相關(guān)法規

您的位置:首頁(yè) > 相關(guān)法規
會(huì )計師事務(wù)所數據安全管理暫行辦法
文章編輯:易凱慶       發(fā)布日期:2024年05月10日      訪(fǎng)問(wèn)量:5247

財政部 國家互聯(lián)網(wǎng)信息辦公室

關(guān)于印發(fā)《會(huì )計師事務(wù)所數據安全管理暫行辦法》的通知

財會(huì )【2024】6號     2024年4月15日

各省、自治區、直轄市財政廳(局)、網(wǎng)信辦,新疆生產(chǎn)建設兵團財政局、網(wǎng)信辦,深圳市財政局:

為貫徹落實(shí)《國務(wù)院辦公廳關(guān)于進(jìn)一步規范財務(wù)審計秩序 促進(jìn)注冊會(huì )計師行業(yè)健康發(fā)展的意見(jiàn)》(國辦發(fā)〔2021〕30號)有關(guān)要求,加強會(huì )計師事務(wù)所數據安全管理,規范會(huì )計師事務(wù)所數據處理活動(dòng),我們制定了《會(huì )計師事務(wù)所數據安全管理暫行辦法》,現予印發(fā),請遵照執行。

附件:會(huì )計師事務(wù)所數據安全管理暫行辦法


會(huì )計師事務(wù)所數據安全管理暫行辦法

第一章 總則

第一條 為保障會(huì )計師事務(wù)所數據安全,規范會(huì )計師事務(wù)所數據處理活動(dòng),根據《中華人民共和國注冊會(huì )計師法》、《中華人民共和國網(wǎng)絡(luò )安全法》、《中華人民共和國數據安全法》、《中華人民共和國個(gè)人信息保護法》等法律法規,制定本辦法。

第二條 在中華人民共和國境內依法設立的會(huì )計師事務(wù)所開(kāi)展下列審計業(yè)務(wù)相關(guān)數據處理活動(dòng)的,適用本辦法:

(一)為上市公司以及非上市的國有金融機構、中央企業(yè)等提供審計服務(wù)的;

(二)為關(guān)鍵信息基礎設施運營(yíng)者或者超過(guò)100萬(wàn)用戶(hù)的網(wǎng)絡(luò )平臺運營(yíng)者提供審計服務(wù)的;

(三)為境內企業(yè)境外上市提供審計服務(wù)的。

會(huì )計師事務(wù)所從事的審計業(yè)務(wù)不屬于前款規定的范圍,但涉及重要數據或者核心數據的,適用本辦法。

第三條 本辦法所稱(chēng)數據,是指會(huì )計師事務(wù)所執行審計業(yè)務(wù)過(guò)程中,從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。

數據安全,是指通過(guò)采取必要措施,確保數據處于有效保護和合法利用的狀態(tài),以及具備保障持續安全狀態(tài)的能力。

第四條 會(huì )計師事務(wù)所承擔本所的數據安全主體責任,履行數據安全保護義務(wù)。

第五條 財政部負責全國會(huì )計師事務(wù)所數據安全監管工作,省級(含深圳市、新疆生產(chǎn)建設兵團)財政部門(mén)負責本行政區域內會(huì )計師事務(wù)所數據安全監管工作。

第六條 注冊會(huì )計師協(xié)會(huì )應當加強行業(yè)自律,指導會(huì )計師事務(wù)所加強數據安全保護,提高數據安全管理水平。

第二章 數據管理

第七條 會(huì )計師事務(wù)所應當在下列方面履行本所數據安全管理責任:

(一)建立健全數據全生命周期安全管理制度,完善數據運營(yíng)和管控機制;

(二)健全數據安全管理組織架構,明確數據安全管理權責機制;

(三)實(shí)施與業(yè)務(wù)特點(diǎn)相適應的數據分類(lèi)分級管理;

(四)建立數據權限管理策略,按照最小授權原則設置數據訪(fǎng)問(wèn)和處理權限,定期復核并按有關(guān)規定保留數據訪(fǎng)問(wèn)記錄;

