數(shù)據(jù)安全審計(jì)

數(shù)據(jù)安全審計(jì)

隨著新技術(shù)的快速發(fā)展，數(shù)據(jù)的增長(zhǎng)和流動(dòng)越來(lái)越頻繁，數(shù)據(jù)安全審計(jì)變得越來(lái)越重要。數(shù)據(jù)安全審計(jì)包括對(duì)日常數(shù)據(jù)和大數(shù)據(jù)、個(gè)人信息和重要數(shù)據(jù)等方面的審計(jì)。數(shù)據(jù)安全治理審計(jì)是其中的重要內(nèi)容，包括董事會(huì)的職責(zé)、戰(zhàn)略規(guī)劃與價(jià)值實(shí)現(xiàn)、數(shù)據(jù)安全合規(guī)管理、數(shù)據(jù)風(fēng)險(xiǎn)管理和數(shù)據(jù)安全審計(jì)監(jiān)督。這些控制項(xiàng)旨在檢查組織是否建立健全的數(shù)據(jù)安全管理制度體系，滿(mǎn)足合規(guī)監(jiān)管要求，并將數(shù)據(jù)安全審計(jì)工作納入安全審計(jì)體系范疇內(nèi)。數(shù)據(jù)安全風(fēng)險(xiǎn)涉及面較廣，組織需要從數(shù)據(jù)、人員、產(chǎn)品與服務(wù)等方面建立并完善數(shù)據(jù)安全風(fēng)險(xiǎn)管理體系。一旦數(shù)據(jù)的機(jī)密性、完整性和可用性受到損害，將不能支撐組織業(yè)務(wù)的健康運(yùn)行。因此，持續(xù)性開(kāi)展數(shù)據(jù)安全審計(jì)已成為信息系統(tǒng)審計(jì)的重要內(nèi)容。1.由于缺乏數(shù)據(jù)安全治理組織架構(gòu)及職責(zé)，無(wú)法有序推動(dòng)數(shù)據(jù)安全治理工作。因此，建立組織級(jí)數(shù)據(jù)戰(zhàn)略規(guī)劃變得尤為重要，這可以有效覆蓋網(wǎng)絡(luò)安全法及等級(jí)保護(hù)等相關(guān)法規(guī)與標(biāo)準(zhǔn)的要求，指明數(shù)據(jù)整體的發(fā)展目標(biāo)和規(guī)劃，有利于數(shù)據(jù)長(zhǎng)遠(yuǎn)發(fā)展。同時(shí)，制定數(shù)據(jù)安全相關(guān)管理制度及流程也是必要的，以確保數(shù)據(jù)安全管控要求得以有效落實(shí)。此外，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估需要執(zhí)行到位，以識(shí)別出重要的數(shù)據(jù)安全風(fēng)險(xiǎn)，從而持續(xù)優(yōu)化數(shù)據(jù)安全治理體系。2.在審計(jì)中，董事會(huì)的職責(zé)包括檢查組織董事會(huì)和執(zhí)行管理部門(mén)職責(zé)，明確數(shù)據(jù)安全治理職責(zé)并對(duì)其安全治理予以承諾和支持，提供保障。此外，董事會(huì)還需要查閱組織數(shù)據(jù)治理的規(guī)章制度，判斷其治理目標(biāo)是否與組織戰(zhàn)略、業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)目標(biāo)、業(yè)務(wù)需求相一致。檢查組織是否建立跨部門(mén)的數(shù)據(jù)安全管理委員會(huì)和風(fēng)險(xiǎn)管理委員會(huì)，明確安全治理的角色和責(zé)任。還需要檢查組織是否建立基于滿(mǎn)足業(yè)務(wù)戰(zhàn)略的數(shù)據(jù)架構(gòu)，并進(jìn)行持續(xù)的評(píng)估、監(jiān)督和改進(jìn)。最后，訪(fǎng)談組織信息科技治理負(fù)責(zé)人，了解組織是否已經(jīng)或即將部署云服務(wù)平臺(tái)，以及是否將基于云平臺(tái)中的數(shù)據(jù)安全治理列入主要治理目標(biāo)和任務(wù)當(dāng)中。