信息技術服務治理數據審計Informationtechnologyservice-Governance-Data2020-03-01發布2020-09-01實施I版權保護文件版權所有歸屬于該標準的發布機構，除非有其他規定，否則未經許可，此發行物及其章節不得以其他形式或任何手段進行復制、再版或使用，包括電子版，影印件，或發布在互聯網及內部網絡等。使用許可可于發布機構獲取。 II Y....…................. 2 2 24.3審計依據 3 34.6審計質量控制 4.7審計業務類型 4 4 47.3數據治理一般控制審計 7 8 8 9 9 9 11數據審計報告 本標準按照GB/T1.1-2009給出的規則起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的責任。本標準由中國電子技術標準化研究院提出。本標準由中國電子技術標準化研究院、中國電子工業標準化技術協會歸口。本標準起草單位：上海谷航信息科技發展有限公司、中國電子技術標準化研究院、國信優易數據有限公司、上海軟中信息技術有限公司、北京賽迪認證中心有限公司、無錫農村商業銀行股份有限公司、江蘇江陰農村商業銀行股份有限公司、四川久遠銀海軟件股份有限公司、上海瀚緯信息科技有限公司、廣州賽寶聯睿信息科技有限公司、神州數碼系統集成服務有限公司、萬達信息股份有限公司、上海安言信息技術有限公司、北京易服務信息技術有限公司、廣東鑫盟管理咨詢有限公司、上海計算機軟件技術開發中心、首都信息發展股份有限公司、上海華訊網絡系統有限公司、北京中軟國際信息技術有限公司。本標準參加起草單位：北京國家會計學院、上海市衛生健康委員會、國家計算機網絡與信息安全管理中心上海分中心、上海交通大學、上海市衛生健康信息中心、東北農業大學。本標準主要起草人：方健、張鳳玲、俞文平、郭鑫偉、趙丹丹、宋俊典、馬烈、王春濤、楊軍、張樹玲、施勇、戴沁蕓、浦軼華、胡海燕、謝樺、陳宏峰、孫佩、李光亞、鄭晨光、黃建新、張明英、周鵬、黃建文、宋躍武、肖筱華、錢偉峰、謝斌、何敬任、顏珠、姜亮、孫翊威、米昂、陳雯、朱永佳、王萌、俞麗平、居琰、曹劍峰、周鵬程、王錚、廖偉、楊琳、張娜、李彩虹、于宏志、陳昌杰、秦峰、高洪美、韓佳赟、王安妮、李晨光、李俊彥、李易、楊明。1信息技術服務治理數據審計本標準規定了數據審計總則、數據審計組織管理、數據審計人員、數據內部控制審計、審計流程、審計系統、審計報告等內容。本部分適用于：a)組織治理主體實施數據審計監督職能；b)建立或完善組織的數據審計體系及相關平臺；c)明確組織數據審計過程中的相關要求；d)規范組織數據審計業務的開展及相關平臺的建設；e)第三方或其他相關機構開展數據審計的指導f)建立或未建立內部數據審計機構的組織，均可聘請第三方依據本標準的相關要求開展數據審計。各級各類信息化主管部門、監管機構及審計監督機構，可根據法律法規、部門規章的要求，使用本標準對所管轄各類組織的數據審計提出要求，并進行監督。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T34960.1信息技術服務治理第1部分：通用要求GB/T34960.4信息技術服務治理第4部分：審計導則GB/T34960.5信息技術服務治理第5部分：數據治理規范3術語和定義數據data所有能輸入到計算機并被計算機程序處理的符號介質的總稱，是用于輸入電子計算機進行處理，具有一定意義的數字、字母、符號和模擬量等的通稱。數據審計dataaudit根據數據審計依據的要求，對數據本身以及與其形成過程相關的內部控制和流程進行檢查、評價，并發表審計意見。信息技術審計informationtechnologyaudit(ITaudit)根據IT審計標準的要求，對信息系統及相關的IT內部控制和流程進行檢查、評價，并發表審計意2數據治理一般控制審計datagovernancegeneralcontrol數據治理應用內部控制datagovernanceapplicationinternalcontrol控制。