ICS35.020CCSL70

DB61陜 西 省 地 方 標 準DB61/T1636—2022數(shù)據(jù)安全審計規(guī)范Datasecurityauditspecification20222022110720221207陜西省市場監(jiān)督管理局發(fā)布DB61/T1636DB61/T1636—2022DB61/T1636DB61/T1636—2022目 次前言 III范圍 1規(guī)范性引用文件 1術語和定義 1縮略語 2數(shù)據(jù)安全審計框架 2數(shù)據(jù)安全審計原則 2數(shù)據(jù)安全審計流程 2數(shù)據(jù)安全審計內(nèi)容 2數(shù)據(jù)安全審計方法 3數(shù)據(jù)安全運營審計 3數(shù)據(jù)采集安全審計 3數(shù)據(jù)傳輸安全審計 5數(shù)據(jù)存儲安全審計 6數(shù)據(jù)處理安全審計 6數(shù)據(jù)交換安全審計 7數(shù)據(jù)銷毀安全審計 9數(shù)據(jù)安全風險審計 10組織審計 10人員審計 10文檔審計 10數(shù)據(jù)安全事件審計 11組織審計 11人員審計 11文檔審計 11數(shù)據(jù)安全審計報告 12報告格式 12報告內(nèi)容 12參考文獻 13I前 言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)則起草。本文件由陜西省工業(yè)和信息化廳提出并歸口。中心、西安電子科技大學、西安四葉草信息技術有限公司。本文件主要起草人：孫騫、邵軍琦、賀小偉、王銘、李暉、金濤、楊帆、馬坤、楊向東、焦玉彬、劉慶麟、王征帆、莫佳鑫。本文件由西北大學網(wǎng)絡和數(shù)據(jù)中心負責解釋。本文件首次發(fā)布。聯(lián)系信息如下：單位：西北大學網(wǎng)絡和數(shù)據(jù)中心電話址：陜西省西安市長安區(qū)郭杜教育科技產(chǎn)業(yè)區(qū)學府大道1號郵編：710127IIII數(shù)據(jù)安全審計規(guī)范范圍計報告的要求。全審計的機構開展數(shù)據(jù)安全自評估。本文件沒有規(guī)范性引用文件。術語和定義下列術語和定義適用于本文件。3.13.1數(shù)據(jù)安全datasecurity以數(shù)據(jù)為中心的安全，保護數(shù)據(jù)的可用性、完整性和機密性。注：本文件是從組織建設、制度流程、技術工具以及人員能力等方面對組織機構的數(shù)據(jù)進行安全保護。3.2數(shù)據(jù)安全能力datasecuritycapability組織機構在組織建設、制度流程、技術工具以及人員能力等方面對數(shù)據(jù)的安全保障能力。3.3安全過程域securityprocessarea實現(xiàn)同一安全目標的一系列數(shù)據(jù)安全相關活動、過程的集合。3.4數(shù)據(jù)脫敏datadesensitization通過模糊化等方法對原始數(shù)據(jù)的處理，達到屏蔽敏感信息的一種數(shù)據(jù)保護方法。3.5數(shù)據(jù)安全審計datasecurityaudit監(jiān)督與持續(xù)改進。13.6數(shù)據(jù)安全被審計對象datasecurityauditobject備相應數(shù)據(jù)安全能力的機構。3.7數(shù)據(jù)安全審計人員datasecurityauditor組成的或聘請第三方專業(yè)數(shù)據(jù)安全機構開展數(shù)據(jù)安全審計的人員?？s略語下列縮略語適用于本文件。