化程度和数据规模)、个人信息和重要数据(按数据对象类型)的相关内容。本节将从数据安全治理、数据安全管理、数据生命周期安全管理、个人信息安全管理、重要数据安全管理、数据平台与技术安全管理等方面对数据安全的审计方法和步骤进行描述。
一、数据安全治理审计
(一)业务概述
数据是指对客观事件进行记录并可以鉴别的符号,是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合。
数据安全风险涉及面较广,既体现在组织在治理层面的治理风险,还体现在数据在其生命周期和服务过程中的管理风险,以及伴随的个人信息和重要数据等敏感信息泄露和跨境流通风险。
(二)审计目标和内容
1、董事会的职责
该控制项旨在从组织的治理层面,检查组织是否将数据的安全治理工作纳入组织治理工作范畴,建立健全包括风险管理和数据安全审计监督在内的架构体系,从而完善数据的安全合规管理。
2、战略规划与价值实现
该控制项旨在检查组织是否依据董事会所明确的数据安全治理目标制定相关的安全战略。
3、数据安全合规管理
该控制项旨在检查组织是否基于数据安全战略规划,建立健全数据安全管理制度体系,满足合规监管要求。
4、数据风险管理
该控制项旨在检查组织是否从数据、人员、产品与服务等方面,建立并完善数据安全风险管理体系,并将其纳入组织风险管理体系当中。
5、数据安全审计监督
该控制项旨在检查组织是否将数据的安全审计工作纳入到组织的安全审计体系范畴内,建立并完善针对数据安全审计的专项工作。
(三)常见问题和风险
1、未建立数据安全治理组织架构及职责,无法自上而下推动相关数据安全治理工作的有序开展。
2、未建立组织级数据战略规划,无法有效覆盖网络安全法及等级保护等相关法规与标准的要求,无法指明数据整体的发展目标和规划,不利于数据长远发展。
3、未制定数据安全相关管理制度及流程,导致数据安全管控要求无法有效落实。
4、数据安全风险评估执行不到位,未识别出重要的数据安全风险,不利于数据安全治理体系的持续优化。
(四)审计的主要方法和程序
1、董事会的职责
(1)检查组织董事会和执行管理部门职责,是否将数据安全治理工作纳入到组织综合治理工作范畴当中,明确数据安全治理职责并对其安全治理予以承诺和支持,从战略、组织、架构和实施等多个环节提供保障。
(2)查阅组织数据治理的规章制度,明确数据安全治理需要达到的目标和定位,判断其治理目标是否与组织战略、业务战略、业务目标、业务需求相一致。
(3)检查组织是否建立跨部门的数据安全管理委员会和风险管理委员会,明确安全治理的角色和责任。
(4)检查组织是否建立基于满足业务战略的数据架构,并进行持续的评估、监督和改进。
(5)访谈组织信息科技治理负责人,了解组织是否已经或即将部署云服务平台,以及是否将基于云平台中的数据安全治理列入主要治理目标和任务当中。
2、战略规划与价值实现
(1)访谈战略规划负责人或查阅组织经营战略规划,判断数据战略规划是否满足经营战略需要。(经营战略一致性)
(2)查阅组织数据战略规划,判断其战略内容是否与组织数据治理目标相一致,检查内容上是否包括数据服务战略、数据平台与应用战略,且战略规划内容是否涉及数据安全,体现《网络安全法》和网络安全等级保护等制度对于数据安全的相关要求。
(3)访谈信息系统战略规划负责人,了解组织信息化及信息安全战略规划要求,判断数据安全战略是否与信息系统安全战略和需求相一致。(信息系统安全战略一致性)
(4)查阅数据安全战略规划,判断其从内容上是否体现组织对于个人信息(隐私)保护和重要数据保护治理方面的要求。
3、数据安全合规管理
(1)查阅组织制定的与数据管理相关的制度与规范,从而判断其是否符合数据安全相关的政策、法律、法规等各项监管要求。
(2)检查组织的数据安全管理相关制度与规范,查看其内容是否涵盖国家和社会生产的重要数据的安全管理要求,个人信息的保护要求,数据跨境传输与共享的安全管理要求,以及密码使用要求。
4、数据风险管理访谈组织风险管理负责人,询问组织是否将数据风险管理纳入组织风险管理体系当中,重点突出数据、人员、产品/服务三个方面,并建立数据安全内控体系;数据方面,以数据生命周期为出发点,识别全周期面临的威胁和自身脆弱性,分析数据服务安全风险和应对措施需求;人员方面,基于数据安全管理需要,基于员工日常数据操作行为,识别风险并建立风险量化机制和信息安全评价指标体系;产品/服务方面,以对个人信息和重要数据保护为目的,构建产品/服务提供商在组织、规范、设计、流程、监控等一系列的安全风险评价体系和控制机制。
