TCESA 1078-2020 信息技術(shù) 服務(wù) 治理 數(shù)據(jù)審計(jì)

信息技術(shù)服務(wù)治理數(shù)據(jù)審計(jì)Informationtechnologyservice-Governance-Data2020-03-01發(fā)布2020-09-01實(shí)施I版權(quán)保護(hù)文件版權(quán)所有歸屬于該標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)，除非有其他規(guī)定，否則未經(jīng)許可，此發(fā)行物及其章節(jié)不得以其他形式或任何手段進(jìn)行復(fù)制、再版或使用，包括電子版，影印件，或發(fā)布在互聯(lián)網(wǎng)及內(nèi)部網(wǎng)絡(luò)等。使用許可可于發(fā)布機(jī)構(gòu)獲取。 II Y....…................. 2 2 24.3審計(jì)依據(jù) 3 34.6審計(jì)質(zhì)量控制 4.7審計(jì)業(yè)務(wù)類型 4 4 47.3數(shù)據(jù)治理一般控制審計(jì) 7 8 8 9 9 9 11數(shù)據(jù)審計(jì)報(bào)告 本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本標(biāo)準(zhǔn)由中國電子技術(shù)標(biāo)準(zhǔn)化研究院提出。本標(biāo)準(zhǔn)由中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)歸口。本標(biāo)準(zhǔn)起草單位：上海谷航信息科技發(fā)展有限公司、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國信優(yōu)易數(shù)據(jù)有限公司、上海軟中信息技術(shù)有限公司、北京賽迪認(rèn)證中心有限公司、無錫農(nóng)村商業(yè)銀行股份有限公司、江蘇江陰農(nóng)村商業(yè)銀行股份有限公司、四川久遠(yuǎn)銀海軟件股份有限公司、上海瀚緯信息科技有限公司、廣州賽寶聯(lián)睿信息科技有限公司、神州數(shù)碼系統(tǒng)集成服務(wù)有限公司、萬達(dá)信息股份有限公司、上海安言信息技術(shù)有限公司、北京易服務(wù)信息技術(shù)有限公司、廣東鑫盟管理咨詢有限公司、上海計(jì)算機(jī)軟件技術(shù)開發(fā)中心、首都信息發(fā)展股份有限公司、上海華訊網(wǎng)絡(luò)系統(tǒng)有限公司、北京中軟國際信息技術(shù)有限公司。本標(biāo)準(zhǔn)參加起草單位：北京國家會(huì)計(jì)學(xué)院、上海市衛(wèi)生健康委員會(huì)、國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心上海分中心、上海交通大學(xué)、上海市衛(wèi)生健康信息中心、東北農(nóng)業(yè)大學(xué)。本標(biāo)準(zhǔn)主要起草人：方健、張鳳玲、俞文平、郭鑫偉、趙丹丹、宋俊典、馬烈、王春濤、楊軍、張樹玲、施勇、戴沁蕓、浦軼華、胡海燕、謝樺、陳宏峰、孫佩、李光亞、鄭晨光、黃建新、張明英、周鵬、黃建文、宋躍武、肖筱華、錢偉峰、謝斌、何敬任、顏珠、姜亮、孫翊威、米昂、陳雯、朱永佳、王萌、俞麗平、居琰、曹劍峰、周鵬程、王錚、廖偉、楊琳、張娜、李彩虹、于宏志、陳昌杰、秦峰、高洪美、韓佳赟、王安妮、李晨光、李俊彥、李易、楊明。1信息技術(shù)服務(wù)治理數(shù)據(jù)審計(jì)本標(biāo)準(zhǔn)規(guī)定了數(shù)據(jù)審計(jì)總則、數(shù)據(jù)審計(jì)組織管理、數(shù)據(jù)審計(jì)人員、數(shù)據(jù)內(nèi)部控制審計(jì)、審計(jì)流程、審計(jì)系統(tǒng)、審計(jì)報(bào)告等內(nèi)容。本部分適用于：a)組織治理主體實(shí)施數(shù)據(jù)審計(jì)監(jiān)督職能；b)建立或完善組織的數(shù)據(jù)審計(jì)體系及相關(guān)平臺(tái)；c)明確組織數(shù)據(jù)審計(jì)過程中的相關(guān)要求；d)規(guī)范組織數(shù)據(jù)審計(jì)業(yè)務(wù)的開展及相關(guān)平臺(tái)的建設(shè)；e)第三方或其他相關(guān)機(jī)構(gòu)開展數(shù)據(jù)審計(jì)的指導(dǎo)f)建立或未建立內(nèi)部數(shù)據(jù)審計(jì)機(jī)構(gòu)的組織，均可聘請(qǐng)第三方依據(jù)本標(biāo)準(zhǔn)的相關(guān)要求開展數(shù)據(jù)審計(jì)。