ETL(Extract-Transform-Load) 數(shù)據(jù)的抽取、轉(zhuǎn)換、加載數(shù)據(jù)安全審計框架數(shù)據(jù)安全審計原則開展數(shù)據(jù)安全審計時，應遵循，并不僅限于以下原則：針對性原則，數(shù)據(jù)安全審計主要針對數(shù)據(jù)安全運營、數(shù)據(jù)安全風險、數(shù)據(jù)安全事件；合規(guī)性原則，數(shù)據(jù)安全審計流程、范圍、內(nèi)容等，須符合國家、行業(yè)、團體等合規(guī)性規(guī)定；準確性原則，數(shù)據(jù)安全審計過程中，所用到的審計數(shù)據(jù)以及計算分析要準確；保密性原則，數(shù)據(jù)安全審計過程中，審計人員必須簽署保密協(xié)議，并嚴格遵守保密紀律。數(shù)據(jù)安全審計流程主要包括以下階段：審計啟動階段：啟動審計流程環(huán)節(jié)應明確審計的主要指標，包括文檔、設備、技術等；審計規(guī)劃階段：審計過程需要合理的規(guī)劃，制定審計工作的基本流程；審計總結階段：在審計評估達到標準要求后，進行總結并形成數(shù)據(jù)安全審計報告。數(shù)據(jù)安全審計內(nèi)容數(shù)據(jù)安全審計包括數(shù)據(jù)安全運營審計、數(shù)據(jù)安全風險審計和數(shù)據(jù)安全事件審計，如圖1所示：風險監(jiān)控審計；2審計、后置評估審計、持續(xù)改進審計。圖1數(shù)據(jù)安全審計模型數(shù)據(jù)安全審計方法人員審計方法、記錄審計方法和技術審計方法?？棛C構設置、服務范圍及流程、管理制度、相關人員對數(shù)據(jù)安全的認知水平等；員具有相應的工作能力；可追溯；軟硬件工具、系統(tǒng)等。數(shù)據(jù)安全運營審計數(shù)據(jù)采集安全審計數(shù)據(jù)采集安全審計目標對數(shù)據(jù)的收集和獲取的全過程進行審查，確保數(shù)據(jù)采集方法的合規(guī)性和安全性。數(shù)據(jù)安全分類分級組織審計組織機構建設應符合以下要求，包括但不限于：關職責；應對相關人員制定并執(zhí)行相應的數(shù)據(jù)安全培訓，明確工作所需數(shù)據(jù)的分類分級和管理制度等。3人員審計對專業(yè)人員技術能力與業(yè)務能力進行審計，包括但不限于：對負責數(shù)據(jù)安全管理的人員履職能力進行檢查，包括管理能力、技術能力等；應理解數(shù)據(jù)采集的分類分級要求，能夠?qū)?shù)據(jù)分類分級進行合規(guī)性管理。文檔審計數(shù)據(jù)安全分類分級相關的文件和記錄審計，包括但不限于：數(shù)據(jù)安全分類分級相關文件，包括制定、規(guī)定、規(guī)則、管理策略等相關文件；數(shù)據(jù)安全分類分級日常管理記錄，包括表、本、冊等相關記錄；數(shù)據(jù)系統(tǒng)或數(shù)據(jù)安全系統(tǒng)日志及記錄，包括分類分級相關日志、記錄。技術審計采取技術的方式，檢查數(shù)據(jù)分類分級存儲和管理應用等情況，包括但不限于：根據(jù)分類分級規(guī)則識別數(shù)據(jù)的分級使用情況；根據(jù)分類分級規(guī)則識別數(shù)據(jù)庫安全防護情況；根據(jù)分類分級規(guī)則審計數(shù)據(jù)的存儲情況。數(shù)據(jù)收集和獲取組織審計組織機構建設應符合以下要求，包括但不限于：應設立相關崗位和人員，負責審核技術方案及實施監(jiān)督；方式、數(shù)據(jù)類型、涉及個人信息和重要數(shù)據(jù)的合規(guī)性要求等；應建立安全策略變更的審核制度，做好數(shù)據(jù)采集的安全管理工作。人員審計專業(yè)人員技術能力與業(yè)務能力審計，包括但不限于：對數(shù)據(jù)采集相關工作人員進行審計，確保負責人員具有相關工作能力；應理解數(shù)據(jù)采集的合規(guī)要求、安全需求和業(yè)務需求，能夠針對不同的需求提出相應解決方案。