5、数据安全审计监督
(1)访谈组织审计负责人,询问组织是否将数据安全管理审计纳入到组织安全审计管理体系内。
(2)访谈组织审计负责人或信息安全审计负责人,了解组织是否建立负责数据安全监督与审计管理的职能机构及制度与规范,了解组织对数据服务及其用户操作行为审计的方法和内容。
(3)查阅组织有关数据安全审计的制度和规范,了解针对数据安全审计的方法、频率和周期,并查阅相关审计报告。
二、数据安全管理审计
(一)业务概述
数据安全管理是指保护数据免受威胁的影响,确保业务的连续性,降低业务可能面临的风险,为业务部门提供有力保障。
(二)审计目标和内容
1、数据安全组织管理
该控制项旨在检查组织为落实数据安全治理工作及其战略规划,是否从组织层面设置跨部门的数据安全管理机构及负责人,明确安全管理职责。
2、人员与意识管理
该控制项旨在基于组织对数据安全管理的要求和需求,从人员安全管理、资源建设与技能培养、职责落实与考核等三方面进行检查,判断人员综合管理的落实情况。
3、制度与规范管理
该控制项旨在从制度层面检查组织是否制定并完善数据安全管理的制度体系及其落实情况。
4、元数据安全管理
该控制项旨在从元数据的安全管理角度,检查组织是否建立完善的元数据安全管理规范,并从技术层面予以安全保障。
5、数据及平台(系统)管理
该控制项旨在从数据平台(系统)管理角度,检查组织是否对平台(系统)及其管理之下的数据制定相应的安全规范与标准,实现统一管理,并与组织经营战略中的安全需求相一致。
6、服务接口安全管理
该控制项旨在从服务接口角度,检查组织是否完善接口安全管理的制度和规范,并用技术手段保障接口间数据传输的安全性。
7、数据供应链安全管理
该控制项旨在从供应链安全管理角度,检查组织在存在上下游数据交换的前提下,制定相关管理规范,满足合规监管要求。
8、数据安全审计管理
该控制项旨在从审计角度,检查组织是否落实数据安全审计与监督的要求,对组织的数据服务开展安全审计,同时确保国家对于日志管理的安全合规要求。
(三)常见问题和风险
1、数据安全组织架构及责任人缺失,导致数据安全管控要求无法落实。
2、未定期开展数据安全意识宣贯,由于安全意识不足,导致数据不经意的泄露。
3、元数据安全管控不到位,导致元数据血缘关系模糊、可追溯性不强,影响元数据与数据标准的结合。
4、未部署数据管控平台,无法对数据标准、数据质量、元数据进行规范化管控和技术实现。
5、数据服务接口与应用在其内部跨安全域间的接口调用未采用包括安全通道、加密传输等安全机制可能带来的风险。
6、未建立数据供应链安全管理方针,无法落实上下游供应链间数据交换和使用的要求,不利于供应商之间的数据交换与共享。
(四)审计的主要方法和程序
1、数据安全组织管理
(1)访谈组织人力管理部门或信息安全管理部门负责人,了解组织是否设置专门的数据安全管理机构和责任人及其相关的部门和岗位。
(2)访谈数据安全管理机构负责人,了解组织目前是否制定与数据安全相关的包括数据服务安全追责在内的规章制度,并定期对责任部门和安全岗位组织安全检查,形成检查报告;组织目前数据及其服务平台与应用的安全规划、安全建设、安全运营和系统维护工作整体情况;组织是否清楚地界定服务提供者、数据使用者(包括终端用户与设备);是否设置专职的数据服务安全岗位,建立规范化的数据服务安全保护、评估及考核专职队伍。
2、人员安全管理
(1)访谈人力资源管理和数据安全管理负责人,了解组织是否基于数据生命周期各阶段数据服务和系统服务相关的工作范畴和安全管控措施,制定数据服务人力资源安全策略。
(2)访谈数据安全管理负责人,了解是否明确数据服务相关重要岗位及其角色安全要求,建立重要岗位角色清单和授权机制。
(3)访谈人力资源管理负责人,是否就数据安全管理的关键岗位做好人力资源培养和储备工作。
(4)访谈人力资源管理负责人,是否在组织内部针对所有接触个人信息和重要数据等敏感信息的全职员工签署保密协议,知晓组织对于数据安全管理的规范制度与操作须知,并抽检保密协议和制度知晓的记录。
