試論如何進行數據安全審計

李朝暉 武漢漢鵬房地產開發有限公司

一、前言

近年來，我國經濟數字化轉型取得長足進步，從政府到企業、從世界500強到小微企業，從東部發達地區到西部偏遠鄉村，數字化已形成趨勢。在數字化給我們的生活帶來巨大好處的同時，也不可避免地帶來數據安全方面的問題，如數據非法越境、過度采集個人信息、私自販賣信息、數據庫資料泄露等。

根據風險基礎安全（Risk Based Security）的數據顯示，2020年全球數據泄露達到360億條[1]！根據《2020年中國互聯網網絡安全報告》的統計，2020年國家互聯網應急中心累計監測并通報，國內聯網信息系統數據庫存在安全漏洞、遭受入侵控制以及個人信息遭盜取和非法售賣等重要數據安全事件3000余起，涉及電子商務、互聯網企業、醫療衛生等眾多行業機構[2]。

筆者曾就數據安全問題做過研究，結論是：建立數據安全審計制度可以為數據安全綜合治理做出重大貢獻。本文將繼續對數據安全審計制度進行研究，嘗試從審計專業角度，就如何進行數據安全審計做一個初步探討，希望對數據安全審計研究能有所助益，不對之處，敬請專家批評指正。

二、數據安全審計流程

1.確定審計目的

審計目的是指審計工作要達到的預期目標。

不同類型的審計工作要達到的審計目的會有所不同，就數據安全審計而言，其審計目的是對被審計單位在數據安全方面的法律合規性、內部控制設計合理性、內部控制實施有效性、內部控制經濟性進行審計，并出具報告。

法律合規性是指，被審計單位在數據安全管理方面是否符合國家法律法規的規定。作為數據產生單位，不得違反《數據安全法》《個人信息保護法》《網絡安全審查辦法》等的規定。一些特殊行業還要遵守《汽車數據安全管理若干規定（試行）》《電子商務法》等的規定。

內部控制設計合理性是指，被審計單位在數據安全管理的內部控制上，控制環境如何、管理當局是否重視、控制程序是否足夠、流程設計是否合理、是否存在控制缺陷。

內部控制實施有效性是指，內部控制是否一直得到執行、流程運行是否穩定、能否達到內控設計的效果。

內部控制經濟性是指，內部控制的投入產出比如何、內控成本管理是否到位、內控的經濟效益和社會效益的權衡。

2.明確審計主體

審計主體是在審計活動中依法實施審計行為、行使審計監督權的審計專職機構及審計專業人員。

審計專職機構一般包括：實施政府審計的國家審計機關、實施社會審計的專業機構、實施內部審計的內設部門。審計專業人員可以是國家審計機關的公職人員、社會審計機構的專業審計人員，也可以是內設審計部門的工作人員。

政府審計主體擁有較強的公權力、強制力和示范性；社會審計主體的強制力較弱，但專業水準高、公信力和鑒證力強；內部審計主體的強制力和鑒證力都相對較弱，是前兩類審計主體的有益補充。

3.明確審計對象

審計對象是指審計主體采用各種審計手段所作用的對象，狹義的審計對象僅指被審計單位，此處指狹義的審計對象。

被審計單位具體分為三類：

①中央和地方的各級財政部門、中央銀行和國有金融機構、各級行政機關、事業單位、國有企業等。

②各類非國有單位。

③接受內部審計的內設部門、下屬單位。

4.設定審計范圍

①管理當局做出的各項決定。

管理當局的態度對數據安全管理至關重要，管理當局重視，則數據安全管理工作可以得到需要的資源、人員能夠得到足夠配備，數據安全管理的效果會較好。因此，管理當局就數據安全管理做出的各種書面或口頭決定，應納入審計范圍。

②數據安全管理制度。

被審計單位應該建立健全數據安全管理制度，宣示數據安全的重要性，確定具體的責任部門，明確數據管理規則，強調違規的處罰措施等。

③內部控制流程。

被審計單位根據《數據安全管理制度》編制的《內部控制流程》，也是審計范圍中的重要組成部分。在《內部控制流程》中，要規定數據流轉中的重要控制節點、各部門的職責邊界、突發情況的應急處置等。

