1 概述
数据安全审计是一项控制活动,负责定期分析、验证、讨论、改进数据安全管理相关的政策、标准和活动。审计工作可由组织内部或外部审计人员执行,审计人员应独立于审计所涉及的数据和流程。数据安全审计的目标是为组织以及外部监管机构提供评估和建议。
2 过程描述
过程描述如下:
a) 过程审计,分析实施规程和实际做法,确保数据安全目标、策略、标准、指导方针和预期结果相一致;
b) 规范审计,评估现有标准和规程是否适当,是否与业务要求和技术要求相一致;
c) 合规审计,检索和审阅机构相关监管法规要求,验证机构是否符合监管法规要求;
d) 供应商审计,评审合同、数据共享协议,确保供应商切实履行数据安全义务;
e) 审计报告发布,向高级管理人员、数据管理专员以及其他利益相关者报告组织内的数据安全状态;
f) 数据安全建议,推荐数据安全的设计、操作和合规等方面的改进工作建议。
3 过程目标
过程目标如下:
a) 确保组织的安全需求、监管需求得到满足;
b) 及时发现数据安全隐患,改进数据安全措施;
c) 提出数据安全管理建议,促进数据安全的优化提升。
4 能力等级标准
能力等级标准如下:
a) 第1级:初始级
1) 与组织信息化安全审计合并进行,没有独立的数据安全设计;
2) 根据外部或监管的需要进行审计。
b) 第2级:受管理级
1) 检查数据安全管理标准与策略是否能满足各业务部门数据安全管理的需要;
2) 评估数据安全管理的措施是否能按照数据安全管理标准与策略的要求进行;
3) 规范数据安全审计的流程和相关文档模板。
c) 第3级:稳健级
1) 在组织层面统一了数据安全审计的流程、相关文档模板和规范,并征求了利益相关者的
意见;
2) 制定了数据安全审计计划,可定期开展数据安全审计工作;
3) 评审数据安全标准与策略对业务、外部监管的需求;
4) 评审数据安全管理岗位、职责、流程的设置和执行情况;
5) 评审组织数据安全等级的划分情况;
6) 评审新项目开展过程中的数据安全管理工作情况;
7) 定期发布数据安全审计报告。
d) 第4级:量化管理级
1) 内部审计和外部审计相结合,协同推动数据安全工作的开展;
2) 数据安全审计报告包括数据安全对业务、经济的影响并分析影响数据安全的根本原因,提出数据安全管理工作的改进建议;
3) 数据安全的管理流程、制度能根据数据安全审计来进行优化提升,实现数据安全管理的闭环。
e) 第5级:优化级
1) 数据安全审计是组织审计工作的重要组成,数据安全审计能推动数据安全标准和策略的优化及实施;
2) 在业界分享最佳实践,成为行业标杆。