(5)访谈人力资源管理负责人,了解组织是否建立第三方人员安全管理制度,对接触个人信息、重要数据等数据的人员进行审批和登记,并要求签署保密协议,定期对这些人员行为进行安全审查,并调阅相关管理制度、保密协议和历史审批与登记记录。
(6)检查组织是否建立数据安全教育培训机制,分别针对数据操作人、数据安全管理人员和第三方人员制定培训计划,并定期对全员,特别是关键岗位人员进行能力检查和考核,考核应纳入到个人与组织的绩效考核体系当中,查阅教育培训与考核的历史记录。
3、制度与规范管理
(1)调阅并检查组织是否制定包括数据服务在内的数据安全管理制度和规范、数据分类分级规范和标准、数据安全人员能力要求及向第三方提供或共享数据时的安全管理制度和标准,其中,制度在范围上应覆盖数据全生命周期。
(2)检查制度和标准是否得到定期评审和更新,并分发至机构数据服务部门和操作人员,抽样访谈数据操作和管理人员,了解其对制度规范的知晓情况并查阅制度规范的更新记录。
4、元数据安全管理
(1)检查组织是否建立与数据服务相关的元数据及其管理规范、与数据服务安全架构相应的安全元数据管理规范和数据访问控制策略,从而明确元数据管理角色及其授权控制机制和查询限制。
(2)检查元数据的安全管理制度和规范是否包括:依据资产分类分级策略所建立的元数据安全属性的自动/手工分级机制;可依据元数据安全属性建立标记的策略及标记定义和管理机制。
(3)检查组织是否从技术手段上实现:对表字段、表与上下游表的血缘关系查询进行安全设置和查询限制。可对表访问操作权限进行限制。
(4)检查组织是否建立针对元数据操作的审计制度,并确保对元数据的操作具有可追溯性。
5、数据及平台(系统)管理
(1)检查组织是否建立数据资产安全管理规范和数据资产分类、分级方法、标准、操作指南、数据资产分类分级变更审批流程,并对其进行定期审核和更新。
(2)检查组织是否对数据资产实施登记制度,其应明确数据资产管理相关方及管理责任、数据资产管理范围和属性,并调阅数据资产登记目录清单。
(3)检查组织是否在技术上建立综合的数据管理平台或系统,实现对数据资产的统一管理,包括:是否制定数据系统平台资产安全管理规范,并明确安全管理的目标和原则;数据系统平台的规划和建设应与组织经营战略和平台(系统)全生命周期的安全需求相一致。可依据数据资产和数据主体安全分级要求建立相应的标记策略、访问控制、数据加解密、数据脱敏等安全机制和管控措施。
6、服务接口安全管理
(1)检查组织是否制定与数据服务接口安全管理有关的控制策略和安全规范。
(2)检查组织的数据平台与应用在其内部跨安全域间的接口调用是否采用包括安全通道、加密传输等安全机制。
7、数据供应链安全管理
(1)访谈组织数据管理部门负责人,了解组织目前是否存在数据供应链上下游间数据交换和使用的现象,若存在,则了解并查看:组织是否建立与数据供应链安全管理有关的规范和安全方针,其应明确数据供应链安全目标、原则和范围,并对其进行查阅;组织是否识别并建立数据供应链上下游间数据交换和使用的合规要求及合规目录,从而确保其数据交换和使用的合规;建立数据供应链目录和相关数据源数据字典,明确数据供应链的责任部门和人员。
(2)查阅组织与上下游数据供应链服务商签署的合作协议,检查协议是否:明确数据供应链上下游责任和义务,并检查是否采用安全技术保障措施确保数据供应链上下游对数据交换、使用的安全、可靠与合规;明确数据供应链中数据的使用目的、供应方式、保密约定等内容。
(3)检查组织是否对数据供应链上下游的数据服务提供者和数据使用者的行为进行合规性审核和分析,并查阅相关记录和报告。
8、数据安全审计管理
(1)访谈组织负责数据审计的负责人,询问组织是否明确对于数据安全审计的要求、审计范围、审计方式。
(2)访谈组织负责数据审计的负责人,询问对数据服务平台(系统)部署审计产品,登录安全审计产品并查看审计日志是否完整,其保存期限是否符合国家强制要求并具有防篡改的功能。
(3)查阅历史审计报告,了解审计对象是否包括与数据相关的物理环境、网络传输、平台/系统、数据库及存储介质,以及基于数据平台/提供者,数据提供者,服务提供者和内部服务/数据使用者针对主要操作、敏感行为、敏感数据流通等安全事件。
