数据合规审计 指南（T/CITIF 001—2024）

  近年来，随着数据泄露、数据贩卖、个人隐私被侵犯等恶性事件频发，揭示了数据管理和数据合规的重要性与紧迫性，数据合规成为全社会关注的焦点。数据合规审计是企业自我评价和改进合规管理的有力工具，《中华人民共和国个人信息保护法》提出“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”、“履行个人信息保护职责的部门在履行职责中……可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。”《网络数据安全管理条例》（征求意见稿）规定：“ 国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》16次提到“合规”，明确提出要建立数据要素流通全流程合规与监管体系。

  数据合规审计，是审计机构以独立第三方视角，基于法律法规及相关标准，对数据处理者履行数据合规义务、执行数据合规标准或内部管理要求情况进行评价和监督的活动，可以揭示组织在数据保护方面的不足，并提出相关改进建议。为助力加快构建数据合规与治理生态，改进传统审计方法论应对数字经济和新兴技术的不足，为应用数据合规审计的各类组织提供通用的工作导则，以合规审计促进数据要素健康有序流通，提升组织数据合规管理成熟度和数据合规风险管控水平，进一步推动《数据管理能力成熟度评估模型》（简称为DCMM）国家标准贯标，促进数字经济健康发展和引导合规审计业务创新。由中国电子信息行业联合会数据治理创新合作联合委员会牵头组织《数据合规审计 指南》团体标准研制工作，目前立项经审批已经获得通过。

  本标准主导起草单位：中国电子信息行业联合会

  本标准参与起草单位：中国电子信息行业联合会、大信会计师事务所(特殊普通合伙)、中标合信（北京） 认证有限公司、中国软件测评中心、北京如火数据科技有限公司。

  本标准主要起草人：陈晓峰、王燕珊、彭学鹏、熊建辉、周毅、行卫强、李铁男、王丹、柳青松、吴志刚、王闯、罗国文、王尔旗、黄孝然等。

  1、审计依据的相关法律法规和审计准则

  《中华人民共和国网络安全法》

  《中华人民共和国数据安全法》

  《中华人民共和国个人信息保护法》

  《关键信息基础设施安全保护条例》

  《网络数据安全管理条例（征求意见稿）》

  《中华人民共和国审计法》

  《中华人民共和国国家审计准则》

  中国注册会计师审计准则系列

  2、关于数据合规标准

  2018年3月15日，国家质量监督检验检疫总局与国家标准化管理委员会联合发布国家标准《数据管理能力成熟度评估模型》（GB/T 36073—2018，简称DCMM），是我国首个数据管理领域的国家标准，给出了数据管理能力成熟度评估模型以及相应的成熟度等级,定义了数据战略、数据治理、 数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期等8个能力域。

  2022年11月，中国电子信息行业联合会发布《数据合规管理体系 要求》（T/CITIF 001-2022）团体标准。

  3、关于审计相关标准

  截至目前，信息技术审计领域已有针对信息技术服务、信息系统、代码等方面的审计规范，现行的国家标准7项，行业标准26项，团体标准11项。

  国家标准层面，涉及信息技术治理、移动互联网安全、代码安全、信息系统安全、工业控制系统网络、开放系统安全等领域，更侧重于对安全的审计要求，主要围绕安全审计的组织管理、审计人员、审计流程、审计范围，以及典型安全缺陷的审计指标提出相应规范。

  行业标准层面，通信、金融、公安等行业结合其实践应用特点，发布了数据库、网络通讯、主机、软件源代码、信息系统和应用平台等审计标准，着重对行业应用系统的规划、建设、运维和应急等活动提出审计要求和整改建议，保障系统运行安全性、系统建设合规性和系统应用绩效。

  团体标准层面，中国电子工业标准化技术协会、中国计算机用户协会、电信终端产业协会、浙江省软件行业协会、北京长风信息技术产业联盟、深圳市信息服务业区块链协会、深圳市智慧城市研究会等社会团体针对信息技术、信息安全技术、信息系统等领域开展了数据库审计、代码审计、审计师职业技能评价规范团体标准的研制。

  《数据合规审计 指南》标准的编制遵循以下原则：

  （1） 科学性：审计标准为应对数字经济和新兴技术引入的审计风险提供科学的审计方法论和合理的审计应对思路、方案、技术等指南。

  （2） 实用性：标准采用统一的方法论贯穿审计的全部阶段，为审计风险的认定与分析，确定适当的审计方法、制定合理的审计程序，为审计程序的执行和审计证据的收集与分析等提供有效指导。

  （3） 可操作性：标准提供的思路、方法和技术均应有严格的理论支撑和技术支持，并满足审计效率和效果的要求。

  （4） 简明性：标准易于理解、实现和应用。

  1、2023年2月，电子联合会筹备标准编写相关工作。

  2、2023年2月，召开标准编制启动工作会，组建标准编制内部工作组，启动标准草案编制工作。

  3、2023年2月开始，深入调研分析数据合规审计需求、国内外相关标准，并征求相关企业、理论研究单位、审计中介机构对数据合规审计的意见，确定标准编制的理论基础，完成标准的预研和论证过程。

