關(guān)于印發(fā)《會(huì )計師事務(wù)所數據安全管理暫行辦法》的通知
財會(huì )〔2024〕6號
各省��、自治區�、直轄市財政廳(局)��、網(wǎng)信辦�,新疆生產(chǎn)建設兵團財政局����、網(wǎng)信辦��,深圳市財政局:?
為貫徹落實(shí)《國務(wù)院辦公廳關(guān)于進(jìn)一步規范財務(wù)審計秩序促進(jìn)注冊會(huì )計師行業(yè)健康發(fā)展的意見(jiàn)》(國辦發(fā)〔2021〕30號)有關(guān)要求��,加強會(huì )計師事務(wù)所數據安全管理����,規范會(huì )計師事務(wù)所數據處理活動(dòng)�,我們
制定了《會(huì )計師事務(wù)所數據安全管理暫行辦法》�,現予印發(fā)�,請遵照執行���。
會(huì )計師事務(wù)所數據安全管理暫行辦法
第一章 總則
第一條 為保障會(huì )計師事務(wù)所數據安全�����,規范會(huì )計師事
務(wù)所數據處理活動(dòng)����,根據《中華人民共和國注冊會(huì )計師法》�����、
《中華人民共和國網(wǎng)絡(luò )安全法》��、《中華人民共和國數據安
全法》��、《中華人民共和國個(gè)人信息保護法》等法律法規�����,
制定本辦法���。
第二條 在中華人民共和國境內依法設立的會(huì )計師事務(wù)
所開(kāi)展下列審計業(yè)務(wù)相關(guān)數據處理活動(dòng)的��,適用本辦法:
(一)為上市公司以及非上市的國有金融機構�、中央企
業(yè)等提供審計服務(wù)的��;
(二)為關(guān)鍵信息基礎設施運營(yíng)者或者超過(guò) 100 萬(wàn)用戶(hù)
的網(wǎng)絡(luò )平臺運營(yíng)者提供審計服務(wù)的;
(三)為境內企業(yè)境外上市提供審計服務(wù)的����。
會(huì )計師事務(wù)所從事的審計業(yè)務(wù)不屬于前款規定的范圍�����,
但涉及重要數據或者核心數據的����,適用本辦法����。
第三條 本辦法所稱(chēng)數據���,是指會(huì )計師事務(wù)所執行審計
業(yè)務(wù)過(guò)程中���,從外部獲取和內部生成的任何以電子或者其他
方式對信息的記錄��。
數據安全���,是指通過(guò)采取必要措施�,確保數據處于有效
保護和合法利用的狀態(tài)�,以及具備保障持續安全狀態(tài)的能力����。
第四條 會(huì )計師事務(wù)所承擔本所的數據安全主體責任�����,
履行數據安全保護義務(wù)����。
第五條 財政部負責全國會(huì )計師事務(wù)所數據安全監管工
作����,省級(含深圳市�����、新疆生產(chǎn)建設兵團)財政部門(mén)負責本
行政區域內會(huì )計師事務(wù)所數據安全監管工作��。
第六條 注冊會(huì )計師協(xié)會(huì )應當加強行業(yè)自律��,指導會(huì )計
師事務(wù)所加強數據安全保護��,提高數據安全管理水平��。
第二章 數據管理
第七條 會(huì )計師事務(wù)所應當在下列方面履行本所數據安
全管理責任:
(一)建立健全數據全生命周期安全管理制度�����,完善數
據運營(yíng)和管控機制���;
(二)健全數據安全管理組織架構��,明確數據安全管理
權責機制��;
(三)實(shí)施與業(yè)務(wù)特點(diǎn)相適應的數據分類(lèi)分級管理���;
(四)建立數據權限管理策略���,按照最小授權原則設置
數據訪(fǎng)問(wèn)和處理權限���,定期復核并按有關(guān)規定保留數據訪(fǎng)問(wèn)
記錄��;
(五)組織開(kāi)展數據安全教育培訓����;
(六)法律法規規定的其他事項��。
第八條 會(huì )計師事務(wù)所的首席合伙人(主任會(huì )計師)是
本所數據安全負責人�����。
第九條 會(huì )計師事務(wù)所應當按照法律�、行政法規的規定
和被審計單位所處行業(yè)數據分類(lèi)分級標準確定核心數據��、重
要數據和一般數據���。
會(huì )計師事務(wù)所和被審計單位應當通過(guò)業(yè)務(wù)約定書(shū)�、確認
函等方式明確審計資料中核心數據和重要數據的性質(zhì)���、內容
和范圍等�。
