DB61/T 1636-2022 数据安全审计规范

ICS35.020

CCSL70

DB61

陕西省地方标准

DB61/T1636—2022

数据安全审计规范

Datasecurityauditspecification

2022-11-07发布2022-12-07实施

陕西省市场监督管理局发布

DB61/T1636—2022

目次

前言...............................................................................III

1范围..............................................................................1

2规范性引用文件....................................................................1

3术语和定义........................................................................1

4缩略语............................................................................2

5数据安全审计框架..................................................................2

5.1数据安全审计原则..............................................................2

5.2数据安全审计流程..............................................................2

5.3数据安全审计内容..............................................................2

5.4数据安全审计方法..............................................................3

6数据安全运营审计..................................................................3

6.1数据采集安全审计..............................................................3

6.2数据传输安全审计..............................................................5

6.3数据存储安全审计..............................................................6

6.4数据处理安全审计..............................................................6

6.5数据交换安全审计..............................................................7

6.6数据销毁安全审计..............................................................9

7数据安全风险审计.................................................................10

7.1组织审计.....................................................................10

7.2人员审计.....................................................................10

7.3文档审计.....................................................................10

8数据安全事件审计.................................................................11

8.1组织审计.....................................................................11

8.2人员审计.....................................................................11

8.3文档审计.....................................................................11

9数据安全审计报告.................................................................12

9.1报告格式.....................................................................12

9.2报告内容.....................................................................12

参考文献............................................................................13

I

DB61/T1636—2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规则

起草。

本文件由陕西省工业和信息化厅提出并归口。

本文件起草单位：西北大学、北京神州绿盟科技有限公司、清华大学、陕西省网络与信息安全测评

中心、西安电子科技大学、西安四叶草信息技术有限公司。

本文件主要起草人：孙骞、邵军琦、贺小伟、王铭、李晖、金涛、杨帆、马坤、杨向东、焦玉彬、

刘庆麟、王征帆、莫佳鑫。

本文件由西北大学网络和数据中心负责解释。

本文件首次发布。

联系信息如下：

单位：西北大学网络和数据中心

电话：029-88308734

地址：陕西省西安市长安区郭杜教育科技产业区学府大道1号

邮编：710127

II

DB61/T1636—2022

数据安全审计规范

1范围

本文件规定了数据安全审计术语和定义、缩略语、审计框架、运营审计、风险审计、事件审计和审

计报告的要求。

本文件适用于有关部门对于非国家秘密范畴的数据，开展数据安全审计工作，也适用于接受数据安

全审计的机构开展数据安全自评估。

2规范性引用文件

本文件没有规范性引用文件。

3术语和定义

下列术语和定义适用于本文件。

3.1

数据安全datasecurity

以数据为中心的安全，保护数据的可用性、完整性和机密性。

注：本文件是从组织建设、制度流程、技术工具以及人员能力等方面对组织机构的数据进行安全保护。

3.2

数据安全能力datasecuritycapability

组织机构在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障能力。

3.3

安全过程域securityprocessarea

实现同一安全目标的一系列数据安全相关活动、过程的集合。

3.4

数据脱敏datadesensitization

通过模糊化等方法对原始数据的处理，达到屏蔽敏感信息的一种数据保护方法。

3.5

数据安全审计datasecurityaudit

对被审计对象的数据在数据安全运营、数据安全风险、数据安全事件中的合规性和安全性进行审查、

监督与持续改进。

1

DB61/T1636—2022

3.6

数据安全被审计对象datasecurityauditobject

数据安全被审计对象为，适用于陕西省内应当按照国家和省级法律法规、标准规范等合规要求，具

备相应数据安全能力的机构。

3.7

数据安全审计人员datasecurityauditor

由监管单位开展数据安全审计时，组成的开展数据安全审计工作的人员；或者由机构开展自评审时，

组成的或聘请第三方专业数据安全机构开展数据安全审计的人员。

4缩略语

下列缩略语适用于本文件。

ETL(Extract-Transform