各級(jí)各類信息化主管部門、監(jiān)管機(jī)構(gòu)及審計(jì)監(jiān)督機(jī)構(gòu)，可根據(jù)法律法規(guī)、部門規(guī)章的要求，使用本標(biāo)準(zhǔn)對(duì)所管轄各類組織的數(shù)據(jù)審計(jì)提出要求，并進(jìn)行監(jiān)督。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T34960.1信息技術(shù)服務(wù)治理第1部分：通用要求GB/T34960.4信息技術(shù)服務(wù)治理第4部分：審計(jì)導(dǎo)則GB/T34960.5信息技術(shù)服務(wù)治理第5部分：數(shù)據(jù)治理規(guī)范3術(shù)語和定義數(shù)據(jù)data所有能輸入到計(jì)算機(jī)并被計(jì)算機(jī)程序處理的符號(hào)介質(zhì)的總稱，是用于輸入電子計(jì)算機(jī)進(jìn)行處理，具有一定意義的數(shù)字、字母、符號(hào)和模擬量等的通稱。數(shù)據(jù)審計(jì)dataaudit根據(jù)數(shù)據(jù)審計(jì)依據(jù)的要求，對(duì)數(shù)據(jù)本身以及與其形成過程相關(guān)的內(nèi)部控制和流程進(jìn)行檢查、評(píng)價(jià)，并發(fā)表審計(jì)意見。信息技術(shù)審計(jì)informationtechnologyaudit(ITaudit)根據(jù)IT審計(jì)標(biāo)準(zhǔn)的要求，對(duì)信息系統(tǒng)及相關(guān)的IT內(nèi)部控制和流程進(jìn)行檢查、評(píng)價(jià)，并發(fā)表審計(jì)意2數(shù)據(jù)治理一般控制審計(jì)datagovernancegeneralcontrol數(shù)據(jù)治理應(yīng)用內(nèi)部控制datagovernanceapplicationinternalcontrol控制。數(shù)據(jù)治理應(yīng)用內(nèi)部控制審計(jì)datagovernanceapplicationinternal4數(shù)據(jù)審計(jì)總則4.1審計(jì)與治理的關(guān)系數(shù)據(jù)治理是IT治理的一部分，數(shù)據(jù)審計(jì)是IT審計(jì)的一部分。組織的IT審計(jì)與治理的關(guān)系要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計(jì)導(dǎo)則》。4.2審計(jì)結(jié)構(gòu)及其關(guān)系數(shù)據(jù)審計(jì)是IT審計(jì)的一部分，組織的IT審計(jì)結(jié)構(gòu)及其關(guān)系要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計(jì)導(dǎo)則》。4.3審計(jì)依據(jù)d)組織內(nèi)部IT與數(shù)據(jù)相關(guān)規(guī)范及標(biāo)準(zhǔn)；3e)國際IT與數(shù)據(jù)相關(guān)標(biāo)準(zhǔn)；f)國內(nèi)外IT與數(shù)據(jù)最佳實(shí)踐。4.4審計(jì)方法組織的數(shù)據(jù)審計(jì)方法要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計(jì)導(dǎo)則》。4.5審計(jì)技術(shù)組織的數(shù)據(jù)審計(jì)技術(shù)要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計(jì)導(dǎo)則》。4.6審計(jì)質(zhì)量控制組織的數(shù)據(jù)審計(jì)質(zhì)量控制要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計(jì)導(dǎo)則》。4.7審計(jì)業(yè)務(wù)類型數(shù)據(jù)審計(jì)業(yè)務(wù)類型包括數(shù)據(jù)治理內(nèi)部控制專項(xiàng)審計(jì)和數(shù)據(jù)特定領(lǐng)域?qū)ｍ?xiàng)審計(jì)。