數安條例百問97、98:關于數據安全審計
對應條款
第五十八條 國家建立數據安全審計制度。數據處理者應當委托數據安全審計專業機構定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
主管、監管部門組織開展對重要數據處理活動的審計,重點審計數據處理者履行法律、行政法規規定的義務等情況。
解讀
《條例》第五十八條提出,國家建立數據安全審計制度。可以從以下幾個方面理解這一制度設計。
一、數據安全審計制度并非由《條例》首創,而是來自于《個人信息保護法》
《個人信息保護法》第五十四條規定:“個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。”
《個人信息保護法》第六十四條規定:“履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求采取措施,進行整改,消除隱患。”
但上述規定并沒有交代兩個重要問題:誰能開展數據安全審計、出具審計報告?審計報告作何用途?
還可以引出更細致的問題:“定期”是多長時間?數據安全審計標準是什么?
為此,有必要在《條例》中對數據安全審計制度進行展開,特別是對以上問題給出答案。
但客觀上,回答這些問題并不容易。作為一項對社會有重大影響的嶄新制度,其必然要經歷一個相對較長的建設過程,故《條例》目前只是對此作出了原則性的規定。盡管如此,其仍對《個人信息保護法》作了三個方面的細化:
一是從“個人信息保護審計”擴展到了“個人信息保護”與“重要數據安全”審計。從審計制度應該發揮的作用看,這樣做是有必要的。
二是通過《條例》第五十三條明確了特定場合下(即針對大型互聯網平臺)數據安全審計的內容,包括平臺數據安全情況、平臺規則和自身承諾的執行情況、個人信息保護情況、數據開發利用情況等。
三是在《條例》第五十三條要求,大型互聯網平臺運營者應當進行年度審計,并披露審計結果。這相當于對“定期”和審計結果用途作了進一步規定。
當然,以上的細化也還顯不夠。特別是,公眾非常關心,數據安全審計機構的資格要求是什么?《個人信息保護法》對個人信息處理者的通用安全審計要求是內審還是外審?這些都有待進一步明確。
二、在數據安全審計提出之前,信息系統審計和網絡安全審計早有先例,故當前建立數據安全審計制度并不突兀
審計發源于對財務活動的關切,但其延伸至IT領域可謂十分自然。隨著信息化快速發展,信息系統的可靠性、安全性對一個單位的財務指標和整體運轉構成重大影響。因此,在傳統的財務審計基礎上,逐漸產生了信息系統審計。
1969年,美國在洛杉磯成立了電子數據處理審計師協會(EDPAA),1994年該協會更名為信息系統審計與控制協會(ISACA),這是目前全球最為知名的信息系統審計行業組織。自1978年以來,由ISACA發起的注冊信息系統審計師(CISA)認證計劃已經成為涵蓋信息系統審計、控制與安全等專業領域的被廣泛認可的標準。
2001年1月,美國國家審計署(GAO)發布《聯邦信息系統控制審計手冊》(第一版)(FISCAM),為美國聯邦政府實施信息系統審計提供了基本準則和方法;2009年2月發布第二版,該手冊成為現階段美國聯邦政府實施信息系統審計的事實標準。
2002年7月,美國爆出安然公司和世通財務欺詐案后,緊急出臺了《薩班斯法案》(SOX),其中404條款提出內部控制要求,推動了信息系統審計的快速發展。
與信息技術發達國家比較,我國信息系統審計起步較晚。自2000年前后開始,銀行等金融企業自發開展信息系統內部審計,如在內部審計部門設置“IT審計處”,部分行業、上市公司在內審部也設有IT審計崗。此后,我國審計署開始逐步試水官方IT審計,目前已經取得了很多進展,網絡安全審計制度也正在加快建設之中,后文將對此詳細介紹。
總體而言,在IT領域針對重要關注事項建立嚴格意義上的專門審計制度,這本身有著強烈的社會需求,且早已有先例,在我國也已進入實踐階段。因此,作為信息系統審計的其中一種,數據安全審計并非無本之木,不是空穴來風。
三、審計制度與認證制度的區別
《條例》同時提及了數據安全審計與認證制度,并在多個條款中要求進行數據安全評估。在觀察我國數據安全工作頂層設計時,如何理解三者的區別呢?
