收藏
下载资源

《信息技术服务治理数据审计》标准全文及编制说明

上传人:木92****502 文档编号:113377744 上传时间:2019-11-08 格式:PDF 页数:28 大小:862.15KB
返回 下载 相关 举报
《信息技术服务治理数据审计》标准全文及编制说明_第1页
第1页 / 共28页
《信息技术服务治理数据审计》标准全文及编制说明_第2页
第2页 / 共28页
《信息技术服务治理数据审计》标准全文及编制说明_第3页
第3页 / 共28页
《信息技术服务治理数据审计》标准全文及编制说明_第4页
第4页 / 共28页
《信息技术服务治理数据审计》标准全文及编制说明_第5页
第5页 / 共28页
点击查看更多>>
资源描述

《《信息技术服务治理数据审计》标准全文及编制说明》由会员分享,可在线阅读,更多相关《《信息技术服务治理数据审计》标准全文及编制说明(28页珍藏版)》请在金锄头文库上搜索。

1、ICS 35.080 177 团 体 标 准 T/ CESA XXXX2019 信息技术服务 治理 数据审计 Information Technology Service - Governance-Data Audit 征求意见稿 (在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上) 2019 - - 发布 2019 - XX - 实施 中国电子工业标准化技术协会 发 布 T/CESA XXXX-2019 II 目 次 目次 . II 前 言 . IV 信息技术服务 治理 数据审计 5 1 范围 5 2 规范性引用文件 5 3 术语和定义 5 4 数据审计总则 6 4.1 审计与治

2、理的关系 6 4.2 审计结构及其关系 6 4.3 审计依据 6 4.4 审计方法 6 4.5 审计技术 6 4.6 审计质量控制 7 4.7 审计业务类型 7 4.8 审计方式 7 4.8 审计工作的执行 7 5 数据审计组织管理 7 6 数据审计人员要求 7 7 数据治理内部控制审计 7 7.1 总则 7 7.2 组织控制审计 8 7.3 一般控制审计 9 7.4 应用控制 11 8 数据专项审计 . 12 8.1 总则 . 12 8.2 数据库管理专项审计(INFORMATICA)(数据标准、) 13 8.3 外部数据管理专项审计 . 13 8.4 业务数据管理专项审计 . 13 8.5

3、 数据生存周期管理专项审计 . 14 8.6 数据应用管理专项审计 . 14 8.7 数据安全管理专项审计(个人信息保护、数据标准、) . 14 8.8 云数据管理专项审计 . 15 8.9 数据合规管理专项审计 . 15 8.10 数据治理绩效专项审计 15 8.11 数据质量管理专项审计 16 8.12 数据资产管理专项审计(数据标准、) 16 9 数据审计流程 . 16 T/CESA XXXX-2019 III 10 数据审计报告 . 16 附 录 A (规范性附录) 数据审计系统 . 17 T/CESA XXXX-2019 IV 前 言 T/CESA XXXXX 属于GB/T 3496

4、0信息技术服务 治理总标题下的一部分: - 第1部分 (即GB/T 34960.1-2017信息技术服务 治理 第1部分:通用要求) - 第2部分 (即GB/T 34960.2-2017信息技术服务 治理 第2部分:实施指南) - 第3部分 (即GB/T 34960.3-2017信息技术服务 治理 第3部分:绩效评价) - 第4部分 (即GB/T 34960.4-2017信息技术服务 治理 第4部分:审计导则) - 第5部分 (即GB/T 34960.5-2018信息技术服务 治理 第5部分:数据治理规范) - 第6部分 (即GB/T 34960.6信息技术服务 治理 第6部分::风险管理)

5、- 第7部分 (即GB/T 34960.7信息技术服务 治理 第7部分:数据审计) - 第8部分 (即GB/T 34960.8信息技术服务 治理 第8部分:安全审计) 本标准按照GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由中国电子技术标准化研究院提出。 本标准起草单位: 本标准主要起草人: T/CESA XXXX-2019 5 信息技术服务 治理 数据审计 1 范围 T/CESA XXXXX 的本部分规定了数据审计总则、数据审计组织管理、数据审计人员、数据内部控 制审计、审计流程、审计报告、审计适用对象和范

