试论如何进行数据安全审计

李朝晖 武汉汉鹏房地产开发有限公司

一、前言

近年来，我国经济数字化转型取得长足进步，从政府到企业、从世界500强到小微企业，从东部发达地区到西部偏远乡村，数字化已形成趋势。在数字化给我们的生活带来巨大好处的同时，也不可避免地带来数据安全方面的问题，如数据非法越境、过度采集个人信息、私自贩卖信息、数据库资料泄露等。

根据风险基础安全（Risk Based Security）的数据显示，2020年全球数据泄露达到360亿条[1]！根据《2020年中国互联网网络安全报告》的统计，2020年国家互联网应急中心累计监测并通报，国内联网信息系统数据库存在安全漏洞、遭受入侵控制以及个人信息遭盗取和非法售卖等重要数据安全事件3000余起，涉及电子商务、互联网企业、医疗卫生等众多行业机构[2]。

笔者曾就数据安全问题做过研究，结论是：建立数据安全审计制度可以为数据安全综合治理做出重大贡献。本文将继续对数据安全审计制度进行研究，尝试从审计专业角度，就如何进行数据安全审计做一个初步探讨，希望对数据安全审计研究能有所助益，不对之处，敬请专家批评指正。

二、数据安全审计流程

1.确定审计目的

审计目的是指审计工作要达到的预期目标。

不同类型的审计工作要达到的审计目的会有所不同，就数据安全审计而言，其审计目的是对被审计单位在数据安全方面的法律合规性、内部控制设计合理性、内部控制实施有效性、内部控制经济性进行审计，并出具报告。

法律合规性是指，被审计单位在数据安全管理方面是否符合国家法律法规的规定。作为数据产生单位，不得违反《数据安全法》《个人信息保护法》《网络安全审查办法》等的规定。一些特殊行业还要遵守《汽车数据安全管理若干规定（试行）》《电子商务法》等的规定。

内部控制设计合理性是指，被审计单位在数据安全管理的内部控制上，控制环境如何、管理当局是否重视、控制程序是否足够、流程设计是否合理、是否存在控制缺陷。

内部控制实施有效性是指，内部控制是否一直得到执行、流程运行是否稳定、能否达到内控设计的效果。

内部控制经济性是指，内部控制的投入产出比如何、内控成本管理是否到位、内控的经济效益和社会效益的权衡。

2.明确审计主体

审计主体是在审计活动中依法实施审计行为、行使审计监督权的审计专职机构及审计专业人员。

审计专职机构一般包括：实施政府审计的国家审计机关、实施社会审计的专业机构、实施内部审计的内设部门。审计专业人员可以是国家审计机关的公职人员、社会审计机构的专业审计人员，也可以是内设审计部门的工作人员。

政府审计主体拥有较强的公权力、强制力和示范性；社会审计主体的强制力较弱，但专业水准高、公信力和鉴证力强；内部审计主体的强制力和鉴证力都相对较弱，是前两类审计主体的有益补充。

3.明确审计对象

审计对象是指审计主体采用各种审计手段所作用的对象，狭义的审计对象仅指被审计单位，此处指狭义的审计对象。

被审计单位具体分为三类：

①中央和地方的各级财政部门、中央银行和国有金融机构、各级行政机关、事业单位、国有企业等。

②各类非国有单位。

③接受内部审计的内设部门、下属单位。

4.设定审计范围

①管理当局做出的各项决定。

管理当局的态度对数据安全管理至关重要，管理当局重视，则数据安全管理工作可以得到需要的资源、人员能够得到足够配备，数据安全管理的效果会较好。因此，管理当局就数据安全管理做出的各种书面或口头决定，应纳入审计范围。

②数据安全管理制度。

被审计单位应该建立健全数据安全管理制度，宣示数据安全的重要性，确定具体的责任部门，明确数据管理规则，强调违规的处罚措施等。

③内部控制流程。

被审计单位根据《数据安全管理制度》编制的《内部控制流程》，也是审计范围中的重要组成部分。在《内部控制流程》中，要规定数据流转中的重要控制节点、各部门的职责边界、突发情况的应急处置等。