三、数据生命周期安全管理审计
(一)业务概述
数据生命周期管理是指在数据采集、传输、存储、处理、交换(共享、应用)、销毁等阶段下对流动的数据进行综合管理。
(二)审计目标和内容
1、数据收集该
控制项旨在针对数据收集过程,检查组织是否依据收集数据的敏感性对其进行数据标识,从而基于该标识进行后续数据操作处理的监控。
2、数据传输
该控制项旨在针对数据传输过程,检查组织是否根据传输过程的安全性划分安全域,并根据安全域的级别采取相应的安全控制措施,防范数据遭受窃听或泄露,确保数据的完整性。
3、数据存储与恢复
该控制项旨在针对数据存储,检查组织是否对所存储的数据采取安全措施,确保其安全性和完整性,同时,根据组织对于数据可用性的要求,检查组织是否采取备份措施。
4、数据处理与加工
该控制项旨在针对处理和加工过程,检查组织是否对可接触到数据的人员基于角色采取身份验证和访问控制,并对该过程采取加密和脱敏处置措施,防范数据非法访问或敏感信息遭到泄露。
5、数据使用与安全审计
该控制项旨在针对数据使用过程,检查组织是否采取身份验证和访问控制措施,防止人员对于数据的非法访问,并采取加密和脱敏等技术手段,防止在使用环节造成信息泄露并对使用环节进行安全审计。
6、数据共享与流动
该控制项旨在针对组织存在数据共享与流动,特别是跨境流动时,是否制定相应的规范制度和审批流程,满足国家合规监管要求。
7、数据归档与销毁
该控制项旨在检查组织是否针对数据归档与销毁过程,并基于数据敏感程度制定完善的管理制度与规范流程,防范在该过程中出现数据泄露。
(三)常见问题和风险
1、在数据生命周期管理期间,由于在人员、管理、技术三个层面没有建立适用的数据安全管理体系,使得数据安全管理的效率与效果低下。
2、未实现数据分类分级管理或分级方法不合理,导致未按照不同类别建立不同的安全控制措施,导致保护过重或保护不当。
3、数据在收集、传输、存储和恢复、处理和加工、使用与审计、归档与销毁等过程中,由于缺乏有效的数据加密和访问控制,容易导致数据泄露风险。
4、数据在共享与流动,特别是跨边界和跨境流动时,由于未制定相应的安全规范制度和审批流程,容易产生违规风险。
5、数据销毁机制不健全或执行不严格,导致销毁过程中敏感数据的泄露。
(四)审计的主要方法和程序
1、数据收集
(1)检查组织是否根据数据分级分类管理制度中定义的数据类型、安全等级对所收集的数据进行标识,特别是敏感数据,并根据数据标识和合规要求进行后续传输、存储等流程的跟踪和监控。
(2)对收集的数据进行抽查,检查是否对已收集的数据进行标记。
2、数据传输
(1)访谈网络安全管理员,询问组织是否在数据传输过程中进行安全域的划分。
(2)访谈网络安全管理员,询问数据在跨域传输,特别是在非安全域传输时是否采用安全加密机制确保传输链路的安全可靠和对数据进行安全加密,查阅组织网络拓扑图并进行实质性查验。
(3)通过执行渗透,获取传输数据包,查验数据包的完整性和保密性措施是否有效。
3、数据存储与恢复
(1)访谈数据安全管理员,询问组织为确保静态数据的安全性和完整性所采取的安全措施、加密手段与方式、完整性校验手段与方式有哪些。
(2)访谈组织核心业务部门负责人对于数据可用性的要求,并查阅组织业务连续性计划,了解组织业务对关键数据的可用性指标。
(3)访谈数据安全管理员,询问组织为确保静态数据的可用性,所采取的存储架构、技术手段和工具有哪些,以及是否部署实现集群异地灾备,判断数据存储和恢复是否满足业务需求。
(4)查阅数据完整性测试报告和异地数据恢复的测试报告。
4、数据处理与加工
(1)访谈数据安全管理员,询问在对数据进行操作处理过程中是否采用安全的身份验证和加密措施,确保数据交换和处理过程中的安全、可靠。
(2)访谈数据安全管理员,询问在对数据进行操作处理过程中涉及敏感信息时,是否对其脱敏处理。
5、数据使用与安全审计
(1)访谈数据安全管理员或系统管理员,询问在进行数据展示时,是否对敏感数据进行不可逆加密、区间随机、掩码替换等脱敏手段。
(2)访谈系统管理员,询问是否基于数据安全管理员或系统管理员,基于角色和“按需所知”原则做到对数据表列级的访问和操作权限控制。