3.戰(zhàn)略規(guī)劃與價(jià)值實(shí)現(xiàn)也是審計(jì)的重要內(nèi)容。訪(fǎng)談戰(zhàn)略規(guī)劃負(fù)責(zé)人或查閱組織經(jīng)營(yíng)戰(zhàn)略規(guī)劃，判斷數(shù)據(jù)戰(zhàn)略規(guī)劃是否滿(mǎn)足經(jīng)營(yíng)戰(zhàn)略需要。查閱組織數(shù)據(jù)戰(zhàn)略規(guī)劃，判斷其戰(zhàn)略?xún)?nèi)容是否與組織數(shù)據(jù)治理目標(biāo)相一致，包括數(shù)據(jù)服務(wù)戰(zhàn)略、數(shù)據(jù)平臺(tái)與應(yīng)用戰(zhàn)略，且戰(zhàn)略規(guī)劃內(nèi)容是否涉及數(shù)據(jù)安全，體現(xiàn)《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級(jí)保護(hù)等制度對(duì)于數(shù)據(jù)安全的相關(guān)要求。訪(fǎng)談信息系統(tǒng)戰(zhàn)略規(guī)劃負(fù)責(zé)人，了解組織信息化及信息安全戰(zhàn)略規(guī)劃要求，判斷數(shù)據(jù)安全戰(zhàn)略是否與信息系統(tǒng)安全戰(zhàn)略和需求相一致。此外，查閱數(shù)據(jù)安全戰(zhàn)略規(guī)劃，判斷其是否體現(xiàn)組織對(duì)于個(gè)人信息（隱私）保護(hù)和重要數(shù)據(jù)保護(hù)治理方面的要求。4.在數(shù)據(jù)安全合規(guī)管理方面，審計(jì)需要查閱組織制定的與數(shù)據(jù)管理相關(guān)的制度與規(guī)范，以判斷其是否符合數(shù)據(jù)安全相關(guān)的政策、法律、法規(guī)等各項(xiàng)監(jiān)管要求。首先，需要檢查組織的數(shù)據(jù)安全管理制度和規(guī)范是否涵蓋國(guó)家和社會(huì)生產(chǎn)的重要數(shù)據(jù)的安全管理要求，個(gè)人信息的保護(hù)要求，數(shù)據(jù)跨境傳輸與共享的安全管理要求，以及密碼使用要求。這樣可以確保組織在數(shù)據(jù)安全管理方面符合相關(guān)法規(guī)和標(biāo)準(zhǔn)。其次，需要訪(fǎng)談組織風(fēng)險(xiǎn)管理負(fù)責(zé)人，了解組織是否將數(shù)據(jù)風(fēng)險(xiǎn)管理納入組織風(fēng)險(xiǎn)管理體系當(dāng)中，重點(diǎn)關(guān)注數(shù)據(jù)、人員、產(chǎn)品/服務(wù)三個(gè)方面，并建立數(shù)據(jù)安全內(nèi)控體系。對(duì)于數(shù)據(jù)方面，需要以數(shù)據(jù)生命周期為出發(fā)點(diǎn)，識(shí)別全周期面臨的威脅和自身脆弱性，分析數(shù)據(jù)服務(wù)安全風(fēng)險(xiǎn)和應(yīng)對(duì)措施需求。對(duì)于人員方面，需要基于員工日常數(shù)據(jù)操作行為，識(shí)別風(fēng)險(xiǎn)并建立風(fēng)險(xiǎn)量化機(jī)制和信息安全評(píng)價(jià)指標(biāo)體系。對(duì)于產(chǎn)品/服務(wù)方面，需要以對(duì)個(gè)人信息和重要數(shù)據(jù)保護(hù)為目的，構(gòu)建產(chǎn)品/服務(wù)提供商在組織、規(guī)范、設(shè)計(jì)、流程、監(jiān)控等一系列的安全風(fēng)險(xiǎn)評(píng)價(jià)體系和控制機(jī)制。