信息保护

1要求

内部审计人员必须意识到自己有责任保护信息，尊重在提供内部审计服务时或因职业关系所获取信息的保密性、隐私性和所有权。

内部审计人员必须理解并遵守适用于组织和内部审计职能的有关保密、信息隐私和信息安全方面的法律、法规、政策和程序。

与内部审计职能相关的具体考虑因素：

•审计业务记录的保管、存储和处置。

•向内部和外部各方公布审计业务记录。

•处理、获取或复制不再需要的保密信息。

除非有法律或职业责任要求，否则内部审计人员不得向未经授权方披露保密信息。

内部审计人员必须管理无意暴露或公开信息的风险。

首席审计执行官必须确保内部审计职能和协助内部审计工作的人员遵守同样的信息保护要求。

2执行标准的考虑因素

内部审计职能获取、使用和形成的信息受法律、法规以及组织和内部审计职能政策和程序的保护。法律、法规、政策和信息通常包括物理和数字安全，以及信息的访问、存储和处置。

首席审计执行官应当咨询法律顾问，以更好地了解法律法规和/或监管要求和保护措施（如法律特权或律师-客户特权）的影响。组织的政策和程序可能要求在对外发布商业信息之前必须经过特定部门的审查和批准。

监控信息访问可以验证是否遵循了相关规定要求。通过数据加密、密码保护、电子邮件分发、限制使用社交媒体以及限制物理访问等控制措施，以保护信息不被有意或无意地泄露。当内部审计人员不再需要访问这些数据时，应撤销数字访问授权，并根据规定的方式处理打印副本。

应予以保护不被泄露的保密信息示例包括个人薪酬和人事记录。

首席审计执行官应定期评估和确认内部审计人员访问信息的需求，以及访问控制是否有效。

3证明遵循性的示例

•遵守相关方法的证明文件。

•有关实施限制信息访问和降低有关规避现行控制的风险管理机制的证明文件。

•参加信息保护培训的记录。

•内部审计人员确认其了解相关政策、程序、法律和法规的证明文件。

•限制工作底稿和项目结果分发范围的记录。

•授权披露和分发的文件。

•法律要求或经总法律顾问（如适用）以及董事会和/或高级管理层等批准披露的文件记录。

•签署的保密或不披露信息的协议。

•证明遵守与信息保护和披露相关的政策和程序的业务检查。