数据合规审计 指南

准Datacomplianceaudit—Guidel中国电子信息行业联合会发布I易所有限公司、深圳数据交易所有限公司、东、单哲、才君、詹特伦、赵亮、张婧、何渊、石锋、陈泓汲、刘建楠 I IV 1 1 1 2 24.2专业性 24.3合法性 24.4充分性 2 2 2 3 3 3 4 6 6 6 67.7风险分析 7 8 97.10审计结果与审计结论 107.11合规义务 10 11 118.2数据和数据资产 128.3数据环境 138.4数据相关行为 148.5应用系统和工具平台 178.6数据合规管理 17 19 19 19 209.4审计报告 21 23 23 23 23 23 23 23 23 24 24 25 25 25 25 26 27《数据合规管理体系要求》（T/CITIF001-2022）基于我国《网络安全法》《数据计人员提供执行标准，同时为数据合规审计报告《中国注册会计师其他鉴证业务准则第3101号－历史财务信息审计1数据合规审计指南GB/T9387.2-1995信息处理系统开放系统互连基本参考模型第2部分：安全体系结构GB/T20945-2013信息安全技术信息系统安全审计产品技术要求和测试评价GB/T34960.4-2017信息技术服务治理第4部分：审计GB/T35273-2020信息安全技术个人信息安全GB/T36073-2018数据管理能力成熟度评估GB/T37964-2019信息安全技术个人信息去标识GB/T37973-2019信息安全技术大数据安全管GB/T39412-2020信息安全技术代码安全审计GB/T40685-2021信息技术服务数据资产管理GB/Z41290-2022信息安全技术移动互联网安全审计T/CITIF001-2022数据合规管理体系要求3.1数据合规审计datacomplianc审计机构根据商定的法律法规要求，对被审计单位数据3.2相关部门、数据治理活动、涉及数据的经济活动、数据资源与相关数据处理活动等。3.423.53.6数据合规审计中根据审计目标和目的确认的被审计单位拥有的数3.73.84基本原则开展审计工作的机构、人员未参与被审计单位4.2专业性4.3合法性4.4充分性4.5公允性3根据审计主体和审计方式的不同，数据合规审计项目分为以下几种基本计内容的全面性，评价合规管理活动在设计、运行等方面的有47.2审计主体a)起草数据合规审计的章程、制度、准则和流程；b)制定数据合规审计的中长期规划；f)确保能直接与治理层进行沟通及汇报；g)当存在偏离某项审计准则或标准的情形时，宜有其他可替代的a)进行独立性、客观性评价；b)进行服务结果评价和利用。5c)具备数据合规风险评估的专业知识和技d)掌握审计、标准化、财务及管理等通用知识和技能；e)应具备至少三年的数据合规审计相关的工作经验，能够熟练运用数据合规审计相关的软件和f)拥有与数据合规审计工作相关的基本技能、专业技能和软技能；g)拥有与所处管理或业务岗位相适应的数据合规职业资格及经验；a)遵循《中国注册会计师其他鉴证业务准则第b)充分利用外部专家的专业知识和技能，准确理解和评价数据合规义务是否得到履行；d)审计人员利用专家的工作，并不能免a)明确审计人员在数据合规审计过程中的角色和职责；审计机构应与被审计单位共同建立数据合规审计沟通机制，并通过以下活动保障审计工作开展过a)确保数据合规审计机构的独立性和追责制；b)明确数据合规审计机构与其他部门之间的沟通方式；b)制定数据合规审计绩效考核制度；6审计机构应建立数据合规审计项目的风险管理机制，并通过7.3审计目标和目的数据合规审计项目的总体目标是鉴证被审计单位数据合规义务履行情况。审计人员应根据每个项7.4审计依据7.5审计范围数据治理、授权和认证管理、关键人员管理等行为操7.6审计重点77.7风险分析依赖于审计人员是否采取合理的审计方法及规范执行审计a)被审计单位的数据环境满足安全可信要求时，审计人员在测试并确认相关人员的管理流程中风险应对措施的设计和执行有效性实施审计工d)当被审计单位的数据合规管理从体系设计到管理流程存在重大缺87.8审计方案97.9审计证据a)审计结果应记录测试过程中发现的异常或例外情况的完整信息；c)当一项测试的结果不能充分