(3)访谈数据安全管理员或系统管理员,询问用户在对数据进行操作和管理的过程中,是否基于制定的访问权限,建立统一的身份识别和权限管理系统,实现对各类业务系统、数据库等账号实现统一管理,并对数据的访问和使用进行安全审计。
6、数据共享与流动
(1)访谈数据应用或管理部门的负责人,询问组织是否基于业务战略和信息安全战略制定数据共享和流动的安全评估和处理流程、审批制度、安全策略等规范制度,调阅制度并检查其内容是否符合对于数据共享与跨境传输的合规要求。
(2)访谈数据应用或管理部门的负责人,询问并查阅组织在进行日常数据服务时:是否与第三方签订数据服务合同,审查合同是否约定数据接收方的数据处理目的、方式和采取的安全措施以及数据接收方应配合组织对数据出境活动进行调查等关键内容;合同是否约定在未获得数据发送方的授权前提下,数据接收方不得对数据进行公开披露及再转移;是否约定数据接收方使用、留存数据的合法周期及超出合法周期后数据接收方对数据所采取的处理措施;是否约定数据接收方应配合数据发送方履行的安全责任和义务。
(3)访谈数据应用或管理部门的负责人,询问组织日常数据共享与流动若涉及跨境传输,是否开展如下活动并调阅相关操作文档:在数据出境前应制定出境计划,满足合法性、正当性和必要性的要求;在数据跨境传输前开展安全风险评估,并周期性的开展安全评估,评估应包括安全自评估和主管部门评估;在开展数据共享或跨境传输前,是否对数据接受方的背景、资质进行安全审查和检查,并基于国家关于个人信息和重要数据出境安全评估相关条件进行安全评估;对数据出境的全过程进行记录并保留所有操作流程,操作日志应保存不少于2年;当发生数据出境安全事件时,是否制定安全事件的通报机制和手段;访谈数据应用或管理部门的负责人,询问组织是否制定数据共享与流动的安全事件应急预案,并进行应急演练,审查应急预案是否包含应急处置、安全事件告知和上报等相关内容。
(4)当发生数据出境安全事件时,应按照国家有关规定及时向国家网信部门或行业主管部门上报数据出境安全事件,上报内容包括但不限于:安全事件发生的时间、数据类型、数量、范围、可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式。
7、数据归档与销毁
(1)检查组织是否基于数据分类分级标准制定数据及存储介质销毁相关的管理制度和安全策略,明确销毁对象、流程、方式及审批、监督和评价机制。
(2)访谈组织目前本地和网络分布式存储数据的销毁方式与技术手段,并查阅历史销毁记录。
四、个人信息安全管理审计
(一)业务概述
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为。旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。
(二)审计目标和内容
1、通用管理该控制项旨在检查组织是否针对个人信息,建立健全个人信息保护的管理体系和风险管理体系,并提供个人信息泄露或非法使用的申诉管理机制和举报渠道。
2、个人信息的收集
该控制项旨在检查组织在个人信息收集环节,是否制定完善的安全策略和规范,满足《网络安全法》中关于个人信息保护的合规要求。
3、个人信息的传输与存储
该控制项旨在检查组织在个人信息传输与存储环节,是否采取管理与技术手段,确保个人信息境内存储和离境前安全与风险评估的合规要求,以及个人敏感信息不被泄露。
4、个人信息的处理
该控制项旨在检查组织在个人信息处理环节,是否采取技术手段防范个人信息主体被识别和还原。
5、个人信息的使用
该控制项旨在检查组织是否在个人信息使用环节,采取访问控制措施防范对其非法访问,并在个人信息控制权发生转移时对接收方进行安全评估,并获得其安全使用的承诺。
6、个人信息的变更与销毁
该控制项旨在检查组织在个人信息变更和销毁环节,是否为个人信息主体提供合法变更的渠道,或在完成所收集个人信息使用目的后,规范个人信息的删除流程和途径。
(三)常见问题和风险
1、未建立个人信息保护组织或缺乏相关负责人,不利于个人信息保护工作的推广和执行,也无法有效落实个人信息保护的责任。
2、未建立规范化的个人信息保护制度和流程,可能造成个人信息的收集、存储、使用、变更、销毁等操作不合法的情况。