(五)組織開(kāi)展數據安全教育培訓;

(六)法律法規規定的其他事項。

第八條 會(huì )計師事務(wù)所的首席合伙人(主任會(huì )計師)是本所數據安全負責人。

第九條 會(huì )計師事務(wù)所應當按照法律、行政法規的規定和被審計單位所處行業(yè)數據分類(lèi)分級標準確定核心數據、重要數據和一般數據。

會(huì )計師事務(wù)所和被審計單位應當通過(guò)業(yè)務(wù)約定書(shū)、確認函等方式明確審計資料中核心數據和重要數據的性質(zhì)、內容和范圍等。

第十條 會(huì )計師事務(wù)所對核心數據、重要數據的存儲處理,應當符合國家相關(guān)規定。

存儲核心數據的信息系統要落實(shí)四級網(wǎng)絡(luò )安全等級保護要求。存儲重要數據的信息系統要落實(shí)三級及以上網(wǎng)絡(luò )安全等級保護要求。

數據匯聚、關(guān)聯(lián)后屬于國家秘密事項的,應當依照有關(guān)保守國家秘密的法律、行政法規規定處理。

第十一條 會(huì )計師事務(wù)所應當對審計業(yè)務(wù)相關(guān)的信息系統、數據庫、網(wǎng)絡(luò )設備、網(wǎng)絡(luò )安全設備等設置并啟用訪(fǎng)問(wèn)日志記錄功能。

涉及核心數據的,相關(guān)日志留存時(shí)間不少于三年。涉及重要數據的,相關(guān)日志留存時(shí)間不少于一年;涉及向他人提供、委托處理、共同處理重要數據的相關(guān)日志留存時(shí)間不少于三年。

第十二條 會(huì )計師事務(wù)所應當明確數據傳輸操作規程。核心數據、重要數據傳輸過(guò)程中應當采用加密技術(shù),保護傳輸安全。

第十三條 審計工作底稿應當按照法律、行政法規和國家有關(guān)規定存儲在境內。相關(guān)加密設備應當設置在境內并由境內團隊負責運行維護,密鑰應當存儲在境內。

第十四條 會(huì )計師事務(wù)所應當建立數據備份制度。會(huì )計師事務(wù)所應當確保在審計相關(guān)應用系統因外部技術(shù)原因被停止使用、被限制使用等情況下,仍能訪(fǎng)問(wèn)、調取、使用相關(guān)審計工作底稿。

第十五條 會(huì )計師事務(wù)所不得在業(yè)務(wù)約定書(shū)或者類(lèi)似合同中包含會(huì )計師事務(wù)所向境外監管機構提供境內項目資料數據等類(lèi)似條款。

第十六條 會(huì )計師事務(wù)所應當采用網(wǎng)絡(luò )隔離、用戶(hù)認證、訪(fǎng)問(wèn)控制、數據加密、病毒防范、非法入侵檢測等技術(shù)手段,及時(shí)識別、阻斷和溯源相關(guān)網(wǎng)絡(luò )攻擊和非法訪(fǎng)問(wèn),保障數據安全。

第十七條 會(huì )計師事務(wù)所應當建立數據安全應急處置機制,加強數據安全風(fēng)險監測。發(fā)現數據外泄、安全漏洞等風(fēng)險的,應當立即采取補救、處置措施。發(fā)生重大數據安全事件,導致核心數據或者重要數據泄露、丟失或者被竊取、篡改的,應當及時(shí)向有關(guān)主管部門(mén)報告。

第十八條 會(huì )計師事務(wù)所向境外提供其在境內運營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數據的,應當遵守國家數據出境管理有關(guān)規定。

第十九條 會(huì )計師事務(wù)所對于審計工作底稿出境事項應當建立逐級復核機制,采取必要措施嚴格落實(shí)數據安全管控責任。對于需要出境的審計工作底稿,按照國家有關(guān)規定辦理審批手續。

