个人信息安全审计
1.安全审计的意义
个人信息安全审计,是揭示信息安全风险的最佳手段,亦是改进信息安全现状的有效途径。可以说,个人信息安全审计,是网络运营者满足个人信息安全合规要求的有力武器。
2.安全审计的内容
根据《个人信息安全规范》第11.7 a)条,网络运营者应对个人信息保护政策、相关规程和安全措施的有效性进行审计。
从审计内容看,基本涵盖了个人信息安全保护的方方面面,从制度文本到执行情况,从法律合规到技术安全,全面检验个人信息保护的有效性。
3.建立自动化审计系统
根据《个人信息安全规范》第11.7 b)条,网络运营者应建立自动化审计系统,监测记录个人信息处理活动。
相较于征求意见稿,《个人信息安全规范》新增建立自动化审计系统的要求,旨在为监测记录个人信息处理活动提供技术保障。对于自动化审计系统的理解,以个人信息存储在云上为例,部分云服务商提供了数据库审计的服务,可以考虑作为这里的自动化审计系统使用。但是否确切符合前述规定的自动化审计系统要求,有待监管部门的进一步意见。
4.安全审计应达到的效果和后续处置要求
根据《个人信息安全规范》第11.7 c)条,审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑。根据《个人信息安全规范》第11.7 e)条的规定,应及时处理审计过程中发现的个人信息违规使用、滥用等情况。
安全审计的目的在于全程记录,及时发现问题,能够为后续出现问题时提供核查依据。就像飞机上的“黑匣子”,如果飞机不幸失事,寻找“黑匣子”并读取分析里面记录的内容就成为调查飞机失事原因的重要手段之一。对于审计过程中发现的违法违规使用个人信息的情况,网络运营者应及时处理,避免继续进行违规操作。而如果知道存在问题仍然继续违规操作,在出现安全事件时,网络运营者将很难经受起主观是否存在恶意的质问。
5.审计记录的内容、安全防护和留存期限
根据《个人信息安全规范》第11.7 d)条,网络运营者应防止非授权访问、篡改或删除审计记录。根据《个人信息安全规范》第11.7f)条,审计记录和留存时间应符合法律法规的要求。
前述要求,主要在于强调应按要求记录审计记录,保护审计记录的真实、完整和按要求留存审计记录。对于这里的“法律法规的要求”,暂未发现现行法律法规中对此进行明确的规定,有待进一步关注。