④人员配备与职责权限。

审计人员要审查被审计单位在数据安全方面的部门设置、人员配备、岗位职责、授权及工作权限、岗位不相容设置、人员培训、工作经费保障情况。

隐匿阴茎病理解剖学改变主要为阴茎皮肤和皮下筋膜组织的发育异常[4]。阴茎皮下筋膜组织中纤维条索的形成和筋膜纤维脂肪变性，使筋膜组织僵硬，缺乏弹性，进而固缩阴茎体。另一个病理改变是阴茎皮肤发育异常，包括阴茎皮肤与阴茎体的附着不良，以及阴茎皮肤的不对称分布。包皮口狭窄环是内板和外板的分界线，隐匿阴茎患者狭窄环距离阴茎根部近，导致内板多、外板少的不对称状态。部分患者合并有蹼状阴茎，进而使得阴茎皮肤背侧多于腹侧。具体病变学特点如图4所示。

⑤IT硬件在数据安全管理方面的配置。

IT硬件配置与数据安全直接相关，也是审计人员应关注的方向。要关注国家对IT硬件采购的规定，对应该采购国有设备的是否从其规定；要关注IT硬件配置是否足够，能否满足系统峰值运转的要求；要关注CPU中是否被植入了病毒程序、木马陷阱；要关注电源的可靠性，是否需要设置备份电源。

⑥软件运行过程中保证数据安全的机制。

软件运行过程中，是数据最容易泄露的地方。审计人员对于软件要重点关注。要关注软件是否存在Bug，是否及时补上了安全Bug；要关注账号口令的设置规则，是否普遍使用弱口令；要关注各层级用户的数据权限分配情况；要关注APP是否存在过度采集用户信息的情况；要关注API接口会否成为新型攻击手段的目标；要关注数据库系统的安全，进入权限是否适当；要关注接入互联网的规则，是否存在数据非法上网甚至出境的情况。

⑦数据安全收支及效益等。

数据安全管理产生的收支、对应的资金凭证、财务票据也是审计的范围。各项成本的投入都应该有所收益，要么是社会效益，要么是经济效益，没有效益的支出，最终都不能长久持续。审计人员从被审计单位长远发展角度，应关注其数据效益问题。

5.了解内部控制制度

审计进场后，审计人员应了解被审计单位内部控制制度的基本情况，并对内部控制的有效性做出初步评价。

要了解被审计单位的控制环境。控制环境（Control environment）是被审计单位管理当局对实施某项控制政策的态度、认识、行动方式。要了解管理当局对数据安全是否重视、是否对数据安全管理提供了足够的资源、是否要求其他部门配合数据安全管理的控制措施等等。

要了解被审计单位的控制程序。控制程序（Control program）是被审计单位为了实现某项目标而制定的政策、流程和措施。要了解设计的数据安全管理措施是否适当、充分。

要了解被审计单位的会计系统。会计系统（Accounting System）是对经济业务进行日常处理的一整套记录、程序和设施。要了解会计系统对数据管理经济业务的记录是否及时、准确、完整。

要了解被审计单位的业务系统。业务系统（Business System）是被审计单位为保证经济活动正常运转、实现既定目标而设计并运行的各类程序、措施的总和。只有准确了解业务系统，才能分析数据安全系统与业务系统的关系，才能准确评价数据安全控制措施是否充分、恰当。

初步了解了数据安全内部控制后，要对其实施的有效性进行初步评价，并确定重要性水平，为明确审计程序的性质、时间和范围提供初步指引。

财务报表审计中，重要性水平是指用金额表示的会计信息错报或漏报的严重程度。就数据安全审计而言，重要性水平是指用金额或数据量表示的数据信息错报或漏报的严重程度。

例如，在数据安全审计中，可以确定重要性水平为10000元，表示可以容忍错报金额为10000元以下的单笔数据经济业务或单个客户；也可以确定重要性水平为500MB字节的数据量，表示可以容忍错报数据量在500MB字节以下的单笔数据经济业务或单个客户。

合理确定重要性水平，可以提高审计工作效率，可以有效降低审计风险。

6.符合性测试

符合性测试是在内部控制初步了解和评价的基础上，对内部控制制度贯彻执行情况进行测试，以确定被审计单位经济业务的运行是否符合内部控制制度的规定，其遵循的程度有多大，进而确定内部控制是否值得依赖或可以依赖的程度。