  4、2023年4月，针对确定的标准研制方向、标准主体内容，进行多次专家讨论，完成资料搜集和研究分析和撰写工作，召集标准制修订内部讨论会，形成标准草案，完成后进行内部审核。

  5、2023年5月，经过多轮次修订后，形成稳定的意见征集稿，通过内部审核完成后，以函评形式进行了专家意见征询。

  （一）标准制定的必要性和充分性论证

  1. 充分发挥审计的监督作用

  保证数字经济的长期健康发展，明确数据安全是基础，数据合规是条件。数据处理行为不合规，造成数据要素市场化发展不规范，数字经济发展的基础不稳固。通过规范化、标准化的方式开展数据合规审计活动，评价组织履行数据合规管理义务的情况，发现数据合规风险，提供合理的改进建议，从而促进组织数据合规水平的提升，推动全社会、全领域数据合规改革进步，为数字经济健康发展打下坚实基础。数据合规审计，一方面是企业数据合规管理系统中的重要组成部分，可以为管理层提供监督和评价的依据，为管理体系设计和运行的有效性提供有力证据；另一方面，是外部机构或独立的第三方接受企业或相关管理机构的委托，向委托方提供数据合规鉴证服务的主要项目之一。通过本标准的研制，能够充分发挥审计的监督作用，以审计促合规，推动数字经济高质量发展。

  2. 明确提出审计的业务依据

  通过数据合规审计，有助于促使组织管理数据的各项活动符合法律法规、监管要求、组织合规管理体系及内部管理方针政策的要求，以及履行组织在有关业务合同契约中承诺的相关义务。但是，目前国内还没有形成相应的标准文件对数据合规审计活动进行规范和指导，这将导致不同组织开展的数据合规审计工作在审计依据、方法、流程、结果等各方面会出现严重不一致的问题。因此，需要通过深入研究数据合规审计活动涉及的方方面面，形成可用性、实用性俱佳的标准规范，充分发挥标准的技术性、专业性、实操性，明确数据合规审计的技术方案、具体的管理流程、严格的操作规范和规章制度，为数据合规审计业务和技术的发展提供方向性引领和规范性指导。

  （二）标准结构

  《数据合规审计 指南》主要框架如下：

  1  范围

  2  规范性引用文件

  3  术语和定义

  4  总则

  5  审计架构

  6  项目分类

  7  审计要素

  8  审计事项

  9  审计流程

  附录

  参考文献

  （三）内容说明

  数据合规审计指南包括数据合规审计的总则、审计项目分类、审计要素、审计事项、审计流程和审计报告等内容。

  1、审计分类与审计要素 

  数据合规审计由于审计主体和审计方式的不同，分为不同的审计类型，包括外部审计、内部审计与专项审计或审阅。

  数据合规审计的要素，包括审计委托人（授权人）、审计主体、被审计单位、审计目标和目的、审计标准、审计依据、审计对象、合规义务、风险分析、审计方案、审计方法、审计证据、审计结论、审计报告、审计档案等必备要素，以及审计主题、审计技术、审计工具和审计结果、整改或改进等补充要素。

  审计项目首先需要明确审计三方的关系和各自需承担的责任。

  审计主体需要明确自身的职责和义务，同时应规范审计人员的职业道德、资格与能力、明确引入外部专家时的要求，建立内部管理机制。

  审计项目立项时应明确审计的具体目的，从而明确约定审计的依据、审计对象与审计主题。

  审计开始时，需对审计风险进行分析，了解并分析被审计单位的风险环境和风险应对措施，评价剩余控制风险，识别审计风险。其中，网络环境的可信度、被审计单位的数据管理能力成熟度和数据合规管理体系的有效性都是控制风险的有效输入。

  跟据审计风险制定适当的审计方案，确定审计步骤，选择适当的审计方法和工具。数据合规审计中，需要针对电子证据的特点选择有效的审计技术和工具。

  根据项目的具体情况，明确审计证据的取证模式，合理分析合规义务。

  2、审计事项

  根据组织数据合规管理的一般情形，针对重点数据管理流程或环节，提出审计时应着重关注的内容。

  数据安全：包括数据安全策略、数据安全管理流程。

  数据和数据资产：数据质量管理、数据标准。

  数据环境：物理环境、安全防护边界、安全计算环境。

  数据行为：数据战略、数据全生存期行为、数据治理、数据架构、数据应用。

  应用系统和工具平台

  数据合规管理：组织环境、领导作用、策划、支持、运行、绩效评价、改进。

  3、审计流程

  规定了审计的各项阶段与阶段性工作，包括审计计划、审计实施、审计报告和后续审计事项等。

  本标准的编制工作在充分调研国内法律法规要求的基础上进行，标准内容能够符合法律法规要求。目前虽然国家审计准则和社会审计准则均比较完善，但是具体到数据合规审计领域，由于数字经济和新兴技术引入了新的审计风险，传统的审计方法论需要补充和完善，国内若干单位和组织也开展了部分研究工作，但是尚未形成完善的审计准则。

  暂未涉及。

  本标准不涉及专利。

   《数据合规管理体系 要求》

  标准编制工作组

  2022年6月30日