審計源于財務領域,是指由專職機構和人員,對被審計單位的財政、財務收支及其他經濟活動的真實性、合法性和效益性進行審查和評價的獨立性經濟監督活動。認證則是指由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。兩者的相同點是獨立性,且都由經過審批的權威機構作出,結果均具有“背書”性質,可被后續相關決策所采信。
但如“百問百答”此前所述,認證的目標主要是證明產品、服務、管理體系這三類對象符合相關標準或規范,是一種合格評定活動,其實質是一種標準符合性驗證(即按照標準逐項核對),認證結果主要供產品和服務交易方所采信。審計則不同,其關注對象是被審計單位的某種活動,核心是反映活動的真實性、合法性和效益性,且帶有監督性質。因此,當需要對數據處理者的數據處理活動進行全面、客觀反映,特別是關注其履行法律法規規定的責任義務情況時,應當優先采用審計手段。
評估則是對檢測、檢查、驗證等活動的泛指,不強調活動主體的第三方屬性,主體一般也不需要經過專門審批,評估依據往往也不嚴格指定。因此,相比審計與認證,一般而言評估結果的中立性、背書性質不是最佳的,但其形式靈活,在技術上有時候是最深入的。
四、當前數據安全相關審計業務的開展情況
目前,在國際一些知名會計師事務所的引領下,信息系統審計已經成為一種常態業務,且進一步細分出了網絡安全審計等業務,主要在金融領域開展。作為對合規性最為關注的行業,近年來隨著金融領域對個人信息保護要求的重視,很多機構正在嘗試開展數據安全審計業務。
2020年3月,中國人民銀行印發了金融行業標準《個人金融信息保護技術規范》。該規范提出,將個人金融信息保護納入金融業機構內部安全審計工作,定期開展安全審計,形成審計報告,并根據審計結果完善制度、流程。雖然這是一種內部審計規定,尚不涉及外審,但意味著我國行業主管部門正式在技術規范中明確了個人信息保護審計的地位。
在金融業對個人信息保護強監管的趨勢下,一些會計師事務所、律師事務所加大了對數據安全審計業務的探索。在信息系統審計中,無論是一個單位自己的內部審計,還是以審計為業的社會審計,抑或專司國家治理職能的國家審計,其根本之處就在于代表委托方,以審計為手段,對委托方所委托審計的信息系統控制的有效性做出公正、客觀的判斷,并向委托方報告審計發現。因此,在設計數據安全審計時,目前業內普遍遵循信息系統審計的方法論,即由專業審計人員根據國家法律法規、標準規范及企業內部控制要求,對數據安全治理、數據安全管理、數據生命周期安全(采集、傳輸、存儲、處理、交換、銷毀)、數據庫安全等內容進行檢查,確保組織數據得到安全控制,防范數據完整性、可用性遭到破壞以及發生數據泄露。
數據安全審計的主要目標是提高企業數據安全性和改善企業數據治理,審計方法主要包括問、查、看、測四種類型。
問,即詢問法或訪談法,主要通過面對面或在線視頻、音頻等方式交談來了解被審計對象的信息,以便快速了解被審計對象的數據安全保護情況。
查,即查閱法或調查法,主要由審計人員通過對相關技術文檔、記錄等進行查閱,或通過書面或口頭回答問題的方式收集研究對象的相關資料,并做出分析以獲取審計證據。
看,即觀察法,主要由審計人員觀察被審計組織員工的職責履行情況以及業務操作程序等,對審計對象進行觀察和分析,以獲取審計證據。
測,即測試法,主要由審計人員通過對審計對象使用相關方法或工具使其產生預定的輸出,以此來獲取審計證據。
在具體審計過程中,測試法還主要包括:數據庫漏洞掃描、數據脫敏有效性測試、數據質量測試(數據準確性、數據完整性、數據有效性、數據唯一性、數據一致性)等數據安全相關測試工作。但總體而言,數據安全審計方法仍在發展之中,特別是數據安全的合規審計更是新事物,還需要在實踐中進行更多的摸索。
對應條款
第五十八條 國家建立數據安全審計制度。數據處理者應當委托數據安全審計專業機構定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
主管、監管部門組織開展對重要數據處理活動的審計,重點審計數據處理者履行法律、行政法規規定的義務等情況。
解讀
重要數據安全保護是《條例》新提出的重要制度,故針對重要數據開展的安全審計自然也是首次提出,其位于《條例》第五十八條的第二款。那么,這個“首次”體現在什么地方呢?