第三章 網(wǎng)絡(luò )管理

第二十條 會(huì )計師事務(wù)所應當建立完善的網(wǎng)絡(luò )安全管理治理架構,建立健全內部網(wǎng)絡(luò )安全管理制度體系,建立內部決策、管理、執行和監督機制,確保網(wǎng)絡(luò )安全管理能力與提供的專(zhuān)業(yè)服務(wù)相適應,為數據安全管理工作提供安全的網(wǎng)絡(luò )環(huán)境。

第二十一條 會(huì )計師事務(wù)所應當按照業(yè)務(wù)活動(dòng)規模及復雜程度配置具備相應職業(yè)技能水平的網(wǎng)絡(luò )管理技術(shù)人員,確保合理的網(wǎng)絡(luò )資源投入和資金投入。

第二十二條 會(huì )計師事務(wù)所應當做好信息系統安全管理和技術(shù)防護,根據存儲、處理數據的級別采取相應的網(wǎng)絡(luò )物理隔離或者邏輯隔離等措施,設置嚴格的訪(fǎng)問(wèn)控制策略,防范未經(jīng)授權的訪(fǎng)問(wèn)行為。

第二十三條 會(huì )計師事務(wù)所應當擁有其審計業(yè)務(wù)系統中網(wǎng)絡(luò )設備、網(wǎng)絡(luò )安全設備的自主管理權限,統一設置、維護系統管理員賬戶(hù)和工作人員賬戶(hù),不得設置不受限制、不受監控的超級賬戶(hù),不得將管理員賬號交由第三方運維機構管理使用。

加入國際網(wǎng)絡(luò )的會(huì )計師事務(wù)所使用所在國際網(wǎng)絡(luò )的信息系統的,應當采取必要措施,使其符合國家數據安全法律、行政法規和本辦法的規定,確保本所數據安全。

第四章 監督檢查

第二十四條 財政部和省級財政部門(mén)(以下統稱(chēng)省級以上財政部門(mén))與同級網(wǎng)信部門(mén)、公安機關(guān)、國家安全機關(guān)加強會(huì )計師事務(wù)所數據安全監管信息共享。

第二十五條 省級以上財政部門(mén)、省級以上網(wǎng)信部門(mén)對會(huì )計師事務(wù)所數據安全情況開(kāi)展監督檢查。公安機關(guān)、國家安全機關(guān)依法在職責范圍內承擔會(huì )計師事務(wù)所數據安全監管職責。

第二十六條 對于承接金融、能源、電信、交通、科技、國防科工等重要領(lǐng)域審計業(yè)務(wù)且符合本辦法第二條規定范圍的會(huì )計師事務(wù)所,省級以上財政部門(mén)在監督檢查工作中予以重點(diǎn)關(guān)注,并持續加強日常監管。

第二十七條 會(huì )計師事務(wù)所對于依法實(shí)施的數據安全監督檢查,應當予以配合,不得拒絕、拖延、阻撓。

第二十八條 會(huì )計師事務(wù)所開(kāi)展數據處理活動(dòng),影響或者可能影響國家安全的,應當按照國家安全審查機制進(jìn)行安全審查。

第二十九條 相關(guān)部門(mén)在履行數據安全監管職責中,發(fā)現會(huì )計師事務(wù)所開(kāi)展數據處理活動(dòng)存在較大安全風(fēng)險的,可以對會(huì )計師事務(wù)所及其責任人采取約談、責令限期整改等監管措施,消除隱患。

第三十條 會(huì )計師事務(wù)所及相關(guān)人員違反本辦法規定的,應當按照《中華人民共和國注冊會(huì )計師法》、《中華人民共和國網(wǎng)絡(luò )安全法》、《中華人民共和國數據安全法》、《中華人民共和國個(gè)人信息保護法》等法律、行政法規的規定予以處理處罰;涉及其他部門(mén)職責權限的,依法移送有關(guān)主管部門(mén)處理;構成犯罪的,移送司法機關(guān)依法追究刑事責任。