數(shù)據(jù)治理內(nèi)部控制專項(xiàng)審計(jì)是為了綜合評(píng)價(jià)組織數(shù)據(jù)治理控制目標(biāo)實(shí)現(xiàn)過程而進(jìn)行的審計(jì)；數(shù)據(jù)特定領(lǐng)域?qū)ｍ?xiàng)審計(jì)是組織根據(jù)外部要求及內(nèi)部特殊需要而進(jìn)行的審計(jì)。數(shù)據(jù)審計(jì)業(yè)務(wù)可作為獨(dú)立的審計(jì)項(xiàng)目實(shí)施，或作為綜合性審計(jì)項(xiàng)目的組成部分組織實(shí)施。當(dāng)數(shù)據(jù)審計(jì)業(yè)務(wù)作為綜合性審計(jì)項(xiàng)目的一部分時(shí)，數(shù)據(jù)審計(jì)人員在進(jìn)行審計(jì)計(jì)劃時(shí)應(yīng)考慮項(xiàng)目審計(jì)目標(biāo)及要求，在審計(jì)實(shí)施過程中應(yīng)及時(shí)與其他相關(guān)審計(jì)人員溝通數(shù)據(jù)審計(jì)中的發(fā)現(xiàn)，并考慮依據(jù)數(shù)據(jù)審計(jì)結(jié)果調(diào)整其他相關(guān)審計(jì)的范圍、時(shí)間及性質(zhì)。數(shù)據(jù)審計(jì)人員應(yīng)當(dāng)以風(fēng)險(xiǎn)導(dǎo)向?yàn)榛A(chǔ)開展審計(jì)，風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)貫穿于審計(jì)的全過程。4.8審計(jì)工作的執(zhí)行組織的審計(jì)工作執(zhí)行要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計(jì)導(dǎo)則》。4.9審計(jì)方式審計(jì)方式是指利用計(jì)算機(jī)輔助審計(jì)技術(shù)、大數(shù)據(jù)技術(shù)、人工智能技術(shù)等手段開展的審計(jì)，包括現(xiàn)場審計(jì)和遠(yuǎn)程審計(jì)。5數(shù)據(jù)審計(jì)組織管理數(shù)據(jù)審計(jì)組織管理通用要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計(jì)導(dǎo)則》,同時(shí)還a)為數(shù)據(jù)審計(jì)開展創(chuàng)造必要的環(huán)境；b)明確審計(jì)機(jī)構(gòu)的職責(zé)和權(quán)力；c)在審計(jì)章程中明確數(shù)據(jù)審計(jì)的相關(guān)要求；d)制定數(shù)據(jù)審計(jì)相關(guān)制度、流程及操作規(guī)程等；e)建立數(shù)據(jù)審計(jì)系統(tǒng)；f)制定數(shù)據(jù)審計(jì)戰(zhàn)略規(guī)劃。6數(shù)據(jù)審計(jì)人員4計(jì)人員應(yīng)具備數(shù)據(jù)審計(jì)資質(zhì)。數(shù)據(jù)審計(jì)與IT審計(jì)具有一定的關(guān)聯(lián)關(guān)系。組織的IT審計(jì)人員要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計(jì)導(dǎo)則》,組織的數(shù)據(jù)審計(jì)人員要求包括但不限于：a)職業(yè)道德，包括誠實(shí)、守信、正確履行職責(zé)及保守保密等；b)知識(shí)、技能、資質(zhì)和經(jīng)驗(yàn)，包括掌握與審計(jì)、業(yè)務(wù)、IT、數(shù)據(jù)治理與管理、數(shù)據(jù)審計(jì)等方面的c)專業(yè)勝任能力，包括具備相應(yīng)的數(shù)據(jù)審計(jì)專業(yè)勝任能力、擁有與所處管理或業(yè)務(wù)崗位相適應(yīng)的7.1總則是組織常規(guī)審計(jì)內(nèi)容的一部分。組織宜依據(jù)GB/T34960.5《信息技術(shù)服務(wù)治理第5部分：數(shù)據(jù)治理規(guī)a)組織遵循的數(shù)據(jù)治理原則；b)數(shù)據(jù)治理戰(zhàn)略、IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致性；c)決策層的數(shù)據(jù)風(fēng)險(xiǎn)偏好及風(fēng)險(xiǎn)容忍度；d)數(shù)據(jù)治理與管理的職責(zé)分工和制衡機(jī)制；e)數(shù)據(jù)治理內(nèi)部控制的監(jiān)督機(jī)制；f)數(shù)據(jù)治理內(nèi)部控制機(jī)構(gòu)的設(shè)置、職責(zé)與權(quán)限；g)內(nèi)部審計(jì)機(jī)構(gòu)設(shè)置、人員配備和工作獨(dú)立性；i)決策層對(duì)組織數(shù)據(jù)風(fēng)險(xiǎn)概況及如何應(yīng)對(duì)的了解程度。