3、组织在使用个人信息时,没有开展安全影响评估,无法判断个人信息使用与保护的程度,容易造成侵权与违规风险。
4、在收集个人信息时,没有注意最小化要求,或者在没有得到允许的情况下公开披露个人信息,容易造成侵权与违规风险。
5、组织在处理个人敏感信息时,个人信息的传输、处理、存储、销毁未采用加密、访问控制等安全措施,容易造成泄露个人敏感信息的风险。
(四)审计的主要方法和程序
1、通用管理
(1)访谈组织数据管理部门,了解是否基于业务量和个人信息处理数量,设立专职的个人信息保护负责机构与负责人,并明确相关工作职责。
(2)访谈组织数据管理部门,了解组织是否制定关于个人信息和个人隐私保护的管理规范,其明确定义个人敏感信息的识别范围、类别,以及对个人信息进行匿名化处理的条件和定期评审更新机制。
(3)访谈组织数据管理部门或风险管理部门,询问是否建立针对个人信息安全影响的风险评估制度并定期开展个人信息安全影响评估,并查阅历史风险评估记录。
(4)访谈组织数据管理部门,询问是否制定个人信息安全事件应急预案并定期开展应急响应培训和应急演练,包括当发生个人信息泄露时通知个人信息主体的方式、方法与内容。
(5)访谈人力资源管理部门,询问从事或接触个人信息处理岗位的人员(包括第三方人员),在录用时是否进行背景审查并签署保密协议,在调离岗位或终止劳动合同时是否要求继续履行保密义务,并对上述人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握隐私政策和相关规程。
(6)访谈组织数据管理部门,是否建立个人信息泄露或非法使用的申诉管理机制和举报渠道,并对造成安全事件违反安全使用的人员制定处罚机制。
2、个人信息的收集
(1)访谈个人信息收集岗位的负责人,了解在进行个人信息收集前,组织是否以明示的方式(如隐私政策)向个人信息主体说明收集、使用的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等,确保个人信息主体的知情权并得到其授权,同时抽查信息收集说明和信息主体的授权确认信息。
(2)抽查年满14周岁的未成年人个人信息收集记录,查看是否征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
(3)访谈个人信息收集岗位的负责人,了解组织间接获得的个人信息,是否获得个人信息提供方就个人信息来源的书面确认,确保来源的合法性,包括个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等。
(4)访谈个人信息收集岗位的负责人,了解组织是否向个人信息主体提供撤回收集、使用其个人信息同意授权的途径和方法。
3、个人信息的传输与存储
(1)分别访谈数据安全管理者及数据存储管理员,了解组织在传输和存储个人敏感信息时是否采用加密等安全措施,对于个人生物识别信息,询问是否采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
(2)访谈数据存储管理员,询问组织所收集和产生的个人信息是否在中华人民共和国境内存储。
(3)分别访谈数据安全管理者及数据存储管理员,了解组织若涉及个人信息的跨境传输与存储业务,是否制定相应的审批流程,并在进行跨境传输与存储时,按照合规监管要求进行安全检查和安全评估,调阅并查看相关的审批、审查和评估历史文档。
4、个人信息的处理
(1)访谈数据安全管理负责人,了解组织是否制定针对个人信息去标识化的规范与流程,由专人、专岗负责。
(2)访谈个人信息去标识化负责人,了解所使用的个人信息匿名化、去标识化和加密手段,并抽查去标识化后的个人信息是否可被识别、复原,或在不借助额外信息的情况下,无法识别个人信息主体。
(3)访谈个人信息去标识化负责人,了解对不满足隐私保护的数据项进行删除时应采用的抑制技术。
5、个人信息的使用
(1)访谈数据安全负责人或个人信息安全负责人,了解组织是否在将其个人信息控制权向另一个控制者转移时,对其安全管理环境进行风险评估,并以书面形式获得转移方的安全评估结果和使用承诺,查阅历史风险评估记录、接受方的安全评估结果和使用承诺书。