此外，需要訪(fǎng)談組織審計(jì)負(fù)責(zé)人或信息安全審計(jì)負(fù)責(zé)人，了解組織是否將數(shù)據(jù)安全管理審計(jì)納入到組織安全審計(jì)管理體系內(nèi)，并了解組織對(duì)數(shù)據(jù)服務(wù)及其用戶(hù)操作行為審計(jì)的方法和內(nèi)容。還需要查閱組織有關(guān)數(shù)據(jù)安全審計(jì)的制度和規(guī)范，了解針對(duì)數(shù)據(jù)安全審計(jì)的方法、頻率和周期，并查閱相關(guān)審計(jì)報(bào)告。最后，需要對(duì)數(shù)據(jù)安全管理進(jìn)行審計(jì)監(jiān)督，包括檢查組織為落實(shí)數(shù)據(jù)安全治理工作及其戰(zhàn)略規(guī)劃，是否從組織層面設(shè)置跨部門(mén)的數(shù)據(jù)安全管理機(jī)構(gòu)及負(fù)責(zé)人，明確安全管理職責(zé)；基于組織對(duì)數(shù)據(jù)安全管理的要求和需求，從人員安全管理、資源建設(shè)與技能培養(yǎng)、職責(zé)落實(shí)與考核等三方面進(jìn)行檢查，判斷人員綜合管理的落實(shí)情況；從制度層面檢查組織是否制定并完善數(shù)據(jù)安全管理的制度體系及其落實(shí)情況；從元數(shù)據(jù)的安全管理角度，檢查組織是否建立完善的元數(shù)據(jù)安全管理規(guī)范，并從技術(shù)層面予以安全保障；從數(shù)據(jù)平臺(tái)（系統(tǒng)）管理角度，檢查組織是否對(duì)平臺(tái)（系統(tǒng)）及其管理之下的數(shù)據(jù)制定相應(yīng)的安全規(guī)范與標(biāo)準(zhǔn)，實(shí)現(xiàn)統(tǒng)一管理，并與組織經(jīng)營(yíng)戰(zhàn)略中的安全需求相一致；最后，從服務(wù)接口安全管理方面進(jìn)行檢查，確保組織的服務(wù)接口安全得到有效保障。該控制項(xiàng)旨在從服務(wù)接口角度，檢查組織是否制定了完善的接口安全管理制度和規(guī)范，并采用技術(shù)手段保障接口間數(shù)據(jù)傳輸?shù)陌踩浴Ｔ摽刂祈?xiàng)旨在從供應(yīng)鏈安全管理角度，檢查組織是否制定了相關(guān)管理規(guī)范，以滿(mǎn)足合規(guī)監(jiān)管要求，特別是在存在上下游數(shù)據(jù)交換的情況下。該控制項(xiàng)旨在從審計(jì)角度，檢查組織是否落實(shí)了數(shù)據(jù)安全審計(jì)和監(jiān)督的要求，對(duì)組織的數(shù)據(jù)服務(wù)開(kāi)展安全審計(jì)，同時(shí)確保符合國(guó)家對(duì)于日志管理的安全合規(guī)要求。（三）常見(jiàn)問(wèn)題和風(fēng)險(xiǎn)1.缺乏數(shù)據(jù)安全組織架構(gòu)及責(zé)任人，導(dǎo)致數(shù)據(jù)安全管控要求無(wú)法落實(shí)。2.未定期開(kāi)展數(shù)據(jù)安全意識(shí)宣貫，由于安全意識(shí)不足，導(dǎo)致數(shù)據(jù)不經(jīng)意的泄露。3.元數(shù)據(jù)安全管控不到位，導(dǎo)致元數(shù)據(jù)血緣關(guān)系模糊、可追溯性不強(qiáng)，影響元數(shù)據(jù)與數(shù)據(jù)標(biāo)準(zhǔn)的結(jié)合。4.未部署數(shù)據(jù)管控平臺(tái)，無(wú)法對(duì)數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量、元數(shù)據(jù)進(jìn)行規(guī)范化管控和技術(shù)實(shí)現(xiàn)。5.數(shù)據(jù)服務(wù)接口與應(yīng)用在內(nèi)部跨安全域間的接口調(diào)用未采用安全通道、加密傳輸?shù)劝踩珯C(jī)制，可能帶來(lái)風(fēng)險(xiǎn)。