文檔審計數(shù)據(jù)采集和獲取的相關文件和記錄審計，包括但不限于：數(shù)據(jù)采集的原則、目的和用途等文件；數(shù)據(jù)采集的對象、范圍以及數(shù)據(jù)來源的可靠性與有效性說明文檔；數(shù)據(jù)采集的渠道、數(shù)據(jù)的格式以及相關的流程和方式；采集用戶數(shù)據(jù)時，與用戶簽訂的數(shù)據(jù)收集協(xié)議或隱私協(xié)議。技術審計對數(shù)據(jù)采集和獲取過程中涉及的接口、系統(tǒng)日志進行分析，確認數(shù)據(jù)采集范疇合規(guī)性。4ETL文檔審計數(shù)據(jù)ETL的相關文件和記錄審計，包括但不限于：ETL抽取、轉(zhuǎn)換和加載操作的相關安全管理規(guī)范；ETL抽取、轉(zhuǎn)換和加載工具平臺的相關日志；執(zhí)行的規(guī)則和方法、相關人員的權限等文件日志。技術審計數(shù)據(jù)ETL過程中涉及的技術審計，包括但不限于：對數(shù)據(jù)處理工具進行審計，應支持不同數(shù)據(jù)源、不同安全域之間數(shù)據(jù)訪問控制；對個人敏感信息、重要數(shù)據(jù)等處理技術進行一致性檢測分析；數(shù)據(jù)庫審計和安全防護系統(tǒng)應能夠同步覆蓋數(shù)據(jù)采集后發(fā)生變化的數(shù)據(jù)范圍。數(shù)據(jù)傳輸安全審計數(shù)據(jù)傳輸安全審計目標對數(shù)據(jù)傳輸安全進行審計，包括但不限于數(shù)據(jù)傳輸加密、數(shù)據(jù)傳輸端點安全、數(shù)據(jù)傳輸通道安全、數(shù)據(jù)傳輸訪問控制，確保數(shù)據(jù)在傳輸過程中的安全性。組織審計組織機構建設應符合以下要求，包括但不限于：應設立相關崗位和人員，負責審核數(shù)據(jù)安全傳輸方案和技術方案的實施；定期對相關人員及管理人員進行技術培訓，及時掌握傳輸安全技術方案并進行部署；應建立安全策略變更的審核制度，做好數(shù)據(jù)傳輸接口的安全管理工作。人員審計專業(yè)人員技術能力與業(yè)務能力審計，包括但不限于：應對相關技術人員能力進行審計，確保其熟悉身份鑒別和認證、數(shù)據(jù)加密等技術；能夠基于具體的業(yè)務場景選擇合適的數(shù)據(jù)傳輸方式，并具備制定場景化解決方案的能力。文檔審計數(shù)據(jù)傳輸形成的相關文件和記錄審計，包括但不限于：安全域內(nèi)、安全域間等數(shù)據(jù)傳輸場景的文檔記錄；數(shù)據(jù)傳輸場景的安全策略文檔，確保具備加密、阻斷等安全管控技術內(nèi)容。技術審計數(shù)據(jù)傳輸過程中涉及的技術審計，包括但不限于：應采用滿足數(shù)據(jù)傳輸安全策略的相應安全控制技術工具，包括安全通道、數(shù)據(jù)加密等；應具備對傳輸通道兩端主體身份進行鑒別和認證的技術工具；應具備對傳輸數(shù)據(jù)完整性進行檢測的能力并擁有執(zhí)行恢復控制的措施。5數(shù)據(jù)存儲安全審計數(shù)據(jù)存儲安全審計目標針對數(shù)據(jù)存儲的安全管理進行審計，確保數(shù)據(jù)在存儲過程中不會遭到泄露或篡改。組織審計組織機構建設應符合以下要求，包括但不限于：應設立負責數(shù)據(jù)存儲系統(tǒng)安全管理的崗位，落實安全管理的要求；護能力。人員審計專業(yè)人員技術能力與業(yè)務能力審計，包括但不限于：應對相關技術人員能力進行審計，確保其熟悉數(shù)據(jù)存儲加密、訪問控制等技術；能夠基于具體的業(yè)務場景選擇合適的數(shù)據(jù)存儲方式，并具備制定場景化解決方案的能力。