④人員配備與職責權限。

審計人員要審查被審計單位在數據安全方面的部門設置、人員配備、崗位職責、授權及工作權限、崗位不相容設置、人員培訓、工作經費保障情況。

隱匿陰莖病理解剖學改變主要為陰莖皮膚和皮下筋膜組織的發育異常[4]。陰莖皮下筋膜組織中纖維條索的形成和筋膜纖維脂肪變性，使筋膜組織僵硬，缺乏彈性，進而固縮陰莖體。另一個病理改變是陰莖皮膚發育異常，包括陰莖皮膚與陰莖體的附著不良，以及陰莖皮膚的不對稱分布。包皮口狹窄環是內板和外板的分界線，隱匿陰莖患者狹窄環距離陰莖根部近，導致內板多、外板少的不對稱狀態。部分患者合并有蹼狀陰莖，進而使得陰莖皮膚背側多于腹側。具體病變學特點如圖4所示。

⑤IT硬件在數據安全管理方面的配置。

IT硬件配置與數據安全直接相關，也是審計人員應關注的方向。要關注國家對IT硬件采購的規定，對應該采購國有設備的是否從其規定；要關注IT硬件配置是否足夠，能否滿足系統峰值運轉的要求；要關注CPU中是否被植入了病毒程序、木馬陷阱；要關注電源的可靠性，是否需要設置備份電源。

⑥軟件運行過程中保證數據安全的機制。

軟件運行過程中，是數據最容易泄露的地方。審計人員對于軟件要重點關注。要關注軟件是否存在Bug，是否及時補上了安全Bug；要關注賬號口令的設置規則，是否普遍使用弱口令；要關注各層級用戶的數據權限分配情況；要關注APP是否存在過度采集用戶信息的情況；要關注API接口會否成為新型攻擊手段的目標；要關注數據庫系統的安全，進入權限是否適當；要關注接入互聯網的規則，是否存在數據非法上網甚至出境的情況。

⑦數據安全收支及效益等。

數據安全管理產生的收支、對應的資金憑證、財務票據也是審計的范圍。各項成本的投入都應該有所收益，要么是社會效益，要么是經濟效益，沒有效益的支出，最終都不能長久持續。審計人員從被審計單位長遠發展角度，應關注其數據效益問題。

5.了解內部控制制度

審計進場后，審計人員應了解被審計單位內部控制制度的基本情況，并對內部控制的有效性做出初步評價。

要了解被審計單位的控制環境。控制環境（Control environment）是被審計單位管理當局對實施某項控制政策的態度、認識、行動方式。要了解管理當局對數據安全是否重視、是否對數據安全管理提供了足夠的資源、是否要求其他部門配合數據安全管理的控制措施等等。

要了解被審計單位的控制程序。控制程序（Control program）是被審計單位為了實現某項目標而制定的政策、流程和措施。要了解設計的數據安全管理措施是否適當、充分。

要了解被審計單位的會計系統。會計系統（Accounting System）是對經濟業務進行日常處理的一整套記錄、程序和設施。要了解會計系統對數據管理經濟業務的記錄是否及時、準確、完整。

要了解被審計單位的業務系統。業務系統（Business System）是被審計單位為保證經濟活動正常運轉、實現既定目標而設計并運行的各類程序、措施的總和。只有準確了解業務系統，才能分析數據安全系統與業務系統的關系，才能準確評價數據安全控制措施是否充分、恰當。

初步了解了數據安全內部控制后，要對其實施的有效性進行初步評價，并確定重要性水平，為明確審計程序的性質、時間和范圍提供初步指引。

財務報表審計中，重要性水平是指用金額表示的會計信息錯報或漏報的嚴重程度。就數據安全審計而言，重要性水平是指用金額或數據量表示的數據信息錯報或漏報的嚴重程度。

例如，在數據安全審計中，可以確定重要性水平為10000元，表示可以容忍錯報金額為10000元以下的單筆數據經濟業務或單個客戶；也可以確定重要性水平為500MB字節的數據量，表示可以容忍錯報數據量在500MB字節以下的單筆數據經濟業務或單個客戶。

合理確定重要性水平，可以提高審計工作效率，可以有效降低審計風險。

6.符合性測試

符合性測試是在內部控制初步了解和評價的基礎上，對內部控制制度貫徹執行情況進行測試，以確定被審計單位經濟業務的運行是否符合內部控制制度的規定，其遵循的程度有多大，進而確定內部控制是否值得依賴或可以依賴的程度。