第十條 會(huì )計師事務(wù)所對核心數據�、重要數據的存儲處
理�����,應當符合國家相關(guān)規定�。
存儲核心數據的信息系統要落實(shí)四級網(wǎng)絡(luò )安全等級保
護要求����。存儲重要數據的信息系統要落實(shí)三級及以上網(wǎng)絡(luò )安
全等級保護要求����。
數據匯聚����、關(guān)聯(lián)后屬于國家秘密事項的�����,應當依照有關(guān)
保守國家秘密的法律���、行政法規規定處理��。
第十一條 會(huì )計師事務(wù)所應當對審計業(yè)務(wù)相關(guān)的信息系
統���、數據庫�����、網(wǎng)絡(luò )設備���、網(wǎng)絡(luò )安全設備等設置并啟用訪(fǎng)問(wèn)日
志記錄功能�。
涉及核心數據的�����,相關(guān)日志留存時(shí)間不少于三年�。涉及
重要數據的���,相關(guān)日志留存時(shí)間不少于一年�;涉及向他人提
供����、委托處理��、共同處理重要數據的相關(guān)日志留存時(shí)間不少
于三年�。
第十二條 會(huì )計師事務(wù)所應當明確數據傳輸操作規程�����。
核心數據����、重要數據傳輸過(guò)程中應當采用加密技術(shù)��,保護傳 輸安全����。
第十三條 審計工作底稿應當按照法律��、行政法規和國家
有關(guān)規定存儲在境內����。相關(guān)加密設備應當設置在境內并由境內
團隊負責運行維護��,密鑰應當存儲在境內����。
第十四條 會(huì )計師事務(wù)所應當建立數據備份制度�。會(huì )計
師事務(wù)所應當確保在審計相關(guān)應用系統因外部技術(shù)原因被
停止使用��、被限制使用等情況下�����,仍能訪(fǎng)問(wèn)�、調取����、使用相
關(guān)審計工作底稿���。
第十五條 會(huì )計師事務(wù)所不得在業(yè)務(wù)約定書(shū)或者類(lèi)似合
同中包含會(huì )計師事務(wù)所向境外監管機構提供境內項目資料
數據等類(lèi)似條款���。
第十六條 會(huì )計師事務(wù)所應當采用網(wǎng)絡(luò )隔離�����、用戶(hù)認證��、
訪(fǎng)問(wèn)控制�、數據加密�����、病毒防范��、非法入侵檢測等技術(shù)手段�����,
及時(shí)識別�����、阻斷和溯源相關(guān)網(wǎng)絡(luò )攻擊和非法訪(fǎng)問(wèn)��,保障數據
安全���。
第十七條 會(huì )計師事務(wù)所應當建立數據安全應急處置機
制�����,加強數據安全風(fēng)險監測�����。發(fā)現數據外泄����、安全漏洞等風(fēng)
險的�����,應當立即采取補救���、處置措施�。發(fā)生重大數據安全事
件��,導致核心數據或者重要數據泄露���、丟失或者被竊取�����、篡
改的��,應當及時(shí)向有關(guān)主管部門(mén)報告��。
第十八條 會(huì )計師事務(wù)所向境外提供其在境內運營(yíng)中收
集和產(chǎn)生的個(gè)人信息和重要數據的�����,應當遵守國家數據出境管理有關(guān)規定����。
第十九條 會(huì )計師事務(wù)所對于審計工作底稿出境事項應
當建立逐級復核機制�����,采取必要措施嚴格落實(shí)數據安全管控
責任����。對于需要出境的審計工作底稿����,按照國家有關(guān)規定辦
理審批手續�。
第三章 網(wǎng)絡(luò )管理
第二十條 會(huì )計師事務(wù)所應當建立完善的網(wǎng)絡(luò )安全管理
治理架構����,建立健全內部網(wǎng)絡(luò )安全管理制度體系����,建立內部
決策���、管理�����、執行和監督機制����,確保網(wǎng)絡(luò )安全管理能力與提
供的專(zhuān)業(yè)服務(wù)相適應���,為數據安全管理工作提供安全的網(wǎng)絡(luò )
環(huán)境����。
第二十一條 會(huì )計師事務(wù)所應當按照業(yè)務(wù)活動(dòng)規模及復
雜程度配置具備相應職業(yè)技能水平的網(wǎng)絡(luò )管理技術(shù)人員�,確
保合理的網(wǎng)絡(luò )資源投入和資金投入�。