文檔審計數(shù)據(jù)存儲的相關文件和記錄審計，包括但不限于：制定的數(shù)據(jù)存儲安全規(guī)則，應滿足數(shù)據(jù)完整性、一致性和保密性要求；c)制定的各類數(shù)據(jù)存儲系統(tǒng)的安全配置文件、日志。技術審計數(shù)據(jù)存儲中涉及的技術審計，包括但不限于：c)制定的各類數(shù)據(jù)存儲系統(tǒng)的安全配置文件、日志。技術審計數(shù)據(jù)存儲中涉及的技術審計，包括但不限于：應周期性地備份數(shù)據(jù)，實現(xiàn)對數(shù)據(jù)的冗余性管理，保證副本數(shù)據(jù)的有效性；應基于數(shù)據(jù)存儲的安全性需求和合規(guī)性要求，建立數(shù)據(jù)訪問控制機制；對數(shù)據(jù)庫安全防護系統(tǒng)進行審計，確保安全日志可溯源；應采取數(shù)據(jù)安全加密技術及工具，確保存儲數(shù)據(jù)的合規(guī)性。數(shù)據(jù)處理安全審計數(shù)據(jù)處理安全審計目標對于數(shù)據(jù)處理安全進行審計，確保數(shù)據(jù)在處理過程中的安全性。數(shù)據(jù)分析管理組織和數(shù)據(jù)分析的安全機制，包括但不限于：應建立數(shù)據(jù)分析審核流程機制，確保數(shù)據(jù)處理的安全性與合理性；應設立數(shù)據(jù)分析相關崗位和人員，負責制定和實施數(shù)據(jù)安全分析管理規(guī)則。人員審計專業(yè)人員技術能力與業(yè)務能力審計，包括但不限于：審計相關人員對數(shù)據(jù)分析處理可能存在風險的掌握情況；6b)確認相關人員有能力采取有效措施規(guī)避風險。文檔審計數(shù)據(jù)分析處理過程中的相應文件和記錄審計，包括但不限于：數(shù)據(jù)分析安全管理規(guī)范、對外部分析需求的審核機制；數(shù)據(jù)分析操作日志，確保數(shù)據(jù)計算分析未超出許可范圍。技術審計數(shù)據(jù)分析過程中涉及的技術審計，包括但不限于：對數(shù)據(jù)分析處理過程中數(shù)據(jù)文件鑒別和訪問用戶身份認證等技術進行審計；對數(shù)據(jù)分析處理過程中的調(diào)用、處理的監(jiān)控措施進行審計。數(shù)據(jù)脫敏管理的安全機制，包括但不限于：應建立數(shù)據(jù)脫敏審核機制，確保數(shù)據(jù)脫敏處理的安全性與合理性；應設立數(shù)據(jù)脫敏相關崗位和人員，負責制定和實施數(shù)據(jù)脫敏。人員審計審計相關人員對數(shù)據(jù)脫敏的合規(guī)性及組織內(nèi)部要求的掌握情況；確保相關人員有能力采取執(zhí)行數(shù)據(jù)脫敏操作及監(jiān)督。文檔審計審計相關人員對數(shù)據(jù)脫敏的合規(guī)性及組織內(nèi)部要求的掌握情況；確保相關人員有能力采取執(zhí)行數(shù)據(jù)脫敏操作及監(jiān)督。文檔審計數(shù)據(jù)脫敏處理中的相應文件和記錄審計，包括但不限于：制定的數(shù)據(jù)脫敏規(guī)范或方案，明確不同分類分級數(shù)據(jù)的脫敏處理流程、規(guī)則和方式；數(shù)據(jù)脫敏的記錄，證明采取了適用的數(shù)據(jù)脫敏規(guī)則及方法。技術審計數(shù)據(jù)脫敏處理中涉及的技術審計，包括但不限于：審計數(shù)據(jù)脫敏工具，確保數(shù)據(jù)脫敏與數(shù)據(jù)處理權限的一致性；審計個人數(shù)據(jù)執(zhí)行去標識化處理的措施。數(shù)據(jù)交換安全審計數(shù)據(jù)交換安全審計目標對數(shù)據(jù)交換行為及相關記錄進行審計，確保數(shù)據(jù)導入導出過程中數(shù)據(jù)安全性，包括數(shù)據(jù)交換規(guī)范、安全措施、人員能力、日志記錄等。