a)數(shù)據(jù)治理風(fēng)險(xiǎn)管理目標(biāo)和策略；b)數(shù)據(jù)治理風(fēng)險(xiǎn)管理原則；c)數(shù)據(jù)治理風(fēng)險(xiǎn)組織管理，包括組織架構(gòu)、責(zé)任人、角色、職責(zé)和權(quán)限等；f)數(shù)據(jù)風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)及風(fēng)險(xiǎn)處置的執(zhí)行情況；h)數(shù)據(jù)資產(chǎn)所有者的職責(zé)。57.2.3控制活動(dòng)a)數(shù)據(jù)治理控制政策與流程；c)數(shù)據(jù)治理預(yù)算控制；e)數(shù)據(jù)治理資產(chǎn)保護(hù)；g)數(shù)據(jù)治理不相容職責(zé)分離。a)戰(zhàn)略規(guī)劃控制措施的合理性、有效性；b)組織構(gòu)建控制措施的合理性、有效性；c)架構(gòu)設(shè)計(jì)控制措施的合理性、有效性。7.2.3.3數(shù)據(jù)治理域a)數(shù)據(jù)管理體系建設(shè)控制措施的合理性、有效性；b)數(shù)據(jù)價(jià)值體系建設(shè)控制措施的合理性、有效性。b)構(gòu)建和運(yùn)行控制措施的合理性、有效性；c)監(jiān)控和評(píng)價(jià)控制措施的合理性、有效性；d)改進(jìn)和優(yōu)化控制措施的合理性、有效性。7.2.4信息與溝通a)與數(shù)據(jù)治理相關(guān)的信息系統(tǒng)架構(gòu)，以及對(duì)決策與業(yè)務(wù)的支持度；b)決策層有關(guān)數(shù)據(jù)治理的信息溝通模式；c)數(shù)據(jù)治理戰(zhàn)略、政策及制度等方面的傳達(dá)與溝通的連續(xù)性、完整性及有效性；d)組織對(duì)數(shù)據(jù)治理風(fēng)險(xiǎn)內(nèi)部控制所需要信息的明確；e)組織與外部的信息溝通模式及方案。6b)數(shù)據(jù)治理監(jiān)控管理報(bào)告系統(tǒng)、監(jiān)控反饋、跟蹤處理程序；c)數(shù)據(jù)治理內(nèi)部控制的自我評(píng)估機(jī)制；d)已按規(guī)定要求開展數(shù)據(jù)治理審計(jì)工作；e)組織對(duì)數(shù)據(jù)治理風(fēng)險(xiǎn)控制的監(jiān)督、自我評(píng)估及整改情況。a)數(shù)據(jù)治理控制政策與流程；f)不相容職責(zé)分離。7.3.2采購管理組織的數(shù)據(jù)治理一般控制采購管理審計(jì)要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審7.3.3項(xiàng)目整體管理組織的數(shù)據(jù)治理一般控制項(xiàng)目整體管理審計(jì)要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：7.3.4數(shù)據(jù)治理信息系統(tǒng)開發(fā)管理a)組織模式；c)過程管理。a)配置管理；b)構(gòu)建與持續(xù)集成；d)配置與發(fā)布管理。b)物理環(huán)境；7h)備份與恢復(fù)管理；i)應(yīng)急及災(zāi)備管理；j)安全管理。7.3.7其他相關(guān)控制數(shù)據(jù)治理一般控制中的其他相關(guān)控制審計(jì)要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計(jì)導(dǎo)則》。7.4數(shù)據(jù)治理應(yīng)用控制審計(jì)7.4.1通用要求審計(jì)數(shù)據(jù)治理應(yīng)用控制的通用要求時(shí)，審計(jì)范圍包括但不限于：a)應(yīng)用控制政策與流程；b)應(yīng)用授權(quán)與審批控制；c)信息記錄與報(bào)告；d)資產(chǎn)保護(hù)；e)績效考核；f)不相容職責(zé)分離。