最關鍵一點是,《條例》對重要數據審計的實施機構作了特殊規定,即只能由主管、監管部門組織實施。
這說明,鑒于重要數據對國家安全、公共利益的特殊意義,這類審計不能由社會機構實施,必須由官方組織。但是,這里的“主管、監管部門”是指行業主管、監管部門,還是數據安全主管部門?此外,國家審計署在其中是什么關系呢?
這一問題尚需《條例》在后續修改時進一步回答。從目前形勢看,短時間內較難完整建立重要數據安全審計制度,但我國官方在IT審計和網絡安全審計方面的工作歷程可以為這項制度提供很好的借鑒。
2005年前后,我國審計署啟動了信息系統國家審計的嘗試和探索,但主要是與傳統財務財政收支審計、經濟責任審計和重大項目審計等結合在一起開展。2007年,審計署組織開展了信息系統審計試點工作,部分特派辦和省審計廳逐漸在傳統審計項目中開展信息系統審計。此后,國務院、銀保監會、證監會、國資委等行政主管部門先后出臺了多項要求本行業開展信息系統審計工作的政策文件,對推動各行業開展包括網絡安全審計在內的信息系統審計工作起到較大的推動作用。
2008年上半年,審計署組織對多家大型央企集團開展了信息系統審計調查,第一次獨立組織了信息系統審計項目。2010年,審計署頒布了《關于檢查信息系統相關審計事項的指導意見》,提出了需重點關注信息系統相關審計事項的9個方面,并對信息系統審計的對象、內容及方法進行了明確。2012年,審計署頒布了《信息系統審計指南》(計算機審計實務公告第34號),各級審計機關參照指南相繼開展了信息系統審計工作。2014年10月,《國務院關于加強審計工作的意見》(國發〔2014〕48號)提出“推進對各部門、單位信息系統安全性、可靠性和經濟性的審計”。2016年,審計署印發《“十三五”國家審計工作發展規劃》強調:加大對政府部門、國有企事業單位信息化建設項目及信息系統審計力度,促進國家大數據戰略的順利實施。
黨中央國務院高度關注信息系統審計工作。2016年5月,國務院辦公廳關于印發政務信息系統整合共享實施方案的通知提出,“開展常態化的政務信息系統和政務信息共享審計,加強對政務信息系統整合共享成效的監督檢查”;“審計機關要依法履行職責,加強對政務信息系統的審計,保障專項資金使用的真實性、合法性和效益性,推動完善相關政策制度,審計結果及時報國務院。探索政務信息系統審計的方式方法”。2017年8月,中央印發《黨委(黨組)網絡安全工作責任制實施辦法》(廳字〔2017〕32號),要求“各級審計機關在有關部門和單位的審計中,應當將網絡安全建設和績效納入審計范圍”。2018年12月18日,審計署下發了《審計署關于印發加強信息系統審計工作指導意見的通知》(審數據發〔2018〕35號),要求根據黨中央、國務院的有關要求,進一步加強信息系統審計工作。
2021年7月,中央公開了《黨委(黨組)網絡安全工作責任制實施辦法》,文件進入加速實施期,目前相關部門正在研究制定其中提出的網絡安全審計制度。借此東風,重要數據安全審計制度料將加快推出。
相關文章
數安條例百問 3、4:關于 “網絡數據” 和 “數據處理者”
數安條例百問 15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問 27、28、29、30:關于 “一般要求” 中的幾個特定考慮
數安條例百問 46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問 55、56、57、58、59:關于年度評估與對外提供數據的風險評估
數安條例百問 60、61:關于征得主管部門同意要求及云安全評估要求
數安條例百問 66、67、68:關于數據出境的單獨同意、評估條件與國際協議
數安條例百問 69、70:關于數據出境安全管理義務與安全報告
數安條例百問 71、72、73:關于數據出境安全技術監管措施
數安條例百問 74、75、76、77、78:關于平臺規則、隱私政策和算法策略
數安條例百問 81、82、83:關于反不正當競爭、應用程序分發管理和數據互通
數安條例百問 84、85:關于個性化推薦
數安條例百問 86:關于網絡身份認證公共服務基礎設施