6.未建立數(shù)據(jù)供應(yīng)鏈安全管理方針，無(wú)法落實(shí)上下游供應(yīng)鏈間數(shù)據(jù)交換和使用的要求，不利于供應(yīng)商之間的數(shù)據(jù)交換與共享。（四）審計(jì)的主要方法和程序1.數(shù)據(jù)安全組織管理（1）訪(fǎng)談組織人力管理部門(mén)或信息安全管理部門(mén)負(fù)責(zé)人，了解組織是否設(shè)置了專(zhuān)門(mén)的數(shù)據(jù)安全管理機(jī)構(gòu)和責(zé)任人，以及相關(guān)的部門(mén)和崗位。（2）訪(fǎng)談數(shù)據(jù)安全管理機(jī)構(gòu)負(fù)責(zé)人，了解組織是否制定了與數(shù)據(jù)安全相關(guān)的規(guī)章制度，包括數(shù)據(jù)服務(wù)安全追責(zé)等，并定期對(duì)責(zé)任部門(mén)和安全崗位組織安全檢查，形成檢查報(bào)告；同時(shí)了解組織目前數(shù)據(jù)及其服務(wù)平臺(tái)與應(yīng)用的安全規(guī)劃、安全建設(shè)、安全運(yùn)營(yíng)和系統(tǒng)維護(hù)工作整體情況；清楚地界定服務(wù)提供者、數(shù)據(jù)使用者（包括終端用戶(hù)與設(shè)備）；是否設(shè)置專(zhuān)職的數(shù)據(jù)服務(wù)安全崗位，建立規(guī)范化的數(shù)據(jù)服務(wù)安全保護(hù)、評(píng)估及考核專(zhuān)職隊(duì)伍。2.人員安全管理（1）訪(fǎng)談人力資源管理和數(shù)據(jù)安全管理負(fù)責(zé)人，了解組織是否基于數(shù)據(jù)生命周期各階段數(shù)據(jù)服務(wù)和系統(tǒng)服務(wù)相關(guān)的工作范疇和安全管控措施，制定數(shù)據(jù)服務(wù)人力資源安全策略。（2）訪(fǎng)談數(shù)據(jù)安全管理負(fù)責(zé)人，了解是否明確了數(shù)據(jù)服務(wù)相關(guān)重要崗位及其角色安全要求，建立重要崗位角色清單和授權(quán)機(jī)制。（3）訪(fǎng)談人力資源管理負(fù)責(zé)人，了解是否就數(shù)據(jù)安全管理的關(guān)鍵崗位做好人力資源培養(yǎng)和儲(chǔ)備工作。3.人員管理在訪(fǎng)談人力資源管理負(fù)責(zé)人時(shí)，需要了解組織是否為所有接觸敏感信息的全職員工簽署了保密協(xié)議，并抽檢保密協(xié)議和制度知曉的記錄。此外，還需要了解組織是否建立了第三方人員安全管理制度，對(duì)接觸個(gè)人信息、重要數(shù)據(jù)等數(shù)據(jù)的人員進(jìn)行審批和登記，并定期對(duì)這些人員行為進(jìn)行安全審查。另外，需要檢查組織是否建立了數(shù)據(jù)安全教育培訓(xùn)機(jī)制，分別針對(duì)數(shù)據(jù)操作人、數(shù)據(jù)安全管理人員和第三方人員制定培訓(xùn)計(jì)劃，并定期對(duì)全員進(jìn)行能力檢查和考核。這些考核應(yīng)該納入到個(gè)人與組織的績(jī)效考核體系當(dāng)中。4.制度與規(guī)范管理在制度與規(guī)范管理方面，需要調(diào)閱并檢查組織是否制定了數(shù)據(jù)安全管理制度和規(guī)范、數(shù)據(jù)分類(lèi)分級(jí)規(guī)范和標(biāo)準(zhǔn)、數(shù)據(jù)安全人員能力要求及向第三方提供或共享數(shù)據(jù)時(shí)的安全管理制度和標(biāo)準(zhǔn)。這些制度在范圍上應(yīng)該覆蓋數(shù)據(jù)全生命周期。此外，還需要檢查制度和標(biāo)準(zhǔn)是否得到定期評(píng)審和更新，并分發(fā)至機(jī)構(gòu)數(shù)據(jù)服務(wù)部門(mén)和操作人員。