7.4.2數(shù)據(jù)治理信息系統(tǒng)應(yīng)用組織管理審計(jì)數(shù)據(jù)治理信息系統(tǒng)的組織管理時(shí)，審計(jì)范圍包括但不限于：a)組織結(jié)構(gòu)，包括組織架構(gòu)設(shè)置、部門及崗位職責(zé)等；b)用戶管理，包括用戶賬號(hào)及權(quán)限等；c)參數(shù)管理，包括參數(shù)設(shè)置的范圍與依據(jù)、參數(shù)調(diào)整的授權(quán)與審批及參數(shù)調(diào)整的日志記錄等；d)操作管理，包括操作環(huán)境、功能使用、操作要求等；e)網(wǎng)絡(luò)與信息安全管理，包括網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用環(huán)境安全、操作安全、介質(zhì)與文檔安全、數(shù)據(jù)脫敏等；f)事件管理，包括事件記錄、上報(bào)、處理、跟蹤與監(jiān)控等；g)問題管理，包括問題的確定、記錄、分類、處理、解決及跟蹤等；h)文檔與數(shù)據(jù)管理，包括文檔與數(shù)據(jù)介質(zhì)的生成、分類、歸檔、保存、調(diào)用及銷毀等；i)績效考核與獎(jiǎng)懲，包括績效考核指標(biāo)、評(píng)價(jià)方法、評(píng)價(jià)結(jié)果及獎(jiǎng)懲措施等。7.4.3數(shù)據(jù)治理信息系統(tǒng)數(shù)據(jù)流程設(shè)計(jì)審計(jì)數(shù)據(jù)治理信息系統(tǒng)數(shù)據(jù)流程控制時(shí)，審計(jì)范圍包括但不限于：a)數(shù)據(jù)流程設(shè)計(jì)的完備性；b)數(shù)據(jù)流程處理的正確性和控制的有效性；c)數(shù)據(jù)治理信息系統(tǒng)功能的合理性。7.4.4數(shù)據(jù)采集、處理及輸出審計(jì)數(shù)據(jù)采集、處理及輸出時(shí)，審計(jì)范圍包括但不限于：a)數(shù)據(jù)采集控制，包括數(shù)據(jù)導(dǎo)入、修改、刪除、校驗(yàn)、備份的恢復(fù)、權(quán)限控制及錯(cuò)誤處理機(jī)制等；b)數(shù)據(jù)處理控制，包括數(shù)據(jù)清洗、數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)整理、數(shù)據(jù)計(jì)算、數(shù)據(jù)匯總控制及錯(cuò)誤處理機(jī)c)數(shù)據(jù)輸出控制，包括輸出外設(shè)、輸出范圍和內(nèi)容、輸出信息分發(fā)、保存和訪問、備份、權(quán)限控制及錯(cuò)誤處理機(jī)制等。87.4.5系統(tǒng)接口與信息共享7.4.5.1系統(tǒng)接口審計(jì)系統(tǒng)接口時(shí)，審計(jì)范圍包括但不限于：a)系統(tǒng)接口標(biāo)準(zhǔn)；b)接口/轉(zhuǎn)換控制，包括數(shù)據(jù)采集、校驗(yàn)、轉(zhuǎn)換、傳輸、權(quán)限控制及錯(cuò)誤處理機(jī)制等。7.4.5.2信息共享審計(jì)信息共享時(shí)，審計(jì)范圍包括但不限于：a)共享信息分類；b)共享信息的控制。7.4.6數(shù)據(jù)質(zhì)量審計(jì)數(shù)據(jù)質(zhì)量時(shí)，審計(jì)范圍包括但不限于：a)數(shù)據(jù)質(zhì)量管理，包括數(shù)據(jù)質(zhì)量管理的組織、制度、流程及控制執(zhí)行等；b)數(shù)據(jù)質(zhì)量，包括完整性、準(zhǔn)確性、有效性、合法性、一致性等。8數(shù)據(jù)特定領(lǐng)域?qū)ｍ?xiàng)審計(jì)數(shù)據(jù)特定領(lǐng)域?qū)ｍ?xiàng)審計(jì)是組織根據(jù)外部要求及內(nèi)部特殊需要而進(jìn)行的審計(jì)。數(shù)據(jù)特定領(lǐng)域?qū)ｍ?xiàng)審計(jì)是組織常規(guī)審計(jì)內(nèi)容的一部分。數(shù)據(jù)特定領(lǐng)域?qū)ｍ?xiàng)審計(jì)包括(但不限于)數(shù)據(jù)庫管理專項(xiàng)審計(jì)、外部數(shù)據(jù)管理專項(xiàng)審計(jì)、業(yè)務(wù)數(shù)據(jù)管理專項(xiàng)審計(jì)、數(shù)據(jù)生存周期管理專項(xiàng)審計(jì)、數(shù)據(jù)應(yīng)用管理專項(xiàng)審計(jì)、數(shù)據(jù)安全管理專項(xiàng)審計(jì)、云數(shù)據(jù)管理專項(xiàng)審計(jì)、數(shù)據(jù)合規(guī)管理專項(xiàng)審計(jì)、數(shù)據(jù)治理績效專項(xiàng)審計(jì)、數(shù)據(jù)質(zhì)量管理專項(xiàng)審計(jì)及數(shù)據(jù)資產(chǎn)管理專項(xiàng)審計(jì)等。