(2)访谈数据安全负责人或个人信息安全负责人,了解组织对内部个人信息使用者、管理者和操作者是否基于业务需要和角色对个人敏感信息的访问、修改等行为进行访问权限设置,并对涉及个人信息的重要操作应设置内部审批流程。
6、个人信息的变更与销毁
(1)访谈个人信息安全负责人,了解组织是否在收集到有错误或不完整的个人信息主体修改请求时,提供更正或补充信息的方法或渠道,并对其进行验证。
(2)访谈个人信息安全负责人,了解组织是否制定个人信息销毁的规范与流程,向通过注册账户获得个人信息的个人信息主体提供注销账户的方法,并删除其个人信息或做匿名化处理。
五、重要数据安全管理审计
(一)业务概述
重要数据,一方面是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南;另一方面是指企事业单位的战略规划、管理方法、商业模式、财务信息等经营信息和设计程序、产品配方、制作工艺、技术诀窍等技术信息。规范重要数据在收集、保存、使用、传输、共享等信息处理环节中的相关行为。旨在遏制数据非授权收集、滥用、泄漏等乱象,最大程度地保障重要数据的安全。
(二)审计目标和内容
1、通用管理
该控制项旨在检查组织针对其重要数据是否建立健全完善的管理体系,包括制度体系、组织与人员体系、应急管理体系,并提供重要数据安全事件的申诉渠道。
2、重要数据识别与分类分级
该控制项旨在检查组织是否就所属行业和经营业务制定重要数据识别及分类分级的制度规范、标准以及变更和审批流程,从而为后续重要数据操作和处理提供依据。
3、跨境传输与存储前安全风险评估
该控制项旨在检查组织在其存在重要数据跨境传输与境外存储的背景下,是否建立完善的安全风险评估与审批流程,满足国家合规监管要求。
4、应急管理
该控制项旨在检查组织依据建立的重要数据安全事件应急管理体系,制定并完善应急管理制度并定期开展应急演练,在满足合规要求的同时,确保安全事件发生时得到有效、迅速的遏制,防范事件蔓延。
(三)常见问题和风险
1、未建立重要数据保护工作机构或指定负责人,不利于重要数据的保护和管理,同时无法有效落实重要数据保护的责任。
2、未实现重要数据分类分级管理,无法有效对重要数据建立针对性的保护措施,由于保护机制不到位,造成的重要数据泄露或非法访问。
3、未建立规范化的重要数据保护制度和流程,可能造成重要数据的收集、存储、使用、变更、销毁等操作不合法的情况。
4、组织在使用重要数据时,没有开展安全风险评估,无法判断重要数据的使用与保护的程度,容易造成侵权与违规风险。
5、组织在处理重要数据时,数据的传输、处理、存储、销毁未采用加密、访问控制等安全措施,容易造成重要数据泄露的风险。
6、未建立数据应急预案,无法有效制定数据丢失、数据泄露等重要场景的处置措施,不利于重要数据发生异常的处置和恢复。
(四)审计的主要方法和程序
1、通用管理
(1)访谈组织负责数据安全管理的负责人,询问了解组织是否在其内部成立重要数据保护的工作机构、日常办事机构,并指定专门的安全管理人员。
(2)访谈组织负责数据安全管理的负责人,询问了解组织目前是否建立关于重要数据保护的管理体系和相应的规章制度,并基于合规和监管要求,对组织日常经营活动所涉及的重要数据进行了识别,并明确定义了对重要数据进行匿名化处理的条件。
(3)访谈组织负责数据安全管理的负责人,询问了解组织是否建立针对重要数据安全事件的处置、应急响应和事后调查的流程与机制,记录事件的处置与调查全过程,及时发现并消除重要数据的违规使用和滥用等情况,同时查看有关处置方案和历史记录。
(4)访谈组织负责数据安全管理的负责人,询问了解组织是否建立申诉管理机制和渠道。
2、重要数据识别与分类分级
(1)访谈组织数据安全管理的负责人,询问了解是否基于行业监管要求制定重要数据识别的管理制度与规范。
(2)访谈组织负责数据安全管理的负责人,询问了解组织是否制定针对重要数据的分类分级策略和管理制度与规范,查看是否对各类重要数据的保护期限和标记做出明确规定。
(3)访谈组织负责数据安全管理的负责人,询问了解组织是否制定重要数据保护范围和分类分级的变更与审批流程,并查看历史变更和审批记录。
3、跨境传输与存储前安全风险评估
(1)访谈组织负责数据安全管理的负责人,询问了解组织重要数据的存储位置及是否涉及跨境流动和存储。
