基于COBIT 2019的信息系统隐私保护审计框架研究 ——以A市住房公积金隐私保护审计为例

作     者：宋菁菁 

作者单位：南京审计大学 

学位级别：硕士

导师姓名：王昊

授予年度：2022年

学科分类：120201[管理学-会计学] 12[管理学] 0301[法学-法学] 03[法学] 1202[管理学-工商管理] 030103[法学-宪法学与行政法学] 

主      题：信息系统审计 COBIT2019 隐私数据 个人信息保护 

摘      要：随着互联网、大数据、云计算、区块链等技术的不断创新,新技术已经渗透到经济社会发展的各个方面,各国纷纷出台了相应的政策。在“十四五和2035年国家发展战略纲要中,也提到了要加快进行数字中国的建设。在技术、政策的支撑下,大数据储量呈爆发式增长,信息的存储方式、速度、表现形式都发生了巨大变化,不经意间可能就会侵犯隐私。除此之外,电信诈骗案、个人信息数据被篡改、倒卖等事件也层出不迭,数据治理成为了一个新的议题。2021年11月1日,我国出台了第一部《个人信息保护法》,其中包括个人信息处理规则、个人信息处理人员的责任等,同时在第五十四条和第六十四条明确提出个人信息处理者应定期接受个人信息合规审计。2022年1月1日,新修改的《审计法》正式实施,新修改的《审计法》在部分条款中增加了个人隐私和个人信息的表述,个人隐私和个人信息被增加为审计中的保密内容。除此之外,对隐私数据的保护在法律法规上也有多重依据。通过开展信息系统隐私保护审计,对有效地防止非法收集、滥用、泄漏个人信息等行为的发生,维护公民的合法权利和社会公众利益等有一定作用。然而目前信息系统隐私保护审计仍处于探索阶段,不少审计人员对信息系统隐私保护审计如何进行开展还处于模糊状态,因此本文通过构建信息系统隐私保护审计框架,弥补了目前对个人信息保护审计理论方面的缺乏。本文在明确隐私与安全的关系、对比国内外信息系统审计准则之后,通过确定信息系统隐私保护审计目标,在审计相关理论及隐私管理理论的基础上,根据我国当前的信息系统审计规范及相关法律法规等,基于COBIT 2019选择信息系统隐私保护审计控制目标构建信息系统隐私保护审计框架,同时结合目前已经出台的有关个人信息保护的相关法律法规、技术规范等文件,添加上一些控制点和风险点。最后结合案例,将该框架运用到信息系统隐私保护审计当中证明该框架可行且有效,以期对其他部门开展信息系统隐私保护审计工作有一定的参考。通过案例分析和实习总结,本文构建的基于COBIT 2019的信息系统隐私保护审计框架在理论和应用层面均具有可行性和有效性,在案例应用中发现了被审计单位在个人信息保护方面存在的不足,并提出了针对性建议。基于COBIT 2019的信息系统隐私保护审计框架审计内容全面、审计流程设计科学合理;但是也存在一些不足之处,比如由于实践经验有限,笔者只是将该框架应用在了住房公积金部门,应用场景存在一定的局限性,可能会存在考虑不够周全、深度和广度欠缺的问题等。