6、围等内容。 本部分适用于: a) 组织治理主体实施数据审计监督职能; b) 建立或完善组织的数据审计体系及相关平台; c) 明确组织数据审计过程中的相关要求; d) 规范组织数据审计业务的开展及相关平台的建设; e) 第三方或其他相关机构开展数据审计的指导 f) 建立或未建立内部数据审计机构的组织,均可聘请第三方依据本标准的相关要求开展数据审 计。 各级各类信息化主管部门、监管机构及审计监督机构,可根据法律法规、部门规章的要求,使用本 标准对所管辖各类组织的数据审计提出要求,并进行监督。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文

7、件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 34960.1 信息技术服务 治理 第1部分:通用要求 GB/T 34960.4 信息技术服务 治理 第4部分:审计导则 3 术语和定义 3.1 数据 data 指所有能输入到计算机并被计算机程序处理的符号的介质的总称, 是用于输入电子计算机进行 处理,具有一定意义的数字、字母、符号和模拟量等的通称。 3.2 数据审计 data Audit 根据数据审计标准的要求,对数据本身以及与其形成过程相关的内部控制和流程进行检查、评 价,发表审计意见,并提出改进意见和建议。 3.3 数据组织层面控制 data orga

8、nization control 在组织层面建立并实施的数据相关控制,控制要素包括数据控制环境、风险评估、控制活动、 信息与沟通及内部监督。 T/CESA XXXX-2019 6 3.4 数据组织控制审计 data control audit 对数据组织层面控制开展的审计。 3.5 数据一般控制 data general control 为了保证数据系统安全、稳定的运行,对整个数据系统以及外部各种环境要素实施的控制。 3.6 数据一般控制审计 data general control audit 对数据一般控制开展的审计。 3.7 数据应用内部控制 data application inter

9、nal control 在数据层面为合理保证数据应用系统准确、 完整、 可靠的完成数据的准备、 分析、 挖掘等功能, 而设计、执行的IT控制。 3.8 数据应用内部控制审计 data application internal control Audit 对数据应用控制开展的审计。 4 数据审计总则 4.1 审计与治理的关系 数据治理过程包含统筹和规划、构建和运行、监控和评价以及改进和优化,数据审计是监控和评价 不可或缺的任务。 4.2 审计结构及其关系 数据审计包括审计组织管理体系、审计依据、审计方法、审计技术、审计质量控制、审计工作的执 行、审计人员、审计业务、审计流程及审计报告。 4.3

10、审计依据 数据审计依据包括但不限于: a) 国家 IT 与数据相关法律、法规及标准; b) 行业 IT 与数据相关规范及标准; c) 地方 IT 与数据相关规范及标准; d) 组织内部 IT 与数据相关规范及标准; e) 国际 IT 与大数据相关标准; f) 国内外 IT 与大数据最佳实践。 4.4 审计方法 组织的数据审计方法要求见 GB/T 34960.4信息技术服务 治理 第 4 部分:审计导则。 4.5 审计技术 T/CESA XXXX-2019 7 组织的数据审计技术要求见 GB/T 34960.4信息技术服务 治理 第 4 部分:审计导则。 4.6 审计质量控制 组织的数据审计质量

11、控制要求见 GB/T 34960.4信息技术服务 治理 第 4 部分:审计导则。 4.7 审计业务类型 数据审计业务类型包括数据治理内部控制审计和数据专项审计。 数据治理内部控制审计是为了综合 评价组织数据控制目标实现过程而进行的审计; 数据专项审计是组织根据外部要求及内部特殊需要而进 行的审计。数据专项审计可作为独立的审计项目实施,或作为综合性审计项目的组成部分组织实施。 当数据审计作为综合性审计项目的一部分时, 数据审计人员在进行审计计划时应考虑项目审计目标 及要求, 在审计实施过程中应及时与其他相关审计人员沟通数据审计中的发现, 并考虑依据数据审计结 果调整其他相关审计的范围、时间及性质