(2)访谈组织负责数据安全管理的负责人,询问了解组织对涉及跨境传输与存储的重要数据是否进行安全检查与风险评估,并建立完善的审批流程,同时查看历史相关记录,判断记录的完整性与合规性。
4、应急管理
(1)访谈负责数据安全管理的负责人,询问了解组织是否制定针对重要数据安全事件应急预案并定期开展应急响应培训和应急演练。
(2)调阅并查看应急预案,检查其内容是否明确安全事件的具体处置措施、上报和信息披露流程,并查看培训和演练的历史记录。
六、数据平台与技术安全管理审计
(一)业务概述
数据平台是指为数据应用提供资源和服务的支撑集成环境,包括基础设施层、数据平台层和计算分析层。重点关注数据平台基础设施安全、网络与通信安全、应用安全及安全审计工具使用等内容。
(二)审计目标和内容
1、平台基础设施安全
该控制项旨在检查组织为确保数据平台基础设施安全,除对其所处的物理环境进行安全检查外,还应检查是否采取技术措施与工具,监控并防范平台受到恶意代码等非法攻击。
2、网络与通信安全
该控制项旨在检查组织为确保数据平台的网络与通信安全,是否制定访问控制策略并在网络隔离设备上部署、实施,同时,检查为确保通信链路的安全是否采取相应的安全监控与链路加密手段。
3、应用安全
该控制项旨在检查组织在应用层面针对应用接口、平台服务和平台资源是否采取相应的安全控制措施。
4、安全审计
该控制项旨在检查组织针对数据平台的日常服务和运维是否开展安全审计,并验证安全审计是否具有自动分析和报警的功能。
(三)常见问题和风险
1、数据平台或系统安全保护措施部署不到位,导致数据泄露或非法访问。
2、数据平台与其他平台交换数据未实施加密,导致数据外泄。
3、未部署独立的数据库审计系统,无法对数据违规操作行为进行跟踪分析,不利于数据的规范化管理。
(四)审计的主要方法和程序
1、平台基础设施安全
(1)访谈负责数据平台或系统的负责人,询问是否对各类基础设施采用防病毒、边界防护、入侵防护、态势感知、威胁情报等手段保障其设备安全,并调阅查看最新网络拓扑图,检查符合性。
(2)访谈负责数据平台物理基础设施安全的负责人,了解对数据平台依赖的机房环境所采取的具体安全保障措施并进行实际走查和传感器监控数据的抽查。
(3)检查是否对平台系统和主机制定预警策略,并对漏洞爆发等威胁进行自动预警和漏洞修复。
(4)检查是否定期组织第三方机构对应用系统进行渗透测试,及时发现并修复应用层安全漏洞。
(5)检查组织是否根据识别出的数据关键业务,对其安全基线检查及后续加固。
2、网络与通信安全
(1)访谈网络安全管理员,了解为确保数据平台所进行的网络安全规划和具体措施,检查是否至少在业务层面与管理层面采用隔离措施和工具。
(2)访谈网络安全管理员,是否为采取的安全隔离措施制定访问控制策略,并登录隔离设备查看隔离策略的配置与运行情况。
(3)访谈网络安全管理员,是否在数据平台网络边界出口部署流量控制系统,对异常流量实现实时阻断。
(4)访谈网络安全管理员,了解针对数据平台的日常管理维护和开发测试的人员接入平台的方式,判断接入链路是否安全,操作行为是否受控并对其进行安全审计。
(5)访谈网络安全管理员,了解为确保客户端与数据库服务器间通信安全所采取的加密安全措施。
3、应用安全访谈应用系统安全管理员,询问为确保数据平台应用安全,应用接口是否采用身份认证、权限控制等安全措施;对数据平台服务用户是否采用安全认证方式并对密钥采取全生命周期的安全管理;访谈数据平台负责基础设施资源或应用管理员,询问是否对平台资源的分配和使用进行安全监控并实施最大限额管理,并在超过设定的资源配置阈值时,对用户使用行为进行限制;访谈数据平台应用安全管理员,询问组织在分布式环境下,是否对用户进行的数据资源访问以及对数据资源执行的操作批量授权管理,以及与原有平台认证体系的完全独立,确保节点不会被冒充,保证集群中的服务的身份可靠性。
4、安全审计
(1)检查是否对数据平台部署独立、实时的审计系统,从而确保对登录主机的用户操作行为、对流量层及包括服务器终端命令等内容进行安全审计,同时确保审计记录在数据库系统运行时的访问控制安全以及对被审计安全事件的自动分析和报警。(安全审计)
(2)验证数据平台的安全审计系统是否具有日志自动分析功能,并在遭受危害平台安全的操作时是否触发安全报警。