8.2數(shù)據(jù)庫管理專項(xiàng)審計(jì)數(shù)據(jù)庫管理專項(xiàng)審計(jì)是指針對(duì)存儲(chǔ)數(shù)據(jù)的數(shù)據(jù)庫管理開展專項(xiàng)審計(jì)，審計(jì)范圍包括但不限于：a)數(shù)據(jù)庫管理目標(biāo)、方針和策略；b)數(shù)據(jù)庫組織管理，包括組織架構(gòu)、責(zé)任人、角色、職責(zé)和權(quán)限等；c)數(shù)據(jù)庫管理制度和流程；d)業(yè)務(wù)需求說明書；e)數(shù)據(jù)庫架構(gòu)設(shè)計(jì)方案；f)數(shù)據(jù)結(jié)構(gòu)的規(guī)范性、合理性；g)數(shù)據(jù)標(biāo)準(zhǔn)；h)數(shù)據(jù)庫管理風(fēng)險(xiǎn)評(píng)估與審計(jì)機(jī)制的建立。8.3外部數(shù)據(jù)管理專項(xiàng)審計(jì)外部數(shù)據(jù)管理專項(xiàng)審計(jì)是指針對(duì)從組織外部獲取數(shù)據(jù)的管理開展專項(xiàng)審計(jì)，審計(jì)范圍包括但不限于：a)外部數(shù)據(jù)管理目標(biāo)、方針和策略；b)外部數(shù)據(jù)組織管理，包括組織架構(gòu)、責(zé)任人、角色、職責(zé)和權(quán)限等；c)外部數(shù)據(jù)管理制度和流程；d)外部數(shù)據(jù)來源的合理性、合規(guī)性；9e)外部數(shù)據(jù)安全的分級(jí)分類和保護(hù)機(jī)制；g)外部數(shù)據(jù)生存周期管理，包括數(shù)據(jù)獲取、處理、使用、存儲(chǔ)、傳輸及銷毀等；8.4業(yè)務(wù)數(shù)據(jù)管理專項(xiàng)審計(jì)a)業(yè)務(wù)數(shù)據(jù)管理目標(biāo)、方針和策略；b)業(yè)務(wù)數(shù)據(jù)組織管理，包括組織架構(gòu)、責(zé)任人、角色、職責(zé)和權(quán)限等；c)業(yè)務(wù)數(shù)據(jù)管理制度和流程；d)業(yè)務(wù)數(shù)據(jù)安全的分級(jí)分類和保護(hù)機(jī)制；e)業(yè)務(wù)數(shù)據(jù)獲取方式和來源的可靠性；f)業(yè)務(wù)數(shù)據(jù)敏感信息的保護(hù)機(jī)制；g)業(yè)務(wù)數(shù)據(jù)標(biāo)準(zhǔn)與模型；h)數(shù)據(jù)的合規(guī)與隱私保護(hù)；i)業(yè)務(wù)數(shù)據(jù)質(zhì)量，包括完整性、準(zhǔn)確性、有效性、合法性、一致性等；j)業(yè)務(wù)數(shù)據(jù)生存周期，包括數(shù)據(jù)獲取、處理、使用、存儲(chǔ)、傳輸及銷毀等；k)業(yè)務(wù)數(shù)據(jù)應(yīng)用領(lǐng)域的規(guī)范性、合理性；1)業(yè)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估與審計(jì)機(jī)制的建立。8.5數(shù)據(jù)生存周期管理專項(xiàng)審計(jì)a)數(shù)據(jù)生存周期管理目標(biāo)、方針和策略；b)數(shù)據(jù)生存周期組織管理，包括組織架構(gòu)、責(zé)任人、角色、職責(zé)和權(quán)限等；c)數(shù)據(jù)生存周期管理制度，包括數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全、數(shù)據(jù)模型、數(shù)據(jù)標(biāo)準(zhǔn)及元數(shù)據(jù)等；d)數(shù)據(jù)生存周期管理流程，包括數(shù)據(jù)獲取、處理、使用、存儲(chǔ)、傳輸及銷毀等；e)數(shù)據(jù)生存周期管理風(fēng)險(xiǎn)評(píng)估與審計(jì)機(jī)制的建立。