數(shù)據(jù)交換安全管理的組織機構審計，包括但不限于：7應建有數(shù)據(jù)交換的審核流程，確保沒有超出授權使用范圍；應建立數(shù)據(jù)交換安全管理崗位，負責執(zhí)行相關規(guī)范，監(jiān)督組織機構內(nèi)的執(zhí)行情況。人員審計專業(yè)人員技術能力與業(yè)務能力審計，包括但不限于：審計相關人員對數(shù)據(jù)交換安全管理策略的掌握情況；審計相關人員在不同業(yè)務場景下執(zhí)行相應安全策略的能力。文檔審計數(shù)據(jù)交換的相應文件和記錄審計，包括但不限于：數(shù)據(jù)交換的管理規(guī)范，涉及數(shù)據(jù)類型、數(shù)據(jù)內(nèi)容、數(shù)據(jù)格式及分場景交換管理細則等；數(shù)據(jù)交換的安全策略，包括訪問控制策略、不一致處理策略、流程控制策略、審批策略等；數(shù)據(jù)導入導出的授權記錄、日記記錄等。技術審計數(shù)據(jù)交換過程中涉及的技術審計，包括但不限于：審計數(shù)據(jù)導入導出的訪問控制技術；審計敏感數(shù)據(jù)導入導出過程中采用的加密技術；審計數(shù)據(jù)交換過程中的身份鑒別技術；對數(shù)據(jù)交換安全審計系統(tǒng)、日志系統(tǒng)等進行審查，確保數(shù)據(jù)使用的合規(guī)性；對數(shù)據(jù)交換的通信機制、通道、介質(zhì)等進行技術審查。對數(shù)據(jù)交換安全審計系統(tǒng)、日志系統(tǒng)等進行審查，確保數(shù)據(jù)使用的合規(guī)性；對數(shù)據(jù)交換的通信機制、通道、介質(zhì)等進行技術審查。數(shù)據(jù)發(fā)布組織流程審計，包括但不限于：應建有數(shù)據(jù)發(fā)布審核流程，確保沒有超出授權范圍發(fā)布；應建立數(shù)據(jù)發(fā)布安全管理崗位，負責管理發(fā)布工作，監(jiān)督組織機構內(nèi)的執(zhí)行情況。人員審計專業(yè)人員技術能力與業(yè)務能力審計，包括但不限于：審計相關人員對數(shù)據(jù)發(fā)布制度及審批流程的掌握情況；確認相關人員有能力采取執(zhí)行數(shù)據(jù)發(fā)布操作或監(jiān)督執(zhí)行。文檔審計數(shù)據(jù)發(fā)布的相應技術文檔與記錄審計，包括但不限于：數(shù)據(jù)資源公開發(fā)布的目錄；數(shù)據(jù)資源公開發(fā)布的審核記錄；數(shù)據(jù)資源公開發(fā)布的相關通知、公告、說明、文檔等。技術審計數(shù)據(jù)發(fā)布過程中涉及的技術審計，包括但不限于：8對數(shù)據(jù)發(fā)布平臺中的訪問控制技術進行審計；對數(shù)據(jù)發(fā)布平臺中的審核流程模塊進行審計。數(shù)據(jù)銷毀安全審計數(shù)據(jù)銷毀安全審計目標對數(shù)據(jù)的銷毀進行審計，包括軟件刪除和硬件銷毀兩部分，確保數(shù)據(jù)刪除和銷毀后不可恢復。數(shù)據(jù)刪除組織審計數(shù)據(jù)刪除組織流程審計，包括但不限于：應建有數(shù)據(jù)刪除審核流程，確保沒有超出授權范圍刪除；應建立數(shù)據(jù)刪除安全管理崗位，負責數(shù)據(jù)刪除工作，監(jiān)督組織機構內(nèi)的執(zhí)行情況。人員審計專業(yè)人員技術能力與業(yè)務能力審計，包括但不限于：審計相關人員對數(shù)據(jù)刪除流程的掌握情況；確認相關人員有能力采取執(zhí)行數(shù)據(jù)刪除操作或監(jiān)督執(zhí)行。