第三十一條 相關(guān)部門(mén)工作人員在履行會(huì )計師事務(wù)所數據安全監管職責過(guò)程中,玩忽職守、濫用職權、徇私舞弊的,依法追究法律責任。

第五章 附則

第三十二條 會(huì )計師事務(wù)所及相關(guān)人員開(kāi)展涉及國家秘密的數據處理活動(dòng),適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。

第三十三條 會(huì )計師事務(wù)所及相關(guān)人員開(kāi)展其他涉及個(gè)人信息的數據處理活動(dòng),應當遵守有關(guān)法律、行政法規的規定。

第三十四條 會(huì )計師事務(wù)所可以參照本辦法加強對非審計業(yè)務(wù)數據的管理。

第三十五條 本辦法由財政部、國家網(wǎng)信辦負責解釋。

第三十六條 本辦法自2024年10月1日起施行。


財政部、國家網(wǎng)信辦有關(guān)負責人

就印發(fā)《會(huì )計師事務(wù)所數據安全管理暫行辦法》答記者問(wèn)

近日,財政部、國家網(wǎng)信辦聯(lián)合印發(fā)《會(huì )計師事務(wù)所數據安全管理暫行辦法》(財會(huì )〔2024〕6號,以下簡(jiǎn)稱(chēng)《暫行辦法》),自2024年10月1日起施行。財政部、國家網(wǎng)信辦有關(guān)負責人就《暫行辦法》有關(guān)問(wèn)題回答了記者的提問(wèn)。

問(wèn):制定《暫行辦法》的背景與意義是什么? 

答:一是落實(shí)相關(guān)法律要求?!稌盒修k法》全面落實(shí)網(wǎng)絡(luò )安全法、數據安全法、個(gè)人信息保護法等法律要求,是在注冊會(huì )計師行業(yè)對國家網(wǎng)絡(luò )和數據安全管理相關(guān)規定的細化,為會(huì )計師事務(wù)所開(kāi)展數據安全管理活動(dòng)提供依據,有利于推動(dòng)注冊會(huì )計師行業(yè)數據安全管理工作制度化、規范化。 

二是落實(shí)國務(wù)院有關(guān)文件要求?!秶鴦?wù)院辦公廳關(guān)于進(jìn)一步規范財務(wù)審計秩序 促進(jìn)注冊會(huì )計師行業(yè)健康發(fā)展的意見(jiàn)》(國辦發(fā)〔2021〕30號)強調,要加快推進(jìn)注冊會(huì )計師行業(yè)基礎制度建設,及時(shí)跟進(jìn)健全相關(guān)制度規定?!稌盒修k法》順應數字經(jīng)濟發(fā)展趨勢,進(jìn)一步完善了注冊會(huì )計師行業(yè)基礎制度體系。 

三是落實(shí)財會(huì )監督有關(guān)要求?!稌盒修k法》構建了橫向協(xié)同、縱向聯(lián)動(dòng)的行業(yè)數據安全監管機制,明確財政部門(mén)、網(wǎng)信部門(mén)、公安機關(guān)、國家安全機關(guān)等各方職責,確保有效銜接,加強信息共享,推動(dòng)實(shí)現跨地區、跨部門(mén)、跨層級協(xié)同監管。 

問(wèn):《暫行辦法》制訂經(jīng)歷了哪些過(guò)程? 

答:在深入分析注冊會(huì )計師行業(yè)數據安全管理現狀和需求的基礎上,財政部會(huì )同國家網(wǎng)信辦起草了《暫行辦法》初稿,并對部分會(huì )計師事務(wù)所開(kāi)展實(shí)地調研,組織會(huì )計師事務(wù)所和數據安全專(zhuān)家專(zhuān)題討論,形成《暫行辦法》征求意見(jiàn)稿。 