a)數(shù)據(jù)應(yīng)用管理目標(biāo)、方針和策略；b)數(shù)據(jù)應(yīng)用組織管理，包括組織架構(gòu)、責(zé)任人、角色、職責(zé)和權(quán)限等；c)數(shù)據(jù)應(yīng)用管理制度和流程；d)數(shù)據(jù)應(yīng)用安全的分級(jí)分類和保護(hù)機(jī)制；e)數(shù)據(jù)的合規(guī)與隱私保護(hù)；f)數(shù)據(jù)應(yīng)用相關(guān)標(biāo)準(zhǔn)與模型；h)數(shù)據(jù)應(yīng)用個(gè)人信息的保護(hù)機(jī)制；j)數(shù)據(jù)應(yīng)用生存周期管理，包括數(shù)據(jù)獲取、處理、使用、存儲(chǔ)、傳輸及銷毀等；1)數(shù)據(jù)應(yīng)用風(fēng)險(xiǎn)評(píng)估與審計(jì)機(jī)制的建立。8.7數(shù)據(jù)安全管理專項(xiàng)審計(jì)數(shù)據(jù)安全管理專項(xiàng)審計(jì)是指針對(duì)數(shù)據(jù)安全的管理開展專項(xiàng)審計(jì)，審計(jì)范圍包括但不限于：a)數(shù)據(jù)安全管理目標(biāo)、方針和策略；b)數(shù)據(jù)安全組織管理，包括組織架構(gòu)、責(zé)任人、角色、職責(zé)和權(quán)限等；c)數(shù)據(jù)安全管理制度、流程；d)數(shù)據(jù)的分級(jí)分類和保護(hù)機(jī)制；e)數(shù)據(jù)標(biāo)準(zhǔn)與數(shù)據(jù)模型；f)數(shù)據(jù)安全事件管理；g)人力資源安全；h)安全教育和培訓(xùn)；i)物理安全；j)系統(tǒng)開發(fā)安全；k)網(wǎng)絡(luò)安全；m)操作系統(tǒng)安全；n)應(yīng)用系統(tǒng)安全；o)數(shù)據(jù)生存周期的安全，包括數(shù)據(jù)的獲取、處理、使用、存儲(chǔ)、傳輸及銷毀安全等；p)數(shù)據(jù)供方安全管理；q)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估與審計(jì)機(jī)制。8.8云數(shù)據(jù)管理專項(xiàng)審計(jì)云數(shù)據(jù)管理專項(xiàng)審計(jì)是指針對(duì)云端數(shù)據(jù)的管理開展專項(xiàng)審計(jì)，審計(jì)范圍包括但不限于：a)云數(shù)據(jù)管理目標(biāo)、方針和策略；b)云數(shù)據(jù)組織管理，包括組織架構(gòu)、責(zé)任人、角色、職責(zé)和權(quán)限等；c)云數(shù)據(jù)管理制度和流程；d)云數(shù)據(jù)標(biāo)準(zhǔn)與云數(shù)據(jù)模型；e)云數(shù)據(jù)的分級(jí)分類和保護(hù)機(jī)制；f)云數(shù)據(jù)的合規(guī)與隱私保護(hù)；g)云數(shù)據(jù)質(zhì)量，包括數(shù)據(jù)完整性、準(zhǔn)確性、有效性、合法性、一致性等；h)云數(shù)據(jù)生存周期，包括數(shù)據(jù)的獲取、處理、使用、存儲(chǔ)、傳輸及銷毀等；i)云數(shù)據(jù)的安全管理；j)云數(shù)據(jù)應(yīng)用領(lǐng)域的規(guī)范性、合理性；k)云數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估與審計(jì)機(jī)制的建立。8.9數(shù)據(jù)合規(guī)管理專項(xiàng)審計(jì)數(shù)據(jù)合規(guī)管理專項(xiàng)審計(jì)是指針對(duì)數(shù)據(jù)合規(guī)的管理開展專項(xiàng)審計(jì)，審計(jì)范圍包括但不限于：a)數(shù)據(jù)合規(guī)納入組織合規(guī)管理的情況；b)數(shù)據(jù)合規(guī)性管理目標(biāo)、方針和策略；c)數(shù)據(jù)合規(guī)組織管理，包括組織架構(gòu)、責(zé)任人、角色、職責(zé)和權(quán)限等；d)數(shù)據(jù)合規(guī)管理制度與流程；e)數(shù)據(jù)標(biāo)準(zhǔn)與數(shù)據(jù)模型的合規(guī)；f)數(shù)據(jù)邊界相關(guān)的合規(guī)性；h)數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估與審計(jì)機(jī)制的建立。a)數(shù)據(jù)治理績效管理目標(biāo)、方針和策略；b)數(shù)據(jù)治理績效組織管理，包括組織架構(gòu)、責(zé)任人、角色、職責(zé)和權(quán)限等；c)數(shù)據(jù)治理績效管理制度與流程；e)數(shù)據(jù)治理績效考核步驟；h)數(shù)據(jù)治理風(fēng)險(xiǎn)評(píng)估與審計(jì)機(jī)制的建立。