數據治理應用內部控制審計datagovernanceapplicationinternal4數據審計總則4.1審計與治理的關系數據治理是IT治理的一部分，數據審計是IT審計的一部分。組織的IT審計與治理的關系要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。4.2審計結構及其關系數據審計是IT審計的一部分，組織的IT審計結構及其關系要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。4.3審計依據d)組織內部IT與數據相關規范及標準；3e)國際IT與數據相關標準；f)國內外IT與數據最佳實踐。4.4審計方法組織的數據審計方法要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。4.5審計技術組織的數據審計技術要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。4.6審計質量控制組織的數據審計質量控制要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。4.7審計業務類型數據審計業務類型包括數據治理內部控制專項審計和數據特定領域專項審計。數據治理內部控制專項審計是為了綜合評價組織數據治理控制目標實現過程而進行的審計；數據特定領域專項審計是組織根據外部要求及內部特殊需要而進行的審計。數據審計業務可作為獨立的審計項目實施，或作為綜合性審計項目的組成部分組織實施。當數據審計業務作為綜合性審計項目的一部分時，數據審計人員在進行審計計劃時應考慮項目審計目標及要求，在審計實施過程中應及時與其他相關審計人員溝通數據審計中的發現，并考慮依據數據審計結果調整其他相關審計的范圍、時間及性質。數據審計人員應當以風險導向為基礎開展審計，風險評估應當貫穿于審計的全過程。4.8審計工作的執行組織的審計工作執行要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。4.9審計方式審計方式是指利用計算機輔助審計技術、大數據技術、人工智能技術等手段開展的審計，包括現場審計和遠程審計。5數據審計組織管理數據審計組織管理通用要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》,同時還a)為數據審計開展創造必要的環境；b)明確審計機構的職責和權力；c)在審計章程中明確數據審計的相關要求；d)制定數據審計相關制度、流程及操作規程等；e)建立數據審計系統；f)制定數據審計戰略規劃。6數據審計人員4計人員應具備數據審計資質。數據審計與IT審計具有一定的關聯關系。組織的IT審計人員要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》,組織的數據審計人員要求包括但不限于：a)職業道德，包括誠實、守信、正確履行職責及保守保密等；b)知識、技能、資質和經驗，包括掌握與審計、業務、IT、數據治理與管理、數據審計等方面的c)專業勝任能力，包括具備相應的數據審計專業勝任能力、擁有與所處管理或業務崗位相適應的7.1總則是組織常規審計內容的一部分。組織宜依據GB/T34960.5《信息技術服務治理第5部分：數據治理規a)組織遵循的數據治理原則；b)數據治理戰略、IT戰略與業務戰略的一致性；c)決策層的數據風險偏好及風險容忍度；d)數據治理與管理的職責分工和制衡機制；e)數據治理內部控制的監督機制；f)數據治理內部控制機構的設置、職責與權限；g)內部審計機構設置、人員配備和工作獨立性；i)決策層對組織數據風險概況及如何應對的了解程度。