需要抽樣訪(fǎng)談數(shù)據(jù)操作和管理人員，了解其對(duì)制度規(guī)范的知曉情況，并查閱制度規(guī)范的更新記錄。5.元數(shù)據(jù)安全管理在元數(shù)據(jù)安全管理方面，需要檢查組織是否建立了與數(shù)據(jù)服務(wù)相關(guān)的元數(shù)據(jù)及其管理規(guī)范、與數(shù)據(jù)服務(wù)安全架構(gòu)相應(yīng)的安全元數(shù)據(jù)管理規(guī)范和數(shù)據(jù)訪(fǎng)問(wèn)控制策略。這樣可以明確元數(shù)據(jù)管理角色及其授權(quán)控制機(jī)制和查詢(xún)限制。此外，還需要檢查元數(shù)據(jù)的安全管理制度和規(guī)范是否包括：依據(jù)資產(chǎn)分類(lèi)分級(jí)策略所建立的元數(shù)據(jù)安全屬性的自動(dòng)/手工分級(jí)機(jī)制；可依據(jù)元數(shù)據(jù)安全屬性建立標(biāo)記的策略及標(biāo)記定義和管理機(jī)制。還需要檢查組織是否從技術(shù)手段上實(shí)現(xiàn)了對(duì)表字段、表與上下游表的血緣關(guān)系查詢(xún)進(jìn)行安全設(shè)置和查詢(xún)限制，并可對(duì)表訪(fǎng)問(wèn)操作權(quán)限進(jìn)行限制。最后，需要檢查組織是否建立了針對(duì)元數(shù)據(jù)操作的審計(jì)制度，并確保對(duì)元數(shù)據(jù)的操作具有可追溯性。6.數(shù)據(jù)及平臺(tái)（系統(tǒng)）管理在數(shù)據(jù)及平臺(tái)（系統(tǒng)）管理方面，需要檢查組織是否建立了數(shù)據(jù)資產(chǎn)安全管理規(guī)范和數(shù)據(jù)資產(chǎn)分類(lèi)、分級(jí)方法、標(biāo)準(zhǔn)、操作指南、數(shù)據(jù)資產(chǎn)分類(lèi)分級(jí)變更審批流程，并對(duì)其進(jìn)行定期審核和更新。還需要檢查組織是否對(duì)數(shù)據(jù)資產(chǎn)實(shí)施登記制度，其應(yīng)明確數(shù)據(jù)資產(chǎn)管理相關(guān)方及管理責(zé)任、數(shù)據(jù)資產(chǎn)管理范圍和屬性，并調(diào)閱數(shù)據(jù)資產(chǎn)登記目錄清單。3.組織數(shù)據(jù)管理平臺(tái)的技術(shù)建設(shè)和統(tǒng)一管理審計(jì)人員應(yīng)檢查組織是否建立了綜合的數(shù)據(jù)管理平臺(tái)或系統(tǒng)，并實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)的統(tǒng)一管理。這包括制定數(shù)據(jù)系統(tǒng)平臺(tái)資產(chǎn)安全管理規(guī)范，明確安全管理的目標(biāo)和原則。同時(shí)，數(shù)據(jù)系統(tǒng)平臺(tái)的規(guī)劃和建設(shè)應(yīng)與組織經(jīng)營(yíng)戰(zhàn)略和平臺(tái)（系統(tǒng)）全生命周期的安全需求相一致。為確保數(shù)據(jù)安全，可根據(jù)數(shù)據(jù)資產(chǎn)和數(shù)據(jù)主體安全分級(jí)要求，建立相應(yīng)的標(biāo)記策略、訪(fǎng)問(wèn)控制、數(shù)據(jù)加解密、數(shù)據(jù)脫敏等安全機(jī)制和管控措施。6.服務(wù)接口安全管理審計(jì)人員應(yīng)檢查組織是否制定與數(shù)據(jù)服務(wù)接口安全管理有關(guān)的控制策略和安全規(guī)范。