【小贝说安全】数安条例百问97、98：关于数据安全审计

11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除。

对应条款

《条例》第五十八条提出，国家建立数据安全审计制度。可以从以下几个方面理解这一制度设计。

一、数据安全审计制度并非由《条例》首创，而是来自于《个人信息保护法》

《个人信息保护法》第五十四条规定：“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”

《个人信息保护法》第六十四条规定：“履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。”

但上述规定并没有交代两个重要问题：谁能开展数据安全审计、出具审计报告？审计报告作何用途？

还可以引出更细致的问题：“定期”是多长时间？数据安全审计标准是什么？

为此，有必要在《条例》中对数据安全审计制度进行展开，特别是对以上问题给出答案。

但客观上，回答这些问题并不容易。作为一项对社会有重大影响的崭新制度，其必然要经历一个相对较长的建设过程，故《条例》目前只是对此作出了原则性的规定。尽管如此，其仍对《个人信息保护法》作了三个方面的细化：

一是从“个人信息保护审计”扩展到了“个人信息保护”与“重要数据安全”审计。从审计制度应该发挥的作用看，这样做是有必要的。

二是通过《条例》第五十三条明确了特定场合下（即针对大型互联网平台）数据安全审计的内容，包括平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等。

三是在《条例》第五十三条要求，大型互联网平台运营者应当进行年度审计，并披露审计结果。这相当于对“定期”和审计结果用途作了进一步规定。

当然，以上的细化也还显不够。特别是，公众非常关心，数据安全审计机构的资格要求是什么？《个人信息保护法》对个人信息处理者的通用安全审计要求是内审还是外审？这些都有待进一步明确。

二、在数据安全审计提出之前，信息系统审计和网络安全审计早有先例，故当前建立数据安全审计制度并不突兀

审计发源于对财务活动的关切，但其延伸至IT领域可谓十分自然。随着信息化快速发展，信息系统的可靠性、安全性对一个单位的财务指标和整体运转构成重大影响。因此，在传统的财务审计基础上，逐渐产生了信息系统审计。

1969年，美国在洛杉矶成立了电子数据处理审计师协会（EDPAA），1994年该协会更名为信息系统审计与控制协会（ISACA），这是目前全球最为知名的信息系统审计行业组织。自1978年以来，由ISACA发起的注册信息系统审计师（CISA）认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的被广泛认可的标准。

2001年1月，美国国家审计署（GAO）发布《联邦信息系统控制审计手册》（第一版）（FISCAM），为美国联邦政府实施信息系统审计提供了基本准则和方法；2009年2月发布第二版，该手册成为现阶段美国联邦政府实施信息系统审计的事实标准。

2002年7月，美国爆出安然公司和世通财务欺诈案后，紧急出台了《萨班斯法案》（SOX），其中404条款提出内部控制要求，推动了信息系统审计的快速发展。

与信息技术发达国家比较，我国信息系统审计起步较晚。自2000年前后开始，银行等金融企业自发开展信息系统内部审计，如在内部审计部门设置“IT审计处”，部分行业、上市公司在内审部也设有IT审计岗。此后，我国审计署开始逐步试水官方IT审计，目前已经取得了很多进展，网络安全审计制度也正在加快建设之中，后文将对此详细介绍。

总体而言，在IT领域针对重要关注事项建立严格意义上的专门审计制度，这本身有着强烈的社会需求，且早已有先例，在我国也已进入实践阶段。因此，作为信息系统审计的其中一种，数据安全审计并非无本之木，不是空穴来风。

三、审计制度与认证制度的区别

《条例》同时提及了数据安全审计与认证制度，并在多个条款中要求进行数据安全评估。在观察我国数据安全工作顶层设计时，如何理解三者的区别呢？

审计源于财务领域，是指由专职机构和人员，对被审计单位的财政、财务收支及其他经济活动的真实性、合法性和效益性进行审查和评价的独立性经济监督活动。认证则是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。两者的相同点是独立性，且都由经过审批的权威机构作出，结果均具有“背书”性质，可被后续相关决策所采信。

但如“百问百答”此前所述，认证的目标主要是证明产品、服务、管理体系这三类对象符合相关标准或规范，是一种合格评定活动，其实质是一种标准符合性验证（即按照标准逐项核对），认证结果主要供产品和服务交易方所采信。审计则不同，其关注对象是被审计单位的某种活动，核心是反映活动的真实性、合法性和效益性，且带有监督性质。因此，当需要对数据处理者的数据处理活动进行全面、客观反映，特别是关注其履行法律法规规定的责任义务情况时，应当优先采用审计手段。

评估则是对检测、检查、验证等活动的泛指，不强调活动主体的第三方属性，主体一般也不需要经过专门审批，评估依据往往也不严格指定。因此，相比审计与认证，一般而言评估结果的中立性、背书性质不是最佳的，但其形式灵活，在技术上有时候是最深入的。

四、当前数据安全相关审计业务的开展情况

目前，在国际一些知名会计师事务所的引领下，信息系统审计已经成为一种常态业务，且进一步细分出了网络安全审计等业务，主要在金融领域开展。作为对合规性最为关注的行业，近年来随着金融领域对个人信息保护要求的重视，很多机构正在尝试开展数据安全审计业务。

2020年3月，中国人民银行印发了金融行业标准《个人金融信息保护技术规范》。该规范提出，将个人金融信息保护纳入金融业机构内部安全审计工作，定期开展安全审计，形成审计报告，并根据审计结果完善制度、流程。虽然这是一种内部审计规定，尚不涉及外审，但意味着我国行业主管部门正式在技术规范中明确了个人信息保护审计的地位。

在金融业对个人信息保护强监管的趋势下，一些会计师事务所、律师事务所加大了对数据安全审计业务的探索。在信息系统审计中，无论是一个单位自己的内部审计，还是以审计为业的社会审计，抑或专司国家治理职能的国家审计，其根本之处就在于代表委托方，以审计为手段，对委托方所委托审计的信息系统控制的有效性做出公正、客观的判断，并向委托方报告审计发现。因此，在设计数据安全审计时，目前业内普遍遵循信息系统审计的方法论，即由专业审计人员根据国家法律法规、标准规范及企业内部控制要求，对数据安全治理、数据安全管理、数据生命周期安全（采集、传输、存储、处理、交换、销毁）、数据库安全等内容进行检查，确保组织数据得到安全控制，防范数据完整性、可用性遭到破坏以及发生数据泄露。

数据安全审计的主要目标是提高企业数据安全性和改善企业数据治理，审计方法主要包括问、查、看、测四种类型。

问，即询问法或访谈法，主要通过面对面或在线视频、音频等方式交谈来了解被审计对象的信息，以便快速了解被审计对象的数据安全保护情况。

查，即查阅法或调查法，主要由审计人员通过对相关技术文档、记录等进行查阅，或通过书面或口头回答问题的方式收集研究对象的相关资料,并做出分析以获取审计证据。

看，即观察法，主要由审计人员观察被审计组织员工的职责履行情况以及业务操作程序等，对审计对象进行观察和分析，以获取审计证据。

测，即测试法，主要由审计人员通过对审计对象使用相关方法或工具使其产生预定的输出，以此来获取审计证据。

在具体审计过程中，测试法还主要包括：数据库漏洞扫描、数据脱敏有效性测试、数据质量测试（数据准确性、数据完整性、数据有效性、数据唯一性、数据一致性）等数据安全相关测试工作。但总体而言，数据安全审计方法仍在发展之中，特别是数据安全的合规审计更是新事物，还需要在实践中进行更多的摸索。