审计人员要通过审计程序，进一步了解数据安全管理制度是否得到切实遵循，有没有集体舞弊的可能，为下一步实质性测试做准备，合理确定实质性测试的范围、时间和工作量。

若审计人员发现数据安全内控制度形同虚设、根本没有执行，则可以跳过符合性测试，直接进行实质性测试。

7.实质性测试

实质性测试，是为了获取更直接的审计证据、支撑审计报告进行更加深入的检查，而采取的审计程序和方法。

实质性测试的方法主要有：

询问。审计人员可以询问管理当局、中层干部、核心岗位人员，以了解数据安全内部控制得到实际执行的程度。

观察。直接询问容易引起当事人警觉和抵触，暗中观察也可以得到数据安全内部控制执行效果的第一手资料。

检查。审计人员通过检查硬件系统、软件系统，查验业务流转单据、发票、出入库单、数据库资料等，可以直接有效地发现错报、漏报及舞弊的情况。

监盘。被审计单位用于数据安全管理的核心硬件、存储设备及介质、客户数量、个人信息数据库等，都应该被监盘，以确定其真实性。

函证。审计人员应当通过函证手段，直接获取第三方的信息，核查高于重要性水平的往来事项，以查验被审计单位数据信息的真实性、完整性。

分析性复核。审计人员还可以复核相关数据或调取同行业平均数据，与被审计单位进行比对，以发现被审计单位是否存在数据造假、数据异常的情况。

通过实质性测试，审计人员将获取被审计单位在数据管理方面充足的证据，为下一步撰写审计报告打下坚实的基础。

8.撰写审计报告

审计人员通过收集到的审计证据，结合重要性水平，进行综合分析判断后，应当形成审计意见，并撰写审计报告。

审计报告应当对被审计单位在所有重大方面是否遵循了数据安全内部控制制度，该单位数据管理达到的安全级别做出明确结论。

审计报告是对被审计单位数据安全管理的现状做出的客观公允的综合评价，可以让社会公众对被审计单位在数据安全管理方面的水平有一个直观的印象，为相关单位的经济决策提供科学的依据。

三、数据安全审计中需要注意的几个问题

在数据安全审计工作中，审计人员除了严格遵守相关审计准则、保持勤勉尽责的工作态度外，还要高度重视以下几个问题，以避免出现审计失败的情况。

1.规避审计风险

我们知道，审计风险=固有风险*控制风险*检查风险。固有风险是被审计单位固有存在的错报风险，审计人员无法改变其风险水平。控制风险是指被审计单位内部控制失效的风险。

审计人员应当通过对内部控制制度的了解和符合性测试，综合判断固有风险与控制风险的大小，并据此对检查风险做出客观的评估，确定可接受的检查风险水平。可接受的检查风险水平与实质性测试的工作量成反比关系。

审计人员在进行数据安全审计过程中，无论可接受的检查风险水平设定为多少，都要对数据管理的重要节点、重要客户、重大事项进行实质性测试，以最大程度规避审计风险。

2.保守被审计单位的秘密

由于数据本身具有易复制、易扩散、易泄漏的特点，审计人员应特别注意保守被审计单位的秘密。审计主体应与被审计单位在《审计约定书》中约定保守秘密的条款，以体现对被审计单位数据权益的保护。

审计人员要严格执行《数据安全法》，遵守职业道德规范，保持职业操守，严格保管工作底稿，强化工作纪律，办公电脑审慎连接互联网，重要资料阅后及时归还，特别不能擅自将数据出境。

3.借助专业人士的帮助

数据安全审计过程中，会碰到大量IT专业知识，如JAVA、SQL、技术架构、API等，审计人员受专业限制，不一定都能掌握。此时就需要借助精通计算机知识的专业人士的帮助，这样可以大幅提高审计工作效率，保证审计工作质量。

借助外部专业人士的帮助时，审计人员不能撒手不管、一放了之，仍然要本着勤勉尽责的态度，对外部人士的工作加以指导和监督，确保其符合审计工作的各项要求。

四、结论

当前，数据安全审计在国内尚未得到实质性的推广。从法律层面看，还没有明确条文要求强制进行数据安全审计；从会计准则和审计准则层面看，还没有制订专门针对数据安全的准则；从社会层面看，除了大型头部企业通过国外SOC审计进行了数据安全方面的认证外，其余市场主体因为高昂的费用，暂时无法进行数据安全方面的审计认证。但是，国内数据安全审计的发展前景一片广阔，市场规模必将迅速壮大。

本文探讨了数据安全审计的流程，也思考了在审计过程中要注意的一些问题，是对数据安全审计实务工作做的初步探讨，希望能抛砖引玉，吸引更多力量参与到数据安全审计的研究中来。相信随着数据安全综合治理的不断推进，国内数据安全审计事业一定能发展得更快更好！