ICS 35.020 CCS L 70 DB61 陕西省地方标准 DB 61/T 1636—2022 数据安全审计规范 Data security audit specification 2022 - 11 - 07 发布 2022 - 12-07 实施 陕西省市场监督管理局 发布 DB61/T 1636 —2022 I 目 次 前言 ............................................................. .................. III 1 范围 ........................................................... ................... 1 2 规范性引用文件 ...................................................... .............. 1 3 术语和定义 ........................................................ ................ 1 4 缩略语 .......................................................... .................. 2 5 数据安全 审计框架 ..................................................... ............. 2 5.1 数据安 全审计原则 ................................................... ........... 2 5.2 数据安 全审计流程 ................................................... ........... 2 5.3 数据安 全审计内容 ................................................... ........... 2 5.4 数据安 全审计方法 ................................................... ........... 3 6 数据安全 运营审计 ..................................................... ............. 3 6.1 数据采 集安全审计 ................................................... ........... 3 6.2 数据传 输安全审计 ................................................... ........... 5 6.3 数据存 储安全审计 ................................................... ........... 6 6.4 数据处 理安全审计 ................................................... ........... 6 6.5 数据交 换安全审计 ................................................... ........... 7 6.6 数据销 毁安全审计 ................................................... ........... 9 7 数据安全 风险审计 ..................................................... ............ 10 7.1 组织审计 ....................................................... .............. 10 7.2 人员审计 ....................................................... .............. 10 7.3 文档审计 ....................................................... .............. 10 8 数据安全 事件审计 ..................................................... ............ 11 8.1 组织审计 ....................................................... .............. 11 8.2 人员审计 ....................................................... .............. 11 8.3 文档审计 ....................................................... .............. 11 9 数据安全 审计报告 ..................................................... ............ 12 9.1 报告格式 ....................................................... .............. 12 9.2 报告内容 ....................................................... .............. 12 参考文献 ........................................................... ................. 13 DB61/T 1636 —2022 II 前 言 本文件按照 GB/T 1.1—2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规则 起草。 本文件由陕西省工业和信息化厅提出并归口。 本文件起草单位：西北大学、北京神州绿盟科技有限公司、清华大学、陕西省网络与信息安全测评 中心、西安电子科技大学、西安四叶草信息技术有限公司。 本文件主要起草人：孙骞、邵军琦、贺小伟、王铭、李晖、金涛、杨帆、马坤、杨向东、焦玉彬、 刘庆麟、王征帆、莫佳鑫。 本文件由西北大学网络和数据中心负责解释。 本文件首次发布。 联系信息如下： 单位：西北大学网络和数据中心 电话： 029-88308734 地址：陕西省西安市长安区郭杜教育科技产业区学府大道 1号 邮编： 710127 DB61/T 1636 —2022 1 数据安全审计规范 1 范围 本文件规定了数据安全审计术语和定义、缩略语、审计框架、运营审计、风险审计、事件审计和审 计报告的要求。 本文件适用于有关部门对于非国家秘密范畴的数据，开展数据安全审计工作，也适用于接受数据安 全审计的机构开展数据安全自评估。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 3.1 数据安全 data security 以数据为中心的安全，保护数据的可用性、完整性和机密性。 注：本文件是从组织建设、制度流程、技术工具以及人员能力等方面对组织机构的数据进行安全保护。 3.2 数据安全能力 data securit y capability 组织机构在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障能力。 3.3 安全过程域 security pr ocess area 实现同一安全目标的一系列数据安全相关活动、过程的集合。 3.4 数据脱敏 data desen sitization 通过模糊化等方法对原始数据的处理，达到屏蔽敏感信息的一种数据保护方法。 3.5 数据安全审计 data secur ity audit 对被审计对象的数据在数据安全运营、 数据安全风险、 数据安全事件中的合规性和安全性进行审查、 监督与持续改进。 DB61/T 1636 —2022 2 3.6 数据安全被审计对象 data security audit object 数据安全被审计对象为，适用于陕西省内应当按照国家和省级法律法规、标准规范等合规要求，具 备相应数据安全能力的机构。 3.7 数据安全审计人员 data secur ity auditor 由监管单位开展数据安全审计时， 组成的开展数据安全审计工作的人员； 或者由机构开展自评审时， 组成的或聘请第三方专业数据安全机构开展数据安全审计的人员。 4 缩略语 下列缩略语适用于本文件。 ETL (Extract-Transform-Load) 数据的抽取、转换、加载 5 数据安全审计框架 5.1 数据安全审计原则 开展数据安全审计时，应遵循，并不仅限于以下原则： a) 针对性原则，