搜索
首頁>行業(yè)動態(tài)

財政部 國家網信辦關于印發(fā)《會計師事務所數據安全管理暫行辦法》的通知

來源:中國網信網2024-05-11

各省、自治區(qū)、直轄市財政廳(局)、網信辦,新疆生產建設兵團財政局、網信辦,深圳市財政局:

為貫徹落實《國務院辦公廳關于進一步規(guī)范財務審計秩序 促進注冊會計師行業(yè)健康發(fā)展的意見》(國辦發(fā)〔2021〕30號)有關要求,加強會計師事務所數據安全管理,規(guī)范會計師事務所數據處理活動,我們制定了《會計師事務所數據安全管理暫行辦法》,現(xiàn)予印發(fā),請遵照執(zhí)行。

附件:會計師事務所數據安全管理暫行辦法


財政部國家互聯(lián)網信息辦公室

2024年4月15日

會計師事務所數據安全管理暫行辦法

第一章 總則

第一條 為保障會計師事務所數據安全,規(guī)范會計師事務所數據處理活動,根據《中華人民共和國注冊會計師法》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律法規(guī),制定本辦法。

第二條 在中華人民共和國境內依法設立的會計師事務所開展下列審計業(yè)務相關數據處理活動的,適用本辦法:

(一)為上市公司以及非上市的國有金融機構、中央企業(yè)等提供審計服務的;

(二)為關鍵信息基礎設施運營者或者超過100萬用戶的網絡平臺運營者提供審計服務的;

(三)為境內企業(yè)境外上市提供審計服務的。

會計師事務所從事的審計業(yè)務不屬于前款規(guī)定的范圍,但涉及重要數據或者核心數據的,適用本辦法。

第三條 本辦法所稱數據,是指會計師事務所執(zhí)行審計業(yè)務過程中,從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。

數據安全,是指通過采取必要措施,確保數據處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。

第四條 會計師事務所承擔本所的數據安全主體責任,履行數據安全保護義務。

第五條 財政部負責全國會計師事務所數據安全監(jiān)管工作,省級(含深圳市、新疆生產建設兵團)財政部門負責本行政區(qū)域內會計師事務所數據安全監(jiān)管工作。

第六條 注冊會計師協(xié)會應當加強行業(yè)自律,指導會計師事務所加強數據安全保護,提高數據安全管理水平。

第二章 數據管理

第七條 會計師事務所應當在下列方面履行本所數據安全管理責任:

(一)建立健全數據全生命周期安全管理制度,完善數據運營和管控機制;

(二)健全數據安全管理組織架構,明確數據安全管理權責機制;

(三)實施與業(yè)務特點相適應的數據分類分級管理;

(四)建立數據權限管理策略,按照最小授權原則設置數據訪問和處理權限,定期復核并按有關規(guī)定保留數據訪問記錄;

(五)組織開展數據安全教育培訓;

(六)法律法規(guī)規(guī)定的其他事項。

第八條 會計師事務所的首席合伙人(主任會計師)是本所數據安全負責人。

第九條 會計師事務所應當按照法律、行政法規(guī)的規(guī)定和被審計單位所處行業(yè)數據分類分級標準確定核心數據、重要數據和一般數據。

會計師事務所和被審計單位應當通過業(yè)務約定書、確認函等方式明確審計資料中核心數據和重要數據的性質、內容和范圍等。

第十條 會計師事務所對核心數據、重要數據的存儲處理,應當符合國家相關規(guī)定。

存儲核心數據的信息系統(tǒng)要落實四級網絡安全等級保護要求。存儲重要數據的信息系統(tǒng)要落實三級及以上網絡安全等級保護要求。

數據匯聚、關聯(lián)后屬于國家秘密事項的,應當依照有關保守國家秘密的法律、行政法規(guī)規(guī)定處理。

第十一條 會計師事務所應當對審計業(yè)務相關的信息系統(tǒng)、數據庫、網絡設備、網絡安全設備等設置并啟用訪問日志記錄功能。

涉及核心數據的,相關日志留存時間不少于三年。涉及重要數據的,相關日志留存時間不少于一年;涉及向他人提供、委托處理、共同處理重要數據的相關日志留存時間不少于三年。

第十二條 會計師事務所應當明確數據傳輸操作規(guī)程。核心數據、重要數據傳輸過程中應當采用加密技術,保護傳輸安全。

第十三條 審計工作底稿應當按照法律、行政法規(guī)和國家有關規(guī)定存儲在境內。相關加密設備應當設置在境內并由境內團隊負責運行維護,密鑰應當存儲在境內。

第十四條 會計師事務所應當建立數據備份制度。會計師事務所應當確保在審計相關應用系統(tǒng)因外部技術原因被停止使用、被限制使用等情況下,仍能訪問、調取、使用相關審計工作底稿。

第十五條 會計師事務所不得在業(yè)務約定書或者類似合同中包含會計師事務所向境外監(jiān)管機構提供境內項目資料數據等類似條款。

第十六條 會計師事務所應當采用網絡隔離、用戶認證、訪問控制、數據加密、病毒防范、非法入侵檢測等技術手段,及時識別、阻斷和溯源相關網絡攻擊和非法訪問,保障數據安全。