2023年11月,兩部門(mén)聯(lián)合面向地方財政部門(mén)、網(wǎng)信部門(mén)、會(huì )計師事務(wù)所和社會(huì )公眾公開(kāi)征求意見(jiàn)。反饋意見(jiàn)總體認為,《暫行辦法》內容全面、條理清晰、指導性強,有助于加強會(huì )計師事務(wù)所數據安全管理,規范會(huì )計師事務(wù)所數據處理活動(dòng)。同時(shí),部分反饋意見(jiàn)提出了一些具體的修改意見(jiàn)。我們對所有反饋意見(jiàn)進(jìn)行了認真梳理,并充分吸收采納,在反復研討、征求相關(guān)部門(mén)意見(jiàn)的基礎上,對征求意見(jiàn)稿進(jìn)行了修改完善。 

問(wèn):《暫行辦法》主要內容是什么? 

答:《暫行辦法》主要包括五方面內容,一是總則,主要明確制定依據、適用對象、責任主體;二是數據管理,主要包括總體責任、責任人員、數據分類(lèi)分級、日志管理、數據傳輸管理、數據加密管理、數據備份、業(yè)務(wù)約定書(shū)、技術(shù)保護手段、日常安全監測、數據出境等內容;三是網(wǎng)絡(luò )管理,主要包括網(wǎng)絡(luò )管理制度、資源投入、訪(fǎng)問(wèn)控制、系統賬戶(hù)管理等內容;四是監督檢查,主要包括信息共享、日常檢查、重點(diǎn)檢查對象、安全審查、行政監管措施、行政處罰等內容;五是附則。 

從具體內容看,主要對六方面內容進(jìn)行了規范: 

一是明確適用對象?!稌盒修k法》主要適用于境內依法設立的會(huì )計師事務(wù)所開(kāi)展的審計業(yè)務(wù)相關(guān)數據處理活動(dòng),包括為上市公司以及非上市的國有金融機構或中央企業(yè)等提供審計服務(wù);為關(guān)鍵信息基礎設施運營(yíng)者或者超過(guò)100萬(wàn)用戶(hù)的網(wǎng)絡(luò )平臺運營(yíng)者提供審計服務(wù);為境內企業(yè)境外上市提供審計服務(wù)。會(huì )計師事務(wù)所未從事前述三類(lèi)業(yè)務(wù),但審計業(yè)務(wù)涉及重要數據或者核心數據,也應根據《暫行辦法》進(jìn)行數據處理活動(dòng)。數據包括會(huì )計師事務(wù)所執行審計業(yè)務(wù)過(guò)程中從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。 

二是規范數據分類(lèi)分級?!稌盒修k法》要求會(huì )計師事務(wù)所應按照相關(guān)法律法規的規定和被審計單位所處行業(yè)數據分類(lèi)分級的標準,確定核心數據、重要數據和一般數據,并對核心數據和重要數據的存儲、相關(guān)日志、傳輸等作出明確要求。被審計單位有義務(wù)通過(guò)業(yè)務(wù)約定書(shū)、確認函等方式告知會(huì )計師事務(wù)所審計資料中的核心數據和重要數據相關(guān)信息。在數據存儲上,存儲重要數據的信息系統要落實(shí)三級及以上網(wǎng)絡(luò )安全等級保護要求,存儲核心數據的信息系統要落實(shí)四級網(wǎng)絡(luò )安全等級保護要求。在日志管理上,要求涉及核心數據的相關(guān)日志,留存時(shí)間不少于三年,涉及重要數據的相關(guān)日志,留存時(shí)間不少于一年,其中向他人提供、委托處理、共同處理重要數據的相關(guān)日志留存時(shí)間不少于三年。涉及一般數據,按照國家相關(guān)規定處理,《暫行辦法》不作特別要求。 