a)數據治理風險管理目標和策略；b)數據治理風險管理原則；c)數據治理風險組織管理，包括組織架構、責任人、角色、職責和權限等；f)數據風險識別、風險分析、風險評價及風險處置的執行情況；h)數據資產所有者的職責。57.2.3控制活動a)數據治理控制政策與流程；c)數據治理預算控制；e)數據治理資產保護；g)數據治理不相容職責分離。a)戰略規劃控制措施的合理性、有效性；b)組織構建控制措施的合理性、有效性；c)架構設計控制措施的合理性、有效性。7.2.3.3數據治理域a)數據管理體系建設控制措施的合理性、有效性；b)數據價值體系建設控制措施的合理性、有效性。b)構建和運行控制措施的合理性、有效性；c)監控和評價控制措施的合理性、有效性；d)改進和優化控制措施的合理性、有效性。7.2.4信息與溝通a)與數據治理相關的信息系統架構，以及對決策與業務的支持度；b)決策層有關數據治理的信息溝通模式；c)數據治理戰略、政策及制度等方面的傳達與溝通的連續性、完整性及有效性；d)組織對數據治理風險內部控制所需要信息的明確；e)組織與外部的信息溝通模式及方案。6b)數據治理監控管理報告系統、監控反饋、跟蹤處理程序；c)數據治理內部控制的自我評估機制；d)已按規定要求開展數據治理審計工作；e)組織對數據治理風險控制的監督、自我評估及整改情況。a)數據治理控制政策與流程；f)不相容職責分離。7.3.2采購管理組織的數據治理一般控制采購管理審計要求見GB/T34960.4《信息技術服務治理第4部分：審7.3.3項目整體管理組織的數據治理一般控制項目整體管理審計要求見GB/T34960.4《信息技術服務治理第4部分：7.3.4數據治理信息系統開發管理a)組織模式；c)過程管理。a)配置管理；b)構建與持續集成；d)配置與發布管理。b)物理環境；7h)備份與恢復管理；i)應急及災備管理；j)安全管理。7.3.7其他相關控制數據治理一般控制中的其他相關控制審計要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。7.4數據治理應用控制審計7.4.1通用要求審計數據治理應用控制的通用要求時，審計范圍包括但不限于：a)應用控制政策與流程；b)應用授權與審批控制；c)信息記錄與報告；d)資產保護；e)績效考核；f)不相容職責分離。7.4.2數據治理信息系統應用組織管理審計數據治理信息系統的組織管理時，審計范圍包括但不限于：a)組織結構，包括組織架構設置、部門及崗位職責等；b)用戶管理，包括用戶賬號及權限等；c)參數管理，包括參數設置的范圍與依據、參數調整的授權與審批及參數調整的日志記錄等；d)操作管理，包括操作環境、功能使用、操作要求等；e)網絡與信息安全管理，包括網絡安全、系統應用環境安全、操作安全、介質與文檔安全、數據脫敏等；f)事件管理，包括事件記錄、上報、處理、跟蹤與監控等；g)問題管理，包括問題的確定、記錄、分類、處理、解決及跟蹤等；h)文檔與數據管理，包括文檔與數據介質的生成、分類、歸檔、保存、調用及銷毀等；i)績效考核與獎懲，包括績效考核指標、評價方法、評價結果及獎懲措施等。7.4.3數據治理信息系統數據流程設計審計數據治理信息系統數據流程控制時，審計范圍包括但不限于：a)數據流程設計的完備性；b)數據流程處理的正確性和控制的有效性；c)數據治理信息系統功能的合理性。7.4.4數據采集、處理及輸出審計數據采集、處理及輸出時，審計范圍包括但不限于：a)數據采集控制，包括數據導入、修改、刪除、校驗、備份的恢復、權限控制及錯誤處理機制等；b)數據處理控制，包括數據清洗、數據轉換、數據整理、數據計算、數據匯總控制及錯誤處理機c)數據輸出控制，包括輸出外設、輸出范圍和內容、輸出信息分發、保存和訪問、備份、權限控制及錯誤處理機制等。