第十七條 會計師事務所應當建立數據安全應急處置機制,加強數據安全風險監(jiān)測。發(fā)現(xiàn)數據外泄、安全漏洞等風險的,應當立即采取補救、處置措施。發(fā)生重大數據安全事件,導致核心數據或者重要數據泄露、丟失或者被竊取、篡改的,應當及時向有關主管部門報告。

第十八條 會計師事務所向境外提供其在境內運營中收集和產生的個人信息和重要數據的,應當遵守國家數據出境管理有關規(guī)定。

第十九條 會計師事務所對于審計工作底稿出境事項應當建立逐級復核機制,采取必要措施嚴格落實數據安全管控責任。對于需要出境的審計工作底稿,按照國家有關規(guī)定辦理審批手續(xù)。

第三章 網絡管理

第二十條 會計師事務所應當建立完善的網絡安全管理治理架構,建立健全內部網絡安全管理制度體系,建立內部決策、管理、執(zhí)行和監(jiān)督機制,確保網絡安全管理能力與提供的專業(yè)服務相適應,為數據安全管理工作提供安全的網絡環(huán)境。

第二十一條 會計師事務所應當按照業(yè)務活動規(guī)模及復雜程度配置具備相應職業(yè)技能水平的網絡管理技術人員,確保合理的網絡資源投入和資金投入。

第二十二條 會計師事務所應當做好信息系統(tǒng)安全管理和技術防護,根據存儲、處理數據的級別采取相應的網絡物理隔離或者邏輯隔離等措施,設置嚴格的訪問控制策略,防范未經授權的訪問行為。

第二十三條 會計師事務所應當擁有其審計業(yè)務系統(tǒng)中網絡設備、網絡安全設備的自主管理權限,統(tǒng)一設置、維護系統(tǒng)管理員賬戶和工作人員賬戶,不得設置不受限制、不受監(jiān)控的超級賬戶,不得將管理員賬號交由第三方運維機構管理使用。

加入國際網絡的會計師事務所使用所在國際網絡的信息系統(tǒng)的,應當采取必要措施,使其符合國家數據安全法律、行政法規(guī)和本辦法的規(guī)定,確保本所數據安全。

第四章 監(jiān)督檢查

第二十四條 財政部和省級財政部門(以下統(tǒng)稱省級以上財政部門)與同級網信部門、公安機關、國家安全機關加強會計師事務所數據安全監(jiān)管信息共享。

第二十五條 省級以上財政部門、省級以上網信部門對會計師事務所數據安全情況開展監(jiān)督檢查。公安機關、國家安全機關依法在職責范圍內承擔會計師事務所數據安全監(jiān)管職責。

第二十六條 對于承接金融、能源、電信、交通、科技、國防科工等重要領域審計業(yè)務且符合本辦法第二條規(guī)定范圍的會計師事務所,省級以上財政部門在監(jiān)督檢查工作中予以重點關注,并持續(xù)加強日常監(jiān)管。

第二十七條 會計師事務所對于依法實施的數據安全監(jiān)督檢查,應當予以配合,不得拒絕、拖延、阻撓。

第二十八條 會計師事務所開展數據處理活動,影響或者可能影響國家安全的,應當按照國家安全審查機制進行安全審查。

第二十九條 相關部門在履行數據安全監(jiān)管職責中,發(fā)現(xiàn)會計師事務所開展數據處理活動存在較大安全風險的,可以對會計師事務所及其責任人采取約談、責令限期整改等監(jiān)管措施,消除隱患。

第三十條 會計師事務所及相關人員違反本辦法規(guī)定的,應當按照《中華人民共和國注冊會計師法》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律、行政法規(guī)的規(guī)定予以處理處罰;涉及其他部門職責權限的,依法移送有關主管部門處理;構成犯罪的,移送司法機關依法追究刑事責任。

第三十一條 相關部門工作人員在履行會計師事務所數據安全監(jiān)管職責過程中,玩忽職守、濫用職權、徇私舞弊的,依法追究法律責任。

第五章 附則

第三十二條 會計師事務所及相關人員開展涉及國家秘密的數據處理活動,適用《中華人民共和國保守國家秘密法》等法律、行政法規(guī)的規(guī)定。

第三十三條 會計師事務所及相關人員開展其他涉及個人信息的數據處理活動,應當遵守有關法律、行政法規(guī)的規(guī)定。

第三十四條 會計師事務所可以參照本辦法加強對非審計業(yè)務數據的管理。

第三十五條 本辦法由財政部、國家網信辦負責解釋。

第三十六條 本辦法自2024年10月1日起施行。

粵ICP備13033288號 | 粵公網安備44200002005034號
聯(lián)系電話:0760-88881015? ? ?電子郵箱:CSAZS_0822@163.com
本網站由中山網版權所有,未經授權禁止復制或建立鏡像
廣東中山網傳媒信息科技有限公司負責制作維護