審計人員要通過審計程序，進一步了解數據安全管理制度是否得到切實遵循，有沒有集體舞弊的可能，為下一步實質性測試做準備，合理確定實質性測試的范圍、時間和工作量。

若審計人員發現數據安全內控制度形同虛設、根本沒有執行，則可以跳過符合性測試，直接進行實質性測試。

7.實質性測試

實質性測試，是為了獲取更直接的審計證據、支撐審計報告進行更加深入的檢查，而采取的審計程序和方法。

實質性測試的方法主要有：

詢問。審計人員可以詢問管理當局、中層干部、核心崗位人員，以了解數據安全內部控制得到實際執行的程度。

觀察。直接詢問容易引起當事人警覺和抵觸，暗中觀察也可以得到數據安全內部控制執行效果的第一手資料。

檢查。審計人員通過檢查硬件系統、軟件系統，查驗業務流轉單據、發票、出入庫單、數據庫資料等，可以直接有效地發現錯報、漏報及舞弊的情況。

監盤。被審計單位用于數據安全管理的核心硬件、存儲設備及介質、客戶數量、個人信息數據庫等，都應該被監盤，以確定其真實性。

函證。審計人員應當通過函證手段，直接獲取第三方的信息，核查高于重要性水平的往來事項，以查驗被審計單位數據信息的真實性、完整性。

分析性復核。審計人員還可以復核相關數據或調取同行業平均數據，與被審計單位進行比對，以發現被審計單位是否存在數據造假、數據異常的情況。

通過實質性測試，審計人員將獲取被審計單位在數據管理方面充足的證據，為下一步撰寫審計報告打下堅實的基礎。

8.撰寫審計報告

審計人員通過收集到的審計證據，結合重要性水平，進行綜合分析判斷后，應當形成審計意見，并撰寫審計報告。

審計報告應當對被審計單位在所有重大方面是否遵循了數據安全內部控制制度，該單位數據管理達到的安全級別做出明確結論。

審計報告是對被審計單位數據安全管理的現狀做出的客觀公允的綜合評價，可以讓社會公眾對被審計單位在數據安全管理方面的水平有一個直觀的印象，為相關單位的經濟決策提供科學的依據。

三、數據安全審計中需要注意的幾個問題

在數據安全審計工作中，審計人員除了嚴格遵守相關審計準則、保持勤勉盡責的工作態度外，還要高度重視以下幾個問題，以避免出現審計失敗的情況。

1.規避審計風險

我們知道，審計風險=固有風險*控制風險*檢查風險。固有風險是被審計單位固有存在的錯報風險，審計人員無法改變其風險水平。控制風險是指被審計單位內部控制失效的風險。

審計人員應當通過對內部控制制度的了解和符合性測試，綜合判斷固有風險與控制風險的大小，并據此對檢查風險做出客觀的評估，確定可接受的檢查風險水平。可接受的檢查風險水平與實質性測試的工作量成反比關系。

審計人員在進行數據安全審計過程中，無論可接受的檢查風險水平設定為多少，都要對數據管理的重要節點、重要客戶、重大事項進行實質性測試，以最大程度規避審計風險。

2.保守被審計單位的秘密

由于數據本身具有易復制、易擴散、易泄漏的特點，審計人員應特別注意保守被審計單位的秘密。審計主體應與被審計單位在《審計約定書》中約定保守秘密的條款，以體現對被審計單位數據權益的保護。

審計人員要嚴格執行《數據安全法》，遵守職業道德規范，保持職業操守，嚴格保管工作底稿，強化工作紀律，辦公電腦審慎連接互聯網，重要資料閱后及時歸還，特別不能擅自將數據出境。

3.借助專業人士的幫助

數據安全審計過程中，會碰到大量IT專業知識，如JAVA、SQL、技術架構、API等，審計人員受專業限制，不一定都能掌握。此時就需要借助精通計算機知識的專業人士的幫助，這樣可以大幅提高審計工作效率，保證審計工作質量。

借助外部專業人士的幫助時，審計人員不能撒手不管、一放了之，仍然要本著勤勉盡責的態度，對外部人士的工作加以指導和監督，確保其符合審計工作的各項要求。

四、結論

當前，數據安全審計在國內尚未得到實質性的推廣。從法律層面看，還沒有明確條文要求強制進行數據安全審計；從會計準則和審計準則層面看，還沒有制訂專門針對數據安全的準則；從社會層面看，除了大型頭部企業通過國外SOC審計進行了數據安全方面的認證外，其余市場主體因為高昂的費用，暫時無法進行數據安全方面的審計認證。但是，國內數據安全審計的發展前景一片廣闊，市場規模必將迅速壯大。

本文探討了數據安全審計的流程，也思考了在審計過程中要注意的一些問題，是對數據安全審計實務工作做的初步探討，希望能拋磚引玉，吸引更多力量參與到數據安全審計的研究中來。相信隨著數據安全綜合治理的不斷推進，國內數據安全審計事業一定能發展得更快更好！