87.4.5系統接口與信息共享7.4.5.1系統接口審計系統接口時，審計范圍包括但不限于：a)系統接口標準；b)接口/轉換控制，包括數據采集、校驗、轉換、傳輸、權限控制及錯誤處理機制等。7.4.5.2信息共享審計信息共享時，審計范圍包括但不限于：a)共享信息分類；b)共享信息的控制。7.4.6數據質量審計數據質量時，審計范圍包括但不限于：a)數據質量管理，包括數據質量管理的組織、制度、流程及控制執行等；b)數據質量，包括完整性、準確性、有效性、合法性、一致性等。8數據特定領域專項審計數據特定領域專項審計是組織根據外部要求及內部特殊需要而進行的審計。數據特定領域專項審計是組織常規審計內容的一部分。數據特定領域專項審計包括(但不限于)數據庫管理專項審計、外部數據管理專項審計、業務數據管理專項審計、數據生存周期管理專項審計、數據應用管理專項審計、數據安全管理專項審計、云數據管理專項審計、數據合規管理專項審計、數據治理績效專項審計、數據質量管理專項審計及數據資產管理專項審計等。8.2數據庫管理專項審計數據庫管理專項審計是指針對存儲數據的數據庫管理開展專項審計，審計范圍包括但不限于：a)數據庫管理目標、方針和策略；b)數據庫組織管理，包括組織架構、責任人、角色、職責和權限等；c)數據庫管理制度和流程；d)業務需求說明書；e)數據庫架構設計方案；f)數據結構的規范性、合理性；g)數據標準；h)數據庫管理風險評估與審計機制的建立。8.3外部數據管理專項審計外部數據管理專項審計是指針對從組織外部獲取數據的管理開展專項審計，審計范圍包括但不限于：a)外部數據管理目標、方針和策略；b)外部數據組織管理，包括組織架構、責任人、角色、職責和權限等；c)外部數據管理制度和流程；d)外部數據來源的合理性、合規性；9e)外部數據安全的分級分類和保護機制；g)外部數據生存周期管理，包括數據獲取、處理、使用、存儲、傳輸及銷毀等；8.4業務數據管理專項審計a)業務數據管理目標、方針和策略；b)業務數據組織管理，包括組織架構、責任人、角色、職責和權限等；c)業務數據管理制度和流程；d)業務數據安全的分級分類和保護機制；e)業務數據獲取方式和來源的可靠性；f)業務數據敏感信息的保護機制；g)業務數據標準與模型；h)數據的合規與隱私保護；i)業務數據質量，包括完整性、準確性、有效性、合法性、一致性等；j)業務數據生存周期，包括數據獲取、處理、使用、存儲、傳輸及銷毀等；k)業務數據應用領域的規范性、合理性；1)業務數據風險評估與審計機制的建立。8.5數據生存周期管理專項審計a)數據生存周期管理目標、方針和策略；b)數據生存周期組織管理，包括組織架構、責任人、角色、職責和權限等；c)數據生存周期管理制度，包括數據質量、數據安全、數據模型、數據標準及元數據等；d)數據生存周期管理流程，包括數據獲取、處理、使用、存儲、傳輸及銷毀等；e)數據生存周期管理風險評估與審計機制的建立。a)數據應用管理目標、方針和策略；b)數據應用組織管理，包括組織架構、責任人、角色、職責和權限等；c)數據應用管理制度和流程；d)數據應用安全的分級分類和保護機制；e)數據的合規與隱私保護；f)數據應用相關標準與模型；h)數據應用個人信息的保護機制；j)數據應用生存周期管理，包括數據獲取、處理、使用、存儲、傳輸及銷毀等；1)數據應用風險評估與審計機制的建立。8.7數據安全管理專項審計數據安全管理專項審計是指針對數據安全的管理開展專項審計，審計范圍包括但不限于：a)數據安全管理目標、方針和策略；b)數據安全組織管理，包括組織架構、責任人、角色、職責和權限等；c)數據安全管理制度、流程；d)數據的分級分類和保護機制；e)數據標準與數據模型；f)數據安全事件管理；g)人力資源安全；h)安全教育和培訓；i)物理安全；j)系統開發安全；k)網絡安全；m)操作系統安全；n)應用系統安全；o)數據生存周期的安全，包括數據的獲取、處理、使用、存儲、傳輸及銷毀安全等；p)數據供方安全管理；q)數據安全風險評估與審計機制。