數(shù)據(jù)質(zhì)量管理專項(xiàng)審計(jì)是指針對(duì)數(shù)據(jù)質(zhì)量的管理開展專項(xiàng)審計(jì)，審計(jì)范圍包a)數(shù)據(jù)質(zhì)量管理目標(biāo)、方針和策略；b)數(shù)據(jù)質(zhì)量組織管理，包括組織架構(gòu)、責(zé)任人、角色、職責(zé)和權(quán)限等；c)數(shù)據(jù)質(zhì)量管理制度與流程；d)數(shù)據(jù)質(zhì)量管理的資源保障；e)數(shù)據(jù)生存周期的安全性、可靠性和有效性；h)數(shù)據(jù)質(zhì)量管理風(fēng)險(xiǎn)評(píng)估與審計(jì)機(jī)制的建立。8.12數(shù)據(jù)資產(chǎn)管理專項(xiàng)審計(jì)a)數(shù)據(jù)資產(chǎn)管理目標(biāo)、方針和策略；c)數(shù)據(jù)資產(chǎn)組織管理，包括組織架構(gòu)、責(zé)任人、角色、職責(zé)和權(quán)限等；e)數(shù)據(jù)資產(chǎn)管理過程；g)數(shù)據(jù)資產(chǎn)安全；h)數(shù)據(jù)資產(chǎn)管理內(nèi)外部環(huán)境及技術(shù)資源保障等；i)數(shù)據(jù)資產(chǎn)管理風(fēng)險(xiǎn)評(píng)估與審計(jì)機(jī)制的建立。9數(shù)據(jù)審計(jì)流程數(shù)據(jù)審計(jì)流程要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計(jì)導(dǎo)則》。數(shù)據(jù)審計(jì)系統(tǒng)屬于GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計(jì)導(dǎo)則》中審計(jì)平臺(tái)的一部a)數(shù)據(jù)審計(jì)系統(tǒng)規(guī)模應(yīng)與組織業(yè)務(wù)復(fù)雜程度、信息技術(shù)依賴程度等相匹配；b)數(shù)據(jù)審計(jì)系統(tǒng)組織管理，包括組織架構(gòu)、責(zé)任人、角色、職c)數(shù)據(jù)審計(jì)系統(tǒng)管理制度與流程；d)數(shù)據(jù)審計(jì)系統(tǒng)建設(shè)，包括建設(shè)方式、立項(xiàng)、需求、設(shè)計(jì)、開發(fā)、測試、驗(yàn)收及上線等管理；f)數(shù)據(jù)審計(jì)系統(tǒng)運(yùn)行，包括基礎(chǔ)設(shè)施管理、網(wǎng)絡(luò)與信息安全管理、事件管理及問題管理等。數(shù)據(jù)審計(jì)報(bào)告要求見GB/T34960.4《信息技術(shù)服務(wù)治理第4部分：審計(jì)導(dǎo)則》。[1]GB/T19001-2016質(zhì)量管理體系[2]GB/T26317-2010公司治理風(fēng)險(xiǎn)管理指南[3]GB/T29264-2012信息技術(shù)服務(wù)分類與代碼[4]GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求[5]GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[6]GB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求[7]GB/T22081-2016信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南[8]GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[9]GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[10]GB/T20918-2007信息技術(shù)軟件生存周期過程風(fēng)險(xiǎn)管理[11]GB/T24353-2009風(fēng)險(xiǎn)管理原則與實(shí)施指南[14]GB/T31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南[15]GB/T33132-2016信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理實(shí)施指南[16]GB/T34960.1-2017信息技術(shù)服務(wù)治理第1部分：通用要求[17]GB/T34960.2-2017信息技術(shù)服務(wù)治理第2部分：實(shí)施指