第一章 总则 第一条 目标 为提高北京思度咨询股份有限公司(以下简称公司)数据安全防护能力，确保数据安全防御措施都已经落实到位，根据《中华人民共和国数据安全法》 、 《中华人民共和国网络安全法》 《中华人民共和国个人信息保护法》 、 《信息安全等级保护管理办法》 、 《中华人民共和国民法典》等法律法规,结合本公司实际情况，特制定本办法。 第二条 适用范围 本办法适用于集团公司总部，各分子公司、基层企业。 第三条 基本原则 公司数据安全审计应遵循的基本原则: 合法合规性原则是指满足国家法律法规及行业主管部门有关规定。 可执行性原则是指数据安全审计实施需要符合可执行性。 客观性原则是指数据审计需要满足客观性，即基于数据防御措施的实际记录清单进行审计。 第四条 术语 数据资产是指由公司合法拥有或控制的数据资源，以电子或其他方式记录、例如文本、图像、语音、视频、网页、数据库、传感信号等结构化或非结构化数据，能直接或间接带来经济效益和社会效益。 数据安全是指以数据为中心的安全，保护数据的可用性、完整性和机密性，避免保密数据被窃取、监控和干扰。 数据安全审计是指按照国家法律法规行业标准公司规范逐项检查各项数据 安全防御措施是否执行。 第二章 组织与职责 第五条 组织机构 公司设立的信息与数据管理委员会统筹管理公司范围内的数据安全审计工作，由公司内审部负责实施数据安全审计工作。 第六条 职责分工 从企业的数据治理层面，检查各子公司、各部门是否将数据的安全治理工作纳入数据治理工作范畴， 建立健全包括风险管理和数据安全审计监督在内的架构体系，从而完善数据的安全审计管理。 第三章 安全审计规范 第七条 审计周期 每年年底由内审部门全面负责，对各部门数据安全落实情况进行实际审计。 第八条 审计内容 依据国家法律法规及公司标准中对重要数据的保护要求， 确认各部门在落实过程中，是否对个人信息、重要数据的采集、传输、存储、使用共享，都采取了安全防御措施。 (一) 确认各业务部门是否统一使用数据平台进行公司数据增、删、改、查操作； (二) 检查数据管理平台是否有不合格账号或过期账号未禁用； (三) 检查各业务部门对数据权限是否符合正当、必要、最小化原则； (四) 检查各业务部门对数据操作过程是否完全进行全日志留存， 日志留存时间是否满足网安法、等级保护的要求； (五) 检查各业务部门数据导出记录表信息是否填写完全； (六) 建立数据安全合规监督检查标准和清单，用于指导常规检查、专项检查和事件驱动检查等， 以确保符合相应的数据安全政策、 标准及其他数据安全要求； (七) 建立一套适用的整改和考核规范， 用于指导检查发现和整改情况的跟踪、报告管理、问题管理等。 第九条 审计方法 (一) 审计管理员逐项检查审批记录单，确认是否符合公司相关规范； (二) 审计员使用数据管理平台审计功能对日常数据操作进行逐项审计， 确认符合公司相关要求； (三) 审计员通过访谈各部门负责人和数据安全管理人员， 确认日常操作符合数据安全相关规范。 第四章 监督检查 第十条 考核评价 集团公司按年度对分子公司数据安全审计工作进行综合评价， 评价主要从组织设立情况、制度标准制定及执行情况、数据保护措施执行情况等方面开展，评价结果公司评估考核体系。 第十一条 奖惩措施 建立奖惩机制，对于数据安全工作突出，为公司做出贡献的予以表彰。对于组织落实不到位的部门，对其主要领导、分管领导及相关责任人进行处罚。 第五章 附则 本办法由公司信息中心负责解释。 本办法自发布之日起执行。