三是規范底稿管理。截至目前,我國有35家會(huì )計師事務(wù)所加入或創(chuàng )建了28個(gè)國際會(huì )計網(wǎng)絡(luò ),行業(yè)對外交流合作日益密切?!稌盒修k法》規定,會(huì )計師事務(wù)所審計工作底稿應按相關(guān)規定存放在境內。會(huì )計師事務(wù)所不得在業(yè)務(wù)約定書(shū)或類(lèi)似合同中包含會(huì )計師事務(wù)所向境外監管機構提供境內項目資料數據等類(lèi)似條款。境外監管機構因監管需要確需調取境內審計工作底稿的,應通過(guò)相應的跨境監管合作機制依法依規獲取,相應審計工作底稿出境應當辦理審批手續。會(huì )計師事務(wù)所對審計工作底稿出境事項應當建立逐級復核機制,落實(shí)數據安全管控責任。 

四是強化網(wǎng)絡(luò )管理?!稌盒修k法》對會(huì )計師事務(wù)所在建立內部網(wǎng)絡(luò )安全管理制度、網(wǎng)絡(luò )管理資源投入、網(wǎng)絡(luò )安全技術(shù)防護、網(wǎng)絡(luò )管理賬戶(hù)權限等方面做出具體要求,指導會(huì )計師事務(wù)所為數據安全管理工作提供安全的網(wǎng)絡(luò )環(huán)境。會(huì )計師事務(wù)所應當建章立制并有效執行,確保網(wǎng)絡(luò )安全管理能力與提供的專(zhuān)業(yè)服務(wù)相適應;做好信息系統安全管理和技術(shù)防護,設置嚴格的訪(fǎng)問(wèn)控制策略,防范未經(jīng)授權的訪(fǎng)問(wèn)行為。 

五是聚焦安全可控?!稌盒修k法》要求會(huì )計師事務(wù)所建立數據備份制度,確保在審計相關(guān)應用系統因外部技術(shù)原因被停止使用、被限制使用等情況下,仍能訪(fǎng)問(wèn)、調取、使用相關(guān)審計工作底稿。加密設備應當設置在境內并由境內團隊負責運行維護,密鑰應當存儲在境內。會(huì )計師事務(wù)所應當擁有其審計業(yè)務(wù)系統中網(wǎng)絡(luò )設備、網(wǎng)絡(luò )安全設備的自主管理權限,統一設置、維護系統管理員賬戶(hù)和工作人員賬戶(hù),不得設置不受限制、不受監控的超級賬戶(hù),不得將管理員賬號交由第三方運維機構管理使用。 

六是壓實(shí)監管責任?!稌盒修k法》明確了財政部門(mén)、網(wǎng)信部門(mén)、公安機關(guān)、國家安全機關(guān)對會(huì )計師事務(wù)所數據安全的監管職責。省級以上財政部門(mén)、省級以上網(wǎng)信部門(mén)對會(huì )計師事務(wù)所開(kāi)展監督檢查,公安機關(guān)、國家安全機關(guān)依法在職責范圍內承擔會(huì )計師事務(wù)所數據安全監管職責。會(huì )計師事務(wù)所對于依法實(shí)施的數據安全監督檢查,應當予以配合。 

問(wèn):如何做好《暫行辦法》的貫徹落實(shí)? 

答:一是加大宣傳和指導力度。各級財政部門(mén)、網(wǎng)信部門(mén)要高度重視,積極宣傳,指導會(huì )計師事務(wù)所建立健全數據安全管理制度并確保有效實(shí)施,切實(shí)提升會(huì )計師事務(wù)所數據安全管理水平。二是加大監督檢查力度。各相關(guān)部門(mén)應根據監管職責,落實(shí)會(huì )計師事務(wù)所數據安全管理日常監管、重點(diǎn)檢查、安全審查等有關(guān)要求,對存在違規行為的會(huì )計師事務(wù)所要依法嚴肅處理。三是加強協(xié)同配合。各相關(guān)部門(mén)應加強監管信息共享,加強溝通協(xié)調,健全完善工作機制,形成工作合力,認真做好貫徹實(shí)施《暫行辦法》的各項工作。

上一篇:產(chǎn)業(yè)結構調整指導目錄(2024年本)
下一篇:國有企業(yè)管理人員處分條例
  • 友情鏈接