第二十二條 會(huì )計師事務(wù)所應當做好信息系統安全管理
和技術(shù)防護���,根據存儲�、處理數據的級別采取相應的網(wǎng)絡(luò )物
理隔離或者邏輯隔離等措施�����,設置嚴格的訪(fǎng)問(wèn)控制策略�����,防
范未經(jīng)授權的訪(fǎng)問(wèn)行為�����。
第二十三條 會(huì )計師事務(wù)所應當擁有其審計業(yè)務(wù)系統中
網(wǎng)絡(luò )設備����、網(wǎng)絡(luò )安全設備的自主管理權限����,統一設置�����、維護
系統管理員賬戶(hù)和工作人員賬戶(hù)����,不得設置不受限制��、不受
監控的超級賬戶(hù)���,不得將管理員賬號交由第三方運維機構管 理使用���。
加入國際網(wǎng)絡(luò )的會(huì )計師事務(wù)所使用所在國際網(wǎng)絡(luò )的信
息系統的�,應當采取必要措施�,使其符合國家數據安全法律��、
行政法規和本辦法的規定��,確保本所數據安全����。
第四章 監督檢查
第二十四條 財政部和省級財政部門(mén)(以下統稱(chēng)省級以
上財政部門(mén))與同級網(wǎng)信部門(mén)�、公安機關(guān)��、國家安全機關(guān)加
強會(huì )計師事務(wù)所數據安全監管信息共享�����。
第二十五條 省級以上財政部門(mén)����、省級以上網(wǎng)信部門(mén)對
會(huì )計師事務(wù)所數據安全情況開(kāi)展監督檢查���。公安機關(guān)��、國家
安全機關(guān)依法在職責范圍內承擔會(huì )計師事務(wù)所數據安全監
管職責����。
第二十六條 對于承接金融����、能源�、電信���、交通�、科技��、
國防科工等重要領(lǐng)域審計業(yè)務(wù)且符合本辦法第二條規定范
圍的會(huì )計師事務(wù)所�,省級以上財政部門(mén)在監督檢查工作中予
以重點(diǎn)關(guān)注���,并持續加強日常監管�。
第二十七條 會(huì )計師事務(wù)所對于依法實(shí)施的數據安全監
督檢查��,應當予以配合�����,不得拒絕����、拖延��、阻撓���。
第二十八條 會(huì )計師事務(wù)所開(kāi)展數據處理活動(dòng)���,影響或
者可能影響國家安全的���,應當按照國家安全審查機制進(jìn)行安
全審查���。
第二十九條 相關(guān)部門(mén)在履行數據安全監管職責中�,發(fā)現會(huì )計師事務(wù)所開(kāi)展數據處理活動(dòng)存在較大安全風(fēng)險的��,可
以對會(huì )計師事務(wù)所及其責任人采取約談����、責令限期整改等監
管措施����,消除隱患�����。
第三十條 會(huì )計師事務(wù)所及相關(guān)人員違反本辦法規定的���,
應當按照《中華人民共和國注冊會(huì )計師法》�����、《中華人民共
和國網(wǎng)絡(luò )安全法》���、《中華人民共和國數據安全法》�����、《中
華人民共和國個(gè)人信息保護法》等法律���、行政法規的規定予
以處理處罰�����;涉及其他部門(mén)職責權限的�����,依法移送有關(guān)主管
部門(mén)處理�;構成犯罪的�,移送司法機關(guān)依法追究刑事責任����。
第三十一條 相關(guān)部門(mén)工作人員在履行會(huì )計師事務(wù)所數
據安全監管職責過(guò)程中�����,玩忽職守���、濫用職權���、徇私舞弊的����,
依法追究法律責任����。
第五章 附則
第三十二條 會(huì )計師事務(wù)所及相關(guān)人員開(kāi)展涉及國家秘
密的數據處理活動(dòng)��,適用《中華人民共和國保守國家秘密法》
等法律���、行政法規的規定�。
第三十三條 會(huì )計師事務(wù)所及相關(guān)人員開(kāi)展其他涉及個(gè)
人信息的數據處理活動(dòng)�����,應當遵守有關(guān)法律����、行政法規的規
定�����。
第三十四條 會(huì )計師事務(wù)所可以參照本辦法加強對非審
計業(yè)務(wù)數據的管理����。
第三十五條 本辦法由財政部�����、國家網(wǎng)信辦負責解釋�����。
8
第三十六條 本辦法自2024年10月1日期執行��。