文檔審計數(shù)據(jù)刪除過程中涉及的文件和記錄審計，包括但不限于：數(shù)據(jù)刪除過程中涉及的文件和記錄審計，包括但不限于：數(shù)據(jù)刪除的管理制度，明確刪除范圍、刪除驗證方式，確保不能恢復已被刪除數(shù)據(jù)；數(shù)據(jù)刪除操作的相應日志。技術審計數(shù)據(jù)刪除過程中涉及的技術審計，包括但不限于：對數(shù)據(jù)刪除的技術工具的有效性進行審計；對數(shù)據(jù)刪除中的審核流程模塊進行審計。介質(zhì)銷毀組織審計介質(zhì)銷毀組織流程審計，包括但不限于：應建有介質(zhì)銷毀管理制度及審核流程，確保沒有超出授權范圍銷毀；應建立介質(zhì)銷毀安全管理崗位，負責介質(zhì)銷毀工作，監(jiān)督組織機構內(nèi)的執(zhí)行情況。人員審計專業(yè)人員技術能力與業(yè)務能力審計，包括但不限于：審計相關人員對介質(zhì)銷毀流程的掌握情況；確保相關人員有能力采取執(zhí)行介質(zhì)銷毀操作或監(jiān)督執(zhí)行。文檔審計介質(zhì)銷毀過程中涉及的相應文件和記錄審計，包括但不限于：9介質(zhì)銷毀的管理制度，應明確介質(zhì)銷毀判定策略、范圍和流程；介質(zhì)銷毀的監(jiān)管機制，應有對銷毀介質(zhì)登記、審批、交接等介質(zhì)銷毀過程記錄；介質(zhì)銷毀操作的記錄。6.6.3.4技術審計對介質(zhì)銷毀工具進行審計，包括物理摧毀、消磁設備等工具的有效性。數(shù)據(jù)安全風險審計組織審計數(shù)據(jù)安全風險管理組織流程審計，包括但不限于：應建有數(shù)據(jù)安全風險管理制度，明確風險識別、評估、應對、監(jiān)控、措施等；應建有數(shù)據(jù)安全風險防控流程，明確對不同風險等級的風險防控措施、流程；應建立數(shù)據(jù)安全風險管理崗位，明確風險管理工作任務，監(jiān)督組織機構內(nèi)的執(zhí)行情況。人員審計專業(yè)人員技術能力與業(yè)務能力審計，包括但不限于：審計相關人員對數(shù)據(jù)安全風險管理制度、風險評估合規(guī)性等內(nèi)容的掌握情況；確保相關人員有能力執(zhí)行數(shù)據(jù)安全風險管理相關工作，能夠應對風險提出有效解決方案。文檔審計文檔審計對數(shù)據(jù)安全風險管理涉及的制度、文件、工作記錄等內(nèi)容的審計。風險識別審計對數(shù)據(jù)安全風險識別的記錄、報告等進行審計，確保其能夠有效識別組織內(nèi)部及外部風險。風險評估審計風險工作建議的有效性、針對性。風險應對審計審計數(shù)據(jù)安全風險分級應對策略、研判工作記錄、應急指揮記錄。風險監(jiān)控審計應建立科學完善的風險策略和管控流程，確保數(shù)據(jù)全生命周期的風險管控具有制度保障。風險策略應用審計安全風險。10數(shù)據(jù)安全事件審計組織審計數(shù)據(jù)安全事件組織管理審計，包括但不限于：應建有數(shù)據(jù)安全事件管理制度，明確事件定級評估、應急人員、處置措施和應急工具等；應建立數(shù)據(jù)安全事件處置的指揮體系，明確管理組織架構、應急技術隊伍架構；應建立數(shù)據(jù)安全事件處置崗位，明確工作任務。人員審計專業(yè)人員技術能力與業(yè)務能力審計，包括但不限于：審計相關人員對數(shù)據(jù)安全事件管理制度、事件定級、應急流程、處置措施等內(nèi)容的掌握情況；確保相關人員有能力執(zhí)行數(shù)據(jù)安全事件處置相關工作，評估其專業(yè)能力和安全意識。文檔審計對數(shù)據(jù)安全事件涉及的制度、報告、工作記錄等內(nèi)容的審計。預案規(guī)劃審計對數(shù)據(jù)安全事件應急預案內(nèi)容進行審計，確保預案的操作性、時效性，包括