同時(shí)，應(yīng)檢查組織的數(shù)據(jù)平臺(tái)與應(yīng)用在其內(nèi)部跨安全域間的接口調(diào)用是否采用包括安全通道、加密傳輸?shù)劝踩珯C(jī)制，以確保服務(wù)接口的安全。7.數(shù)據(jù)供應(yīng)鏈安全管理審計(jì)人員應(yīng)訪(fǎng)談組織數(shù)據(jù)管理部門(mén)負(fù)責(zé)人，了解組織目前是否存在數(shù)據(jù)供應(yīng)鏈上下游間數(shù)據(jù)交換和使用的現(xiàn)象。若存在，則應(yīng)查看組織是否建立與數(shù)據(jù)供應(yīng)鏈安全管理有關(guān)的規(guī)范和安全方針。這些規(guī)范和方針應(yīng)明確數(shù)據(jù)供應(yīng)鏈安全目標(biāo)、原則和范圍，并對(duì)其進(jìn)行查閱。為確保數(shù)據(jù)交換和使用的合規(guī)，組織應(yīng)識(shí)別并建立數(shù)據(jù)供應(yīng)鏈上下游間數(shù)據(jù)交換和使用的合規(guī)要求及合規(guī)目錄，并建立數(shù)據(jù)供應(yīng)鏈目錄和相關(guān)數(shù)據(jù)源數(shù)據(jù)字典，明確數(shù)據(jù)供應(yīng)鏈的責(zé)任部門(mén)和人員。審計(jì)人員還應(yīng)查閱組織與上下游數(shù)據(jù)供應(yīng)鏈服務(wù)商簽署的合作協(xié)議，檢查協(xié)議是否明確數(shù)據(jù)供應(yīng)鏈上下游責(zé)任和義務(wù)，并采用安全技術(shù)保障措施確保數(shù)據(jù)供應(yīng)鏈上下游對(duì)數(shù)據(jù)交換、使用的安全、可靠與合規(guī)。8.數(shù)據(jù)安全審計(jì)管理審計(jì)人員應(yīng)訪(fǎng)談組織負(fù)責(zé)數(shù)據(jù)審計(jì)的負(fù)責(zé)人，了解組織對(duì)于數(shù)據(jù)安全審計(jì)的要求、審計(jì)范圍、審計(jì)方式的明確程度。同時(shí)，應(yīng)檢查數(shù)據(jù)服務(wù)平臺(tái)（系統(tǒng)）部署審計(jì)產(chǎn)品，登錄安全審計(jì)產(chǎn)品并查看審計(jì)日志是否完整，其保存期限是否符合國(guó)家強(qiáng)制要求并具有防篡改的功能。審計(jì)人員還應(yīng)查閱歷史審計(jì)報(bào)告，了解審計(jì)對(duì)象是否包括與數(shù)據(jù)相關(guān)的物理環(huán)境、網(wǎng)絡(luò)傳輸、平臺(tái)/系統(tǒng)、數(shù)據(jù)庫(kù)及存儲(chǔ)介質(zhì)，以及基于數(shù)據(jù)平臺(tái)/提供者，數(shù)據(jù)提供者，服務(wù)提供者和內(nèi)部服務(wù)/數(shù)據(jù)使用者針對(duì)主要操作、敏感行為、敏感數(shù)據(jù)流通等安全事件。三、數(shù)據(jù)生命周期安全管理審計(jì)（一）業(yè)務(wù)概述1.在訪(fǎng)談數(shù)據(jù)應(yīng)用或管理部門(mén)的負(fù)責(zé)人時(shí)，要了解組織是否有基于業(yè)務(wù)戰(zhàn)略和信息安全戰(zhàn)略制定的數(shù)據(jù)共享和流動(dòng)的安全評(píng)估和處理流程、審批制度、安全策略等規(guī)范制度，并檢查其內(nèi)容是否符合對(duì)于數(shù)據(jù)共享與跨境傳輸?shù)暮弦?guī)要求。2.在訪(fǎng)談數(shù)據(jù)應(yīng)用或管理部門(mén)的負(fù)責(zé)人時(shí)，要了解組織在進(jìn)行日常數(shù)據(jù)服務(wù)時(shí)是否與第三方簽訂了數(shù)據(jù)服務(wù)合同，并審查合同是否約定了數(shù)據(jù)接收方的數(shù)據(jù)處理目的、方式和采取的安全措施以及數(shù)據(jù)接收方應(yīng)配合組織對(duì)數(shù)據(jù)出境活動(dòng)進(jìn)行調(diào)查等關(guān)鍵內(nèi)容。