12、。 数据审计人员应当以风险导向为基础开展审计,风险评估应当贯穿于审计的全过程。 4.8 审计方式 审计方式是指利用计算机辅助审计技术、大数据技术、人工智能技术等手段开展的审计,包括现场 审计和远程审计。 4.8 审计工作的执行 组织的审计工作执行要求见GB/T 34960.4信息技术服务 治理 第4部分:审计导则。 5 数据审计组织管理 组织的数据审计组织管理通用要求见GB/T 34960.4信息技术服务 治理 第4部分:审计导则, 同时还应: a) 为数据审计开展创造必要的环境; b) 明确审计机构的职责和权力; c) 在审计章程中明确数据审计的相关要求; d) 制定数据审计相关制度、流程及

13、操作规程等; e) 建立数据审计系统; f) 制定数据审计战略规划。 6 数据审计人员要求 组织的数据审计人员通用要求见 GB/T 34960.4信息技术服务 治理 第 4 部分:审计导则,同 时还应具备数据审计资质 7 数据治理内部控制审计 7.1 总则 T/CESA XXXX-2019 8 数据治理内部控制审计是为了综合评价组织数据治理控制目标实现过程而进行的审计, 包括数据治 理组织层面控制、数据治理一般性控制、数据治理应用控制的审查和评价。数据治理内部控制审计是组 织常规审计内容的一部分。 7.2 组织控制审计 7.2.1 控制环境 审计数据治理控制环境时,审计范围包括但不限于: a)

14、 组织遵循的数据总则; b) 数据战略与业务战略的一致性; c) 决策层的数据风险偏好及风险容忍度; d) 数据治理与管理的职责分工和制衡机制; e) 数据内部控制的监督机制; f) 数据内部控制机构的设置、职责与权限; g) 内部审计机构设置、人员配备和工作独立性; h) 。 7.2.2 风险评估 审计数据治理风险评估时,审计范围包括但不限于: a) 数据风险管理目标和策略; b) 数据风险管理原则; c) 数据风险管理组织; d) 数据风险管理制度; e) 数据风险管理流程; f) 数据风险识别、风险分析、风险评价及风险处置的执行情况; g) 。 7.2.3 控制活动 7.2.3.1 通用

15、要求 审计组织层面数据治理控制活动通用要求时,审计范围包括但不限于: a) 数据治理控制政策与流程; b) 数据治理授权与审批控制; c) 数据治理预算控制; d) 数据治理信息记录与报告; e) 数据治理资产保护; f) 数据治理绩效考核; g) 数据治理不相容职责分离。 7.2.3.2 顶层设计 审计数据治理顶层设计时,审计范围包括但不限于: a) 战略规划; b) 组织构建; c) 架构设计。 7.2.3.3 数据治理域 T/CESA XXXX-2019 9 审计数据治理域时, 审计范围包括但不限于治理主体对以下管理情况要求, 以及相关的评估、 指导、 监督和改进情况: a) 数据管理体

16、系; b) 数据价值体系。 7.2.3.4 数据治理过程 审计数据治理过程时,审计范围包括但不限于: a) 统筹和规划; b) 构建和运行; c) 监控和评价; d) 改进和优化。 7.2.4 信息与沟通 审计数据治理的信息与沟通时,审计范围包括但不限于: a) 与数据治理相关的信息系统架构,以及对决策与业务的支持度; b) 决策层有关数据治理的信息沟通模式; c) 数据治理战略、政策及制度等方面的传达与沟通的连续性、完整性及有效性; d) 组织对数据治理风险内部控制所需要信息的明确; e) 。 7.2.5 内部监督 审计数据治理内部监督时,审计范围包括但不限于: a) 数据治理风险防线建立的合规性; b) 组织的数据治理监控管理报告系统、监控反馈、跟踪处理程序; c) 数据治理内部控制的自我评估机制; d) 。 7.3 一般控制审计 7.3.1 通用要求 审计数据治理一般控制的通用要求时,审计

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 国内外标准规范

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号