8.8云數據管理專項審計云數據管理專項審計是指針對云端數據的管理開展專項審計，審計范圍包括但不限于：a)云數據管理目標、方針和策略；b)云數據組織管理，包括組織架構、責任人、角色、職責和權限等；c)云數據管理制度和流程；d)云數據標準與云數據模型；e)云數據的分級分類和保護機制；f)云數據的合規與隱私保護；g)云數據質量，包括數據完整性、準確性、有效性、合法性、一致性等；h)云數據生存周期，包括數據的獲取、處理、使用、存儲、傳輸及銷毀等；i)云數據的安全管理；j)云數據應用領域的規范性、合理性；k)云數據風險評估與審計機制的建立。8.9數據合規管理專項審計數據合規管理專項審計是指針對數據合規的管理開展專項審計，審計范圍包括但不限于：a)數據合規納入組織合規管理的情況；b)數據合規性管理目標、方針和策略；c)數據合規組織管理，包括組織架構、責任人、角色、職責和權限等；d)數據合規管理制度與流程；e)數據標準與數據模型的合規；f)數據邊界相關的合規性；h)數據合規風險評估與審計機制的建立。a)數據治理績效管理目標、方針和策略；b)數據治理績效組織管理，包括組織架構、責任人、角色、職責和權限等；c)數據治理績效管理制度與流程；e)數據治理績效考核步驟；h)數據治理風險評估與審計機制的建立。數據質量管理專項審計是指針對數據質量的管理開展專項審計，審計范圍包a)數據質量管理目標、方針和策略；b)數據質量組織管理，包括組織架構、責任人、角色、職責和權限等；c)數據質量管理制度與流程；d)數據質量管理的資源保障；e)數據生存周期的安全性、可靠性和有效性；h)數據質量管理風險評估與審計機制的建立。8.12數據資產管理專項審計a)數據資產管理目標、方針和策略；c)數據資產組織管理，包括組織架構、責任人、角色、職責和權限等；e)數據資產管理過程；g)數據資產安全；h)數據資產管理內外部環境及技術資源保障等；i)數據資產管理風險評估與審計機制的建立。9數據審計流程數據審計流程要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。數據審計系統屬于GB/T34960.4《信息技術服務治理第4部分：審計導則》中審計平臺的一部a)數據審計系統規模應與組織業務復雜程度、信息技術依賴程度等相匹配；b)數據審計系統組織管理，包括組織架構、責任人、角色、職c)數據審計系統管理制度與流程；d)數據審計系統建設，包括建設方式、立項、需求、設計、開發、測試、驗收及上線等管理；f)數據審計系統運行，包括基礎設施管理、網絡與信息安全管理、事件管理及問題管理等。數據審計報告要求見GB/T34960.4《信息技術服務治理第4部分：審計導則》。[1]GB/T19001-2016質量管理體系[2]GB/T26317-2010公司治理風險管理指南[3]GB/T29264-2012信息技術服務分類與代碼[4]GB/T20269-2006信息安全技術信息系統安全管理要求[5]GB/T20984-2007信息安全技術信息安全風險評估規范[6]GB/T22080-2016信息技術安全技術信息安全管理體系要求[7]GB/T22081-2016信息技術安全技術信息安全控制實踐指南[8]GB/T22239-2019信息安全技術網絡安全等級保護基本要求[9]GB/T20984-2007信息安全技術信息安全風險評估規范[10]GB/T20918-2007信息技術軟件生存周期過程風險管理[11]GB/T24353-2009風險管理原則與實施指南[14]GB/T31509-2015信息安全技術信息安全風險評估實施指南[15]GB/T33132-2016信息安全技術信息安全風險處理實施指南[16]GB/T34960.1-2017信息技術服務治理第1部分：通用要求[17]GB/T34960.2-2017信息技術服務治理第2部分：實施指