同時(shí)也要了解合同是否約定了數(shù)據(jù)接收方在未獲得數(shù)據(jù)發(fā)送方的授權(quán)前提下不得對(duì)數(shù)據(jù)進(jìn)行公開(kāi)披露及再轉(zhuǎn)移，以及數(shù)據(jù)接收方使用、留存數(shù)據(jù)的合法周期及超出合法周期后數(shù)據(jù)接收方對(duì)數(shù)據(jù)所采取的處理措施，以及數(shù)據(jù)接收方應(yīng)配合數(shù)據(jù)發(fā)送方履行的安全責(zé)任和義務(wù)。3.在訪(fǎng)談數(shù)據(jù)應(yīng)用或管理部門(mén)的負(fù)責(zé)人時(shí)，要了解組織日常數(shù)據(jù)共享與流動(dòng)若涉及跨境傳輸是否開(kāi)展了如下活動(dòng)，并調(diào)閱相關(guān)操作文檔：制定出境計(jì)劃，開(kāi)展安全風(fēng)險(xiǎn)評(píng)估并周期性的開(kāi)展安全評(píng)估，對(duì)數(shù)據(jù)接受方的背景、資質(zhì)進(jìn)行安全審查和檢查，并基于國(guó)家關(guān)于個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估相關(guān)條件進(jìn)行安全評(píng)估，對(duì)數(shù)據(jù)出境的全過(guò)程進(jìn)行記錄并保留所有操作流程，制定安全事件的通報(bào)機(jī)制和手段，并制定數(shù)據(jù)共享與流動(dòng)的安全事件應(yīng)急預(yù)案并進(jìn)行應(yīng)急演練。4.當(dāng)發(fā)生數(shù)據(jù)出境安全事件時(shí)，應(yīng)按照國(guó)家有關(guān)規(guī)定及時(shí)向國(guó)家網(wǎng)信部門(mén)或行業(yè)主管部門(mén)上報(bào)數(shù)據(jù)出境安全事件，上報(bào)內(nèi)容包括但不限于安全事件發(fā)生的時(shí)間、數(shù)據(jù)類(lèi)型、數(shù)量、范圍、可能造成的影響，已采取或?qū)⒁扇〉奶幹么胧录幹孟嚓P(guān)人員的聯(lián)系方式。5.在數(shù)據(jù)歸檔與銷(xiāo)毀方面，要檢查組織是否基于數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)制定了數(shù)據(jù)及存儲(chǔ)介質(zhì)銷(xiāo)毀相關(guān)的管理制度和安全策略，并明確銷(xiāo)毀對(duì)象、流程、方式及審批、監(jiān)督和評(píng)價(jià)機(jī)制。同時(shí)，要了解組織目前本地和網(wǎng)絡(luò)分布式存儲(chǔ)數(shù)據(jù)的銷(xiāo)毀方式與技術(shù)手段，并查閱歷史銷(xiāo)毀記錄。6.個(gè)人信息安全管理審計(jì)的業(yè)務(wù)概述需要對(duì)組織的個(gè)人信息安全管理制度、流程和措施進(jìn)行審計(jì)，以確保組織的個(gè)人信息安全管理工作符合相關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)的要求。（1）訪(fǎng)談組織數(shù)據(jù)管理部門(mén)，了解組織是否采用加密、身份驗(yàn)證、訪(fǎng)問(wèn)控制等技術(shù)手段保障個(gè)人信息在傳輸過(guò)程中的安全，包括對(duì)第三方服務(wù)提供商的數(shù)據(jù)傳輸安全要求。