01资讯保安审核的背景及概览

在这个依托计算机和网络进行信息生产的时代，云计算、物联网、大数据、互联网+等新应用、新服务层出不穷，在使人们高效便捷获取信息、提高企业运营管理效率、节约成本的同时，也带来了新的信息安全问题。我们经常可以从新闻中了解到全球范围内发生的信息安全事件：大规模黑客攻击、云服务中断导致链式服务崩溃、设备被病毒和恶意软件感染、个人信息和商业秘密泄露等。可以说，信息安全关系到每一个社会成员，更不用说依靠信息生存发展的企业了。

网络大数据时代，对于身处其中的我们每个人来说，个人隐私无时无刻不暴露在各种电子设备、软件和网络中，个人隐私已经成为当代人的基本诉求之一。对企业而言，如何在合法合规的前提下收集、存储和处理用户个人数据是重要问题；同时，企业内部信息资产也面临着泄露风险，因此建立和实施有效的信息安全管理体系成为保护公司资产安全的当务之急。此时，信息安全审计应运而生。企业开展信息安全审计，针对薄弱项揭示安全风险、改善现状，确保公司信息资产安全，满足各领域合规要求。

信息安全审计，顾名思义，就是为了合理保证企业信息安全管理的有效性而诞生的一种审计形式。信息安全审计可以使被审计单位了解其信息安全是否符合信息安全合规要求，同时也可以帮助被审计单位全面掌握其信息安全工作的有效性、充分性和适当性，并进行更好的改进，从而帮助企业更好地防范和及时发现信息安全风险。

在现代环境下，任何企业的运作都离不开网络和信息系统，因此信息安全审计可以应用于各种类型和规模的企业或组织。信息安全审计可以

可单独开展，也可与信息安全相关工作联合开展，如信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设、系统上线实施、常态化系统安全监测、云平台迁移、容灾建设等，达到动态评估的目的，在项目设计过程中以设计考虑安全。

与常见的审计工作一样，信息安全审计也可分为内部审计和外部审计。对于较小的公司，内部审计师的角色可能由组织内的高级IT经理或信息安全经理承担。而大公司可以设立独立于信息系统管理部门并对信息系统安全性进行评估的内部审计机构，聘请注册信息系统审核员或具有相关背景的注册信息安全专业人员，对公司信息系统安全管理进行监控，降低信息安全潜在风险。

02信息安全审计的内容和标准

信息安全审计的范围非常广泛，其目的也可以根据企业不同阶段的发展目标有不同的侧重点，可在以下方面进行：信息安全管理组织和制度、访问控制管理、网络安全、漏洞扫描、渗透测试、代码安全扫描、机房和设备物理安全、应用系统安全、信息系统日志管理、加密传输和加密设备管理、补丁管理、IT项目开发管理，甚至私有数据安全、数据库和操作系统安全、信息资产分类与管理、数据资产生命周期管理评估、信息安全事件管理、业务连续性，甚至人员安全、IT外包安全管理、信息安全意识教育等都纳入信息安全审计范围。

信息安全管理系统：

*资讯保安操作系统：

*信息安全监管系统：

*信息安全监管系统：

信息安全审计的主要依据是与信息安全管理相关的标准。目前，国外信息安全审计已处于成熟应用阶段，主要得益于欧美标准组织起步较早

成立后，各标准组织都建立了较为完善的信息安全管理标准和规范。有了规范和标准的支持，才能有针对性地开展信息安全审计。除标准信息安全标准外，部分行业还制定了适用于本行业的信息安全标准，如医疗卫生、金融业、汽车行业等。以下是目前国内外实施的一些通用或行业专用信息安全标准：

01ISO标准

国际标准化组织(ISO)制定并发布了一系列旨在确保质量、可靠性和安全的指导方针。经过多年的发展，一系列信息安全管理系统的国际标准已经出台。ISO/IEC 27000系列标准是国际上应用最广泛、最典型的信息安全管理标准之一，其中ISO/IEC 27001是可用于认证的标准，其他标准可为实施信息安全管理的组织提供实施指南。目前，最新版的27001是ISO于2013年10月发布的ISO/IEC 27001:2013-信息安全管理体系标准，包括14个控制领域、35个控制目标、113项控制措施，是综合性的信息安全保障标准。

02中国网络安全法

自2017年6月1日起实施的《中华人民共和国网络安全法》是我国第一部全面规范网络空间安全管理的基础性法律，一系列相应的实施细则和标准正在逐步出台或更新。《网络安全法》规定，我国实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，在安全管理制度和操作规程、防病毒和网络攻击、网络运行检测、网络安全事件记录、数据备份和加密等方面履行安全保护义务，保护网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。2019年，我国正式发布网络安全等级保护制度标准，保护有所扩大

对象范围包括网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公共服务平台等。

03GB/T 35273个人信息安全规范

GB/T 35273《个人信息安全规范》在公开征求多轮意见的同时，包括《网络安全审查办法》《数据安全管理办法（征求意见稿）》《儿童个人信息网络保护规定》在内的多部法律法规和国家标准密集出台、快速更新甚至正式实施，充分体现了我国政府在个人信息保护领域的积极立法。

04中国数据安全法

《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过，自2021年9月1日起施行。是一部条件成熟的数据安全相关法律，提出国家将对数据实施分类保护，开展数据活动必须履行数据安全保护义务，承担社会责任。数据安全法坚持安全与发展并重，在规范数据活动的同时，对支持和促进数据安全与发展的措施作出相应规定，推动政府数据开放利用。通过促进数据依法合理有效利用，充分发挥数据的基础资源和创新引擎作用，加快形成以创新为主要引领和支撑的数字经济，更好服务我国经济社会发展。

05欧盟GDPR通用数据保护条例

2018年5月25日，欧盟正式发布GDPR通用数据保护条例，这是一部保护欧盟公民个人隐私和数据的法律。其适用范围包括欧盟成员国企业的个人数据和欧盟以外企业对欧盟公民个人数据的处理。

06英国DPA2018数据保护法

2018年5月23日，英国正式通过新修订的《DPA2018》

数据保护法。这部法律将废除1998年颁布的《数据保护法》，重新建立英国数据保护框架以促进GDPR在英国的有效实施，并在GDPR框架下做出量身定制的规定。同时，确保英国“脱欧”后在个人数据保护方面与欧盟保持一致，以促进英国与欧盟国家之间的数据流动。

该法的主要内容包括：

1）加强对资料当事人个人资料的管制。