（2）訪(fǎng)談組織數(shù)據(jù)管理部門(mén)，了解組織是否采用安全可靠的存儲(chǔ)設(shè)備和技術(shù)手段，對(duì)個(gè)人信息進(jìn)行分類(lèi)存儲(chǔ)和備份，并定期進(jìn)行數(shù)據(jù)恢復(fù)測(cè)試和數(shù)據(jù)備份的恢復(fù)性驗(yàn)證。（3）訪(fǎng)談組織數(shù)據(jù)管理部門(mén)，了解組織是否制定個(gè)人信息存儲(chǔ)期限和清理規(guī)范，并按照規(guī)范及時(shí)清理無(wú)用信息和過(guò)期信息，同時(shí)遵守相關(guān)法律法規(guī)要求，保留必要的信息備份和歸檔。（4）訪(fǎng)談組織數(shù)據(jù)管理部門(mén)，了解組織是否對(duì)個(gè)人信息進(jìn)行定期的安全審計(jì)和監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)和解決個(gè)人信息泄露和非法使用的風(fēng)險(xiǎn)和問(wèn)題。（5）訪(fǎng)談組織數(shù)據(jù)管理部門(mén)，了解組織是否建立個(gè)人信息出境安全管理制度，包括對(duì)個(gè)人信息出境目的地國(guó)家或地區(qū)法律法規(guī)和數(shù)據(jù)安全標(biāo)準(zhǔn)的評(píng)估，以及對(duì)個(gè)人信息出境的審批和監(jiān)管機(jī)制。1.數(shù)據(jù)安全管理和存儲(chǔ)在訪(fǎng)談中，我們了解到組織在傳輸和存儲(chǔ)個(gè)人敏感信息時(shí)采用了加密等安全措施。針對(duì)個(gè)人生物識(shí)別信息，組織采用了技術(shù)措施處理后再進(jìn)行存儲(chǔ)，例如僅存儲(chǔ)個(gè)人生物識(shí)別信息的摘要。此外，我們?cè)儐?wèn)了數(shù)據(jù)存儲(chǔ)管理員，了解到組織所收集和產(chǎn)生的個(gè)人信息都在中國(guó)境內(nèi)存儲(chǔ)。對(duì)于涉及個(gè)人信息的跨境傳輸和存儲(chǔ)業(yè)務(wù)，組織制定了相應(yīng)的審批流程，并按照合規(guī)監(jiān)管要求進(jìn)行安全檢查和安全評(píng)估。2.個(gè)人信息處理我們?cè)L談了數(shù)據(jù)安全管理負(fù)責(zé)人和個(gè)人信息去標(biāo)識(shí)化負(fù)責(zé)人。了解到組織制定了針對(duì)個(gè)人信息去標(biāo)識(shí)化的規(guī)范與流程，并由專(zhuān)人、專(zhuān)崗負(fù)責(zé)。個(gè)人信息去標(biāo)識(shí)化負(fù)責(zé)人使用了個(gè)人信息匿名化、去標(biāo)識(shí)化和加密手段，并抽查去標(biāo)識(shí)化后的個(gè)人信息是否可被識(shí)別、復(fù)原，或在不借助額外信息的情況下，無(wú)法識(shí)別個(gè)人信息主體。對(duì)于不滿(mǎn)足隱私保護(hù)的數(shù)據(jù)項(xiàng)，組織采用了抑制技術(shù)進(jìn)行刪除。3.個(gè)人信息使用我們?cè)L談了數(shù)據(jù)安全負(fù)責(zé)人或個(gè)人信息安全負(fù)責(zé)人。了解到組織在將其個(gè)人信息控制權(quán)向另一個(gè)控制者轉(zhuǎn)移時(shí)，對(duì)其安全管理環(huán)境進(jìn)行了風(fēng)險(xiǎn)評(píng)估，并以書(shū)面形式獲得轉(zhuǎn)移方的安全評(píng)估結(jié)果和使用承諾。對(duì)內(nèi)部個(gè)人信息使用者、管理者和操作者基于業(yè)務(wù)需要和角色對(duì)個(gè)人敏感信息的訪(fǎng)問(wèn)、修改等行為進(jìn)行訪(fǎng)問(wèn)權(quán)限設(shè)置，并對(duì)涉及個(gè)人信息的重要操作設(shè)置了內(nèi)部