RM新时代平台足球

政策原文

會(huì )計師事務(wù)所數據安全管理暫行辦法

（征求意見(jiàn)稿）

第一章 總則

第一條 為保障會(huì )計師事務(wù)所數據安全，規范會(huì )計師事務(wù)所數據處理活動(dòng)，根據《中華人民共和國注冊會(huì )計師法》、《中華人民共和國數據安全法》、《中華人民共和國網(wǎng)絡(luò )安全法》等法律法規，制定本辦法。

第二條 在中華人民共和國境內依法設立的會(huì )計師事務(wù)所開(kāi)展下列審計業(yè)務(wù)相關(guān)數據處理活動(dòng)的，適用本辦法：

（一）為上市公司以及非上市的國有金融機構、中央企業(yè)等提供審計服務(wù)的；

（二）開(kāi)展跨境審計業(yè)務(wù)的。

第三條 本辦法所稱(chēng)數據，是指會(huì )計師事務(wù)所執行審計業(yè)務(wù)過(guò)程中，從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。

數據安全，是指通過(guò)采取必要措施，確保數據持續得到有效保護和合法利用。

第四條 會(huì )計師事務(wù)所承擔本機構的數據安全主體責任，履行數據安全保護義務(wù)。

第五條 國務(wù)院財政部門(mén)會(huì )同國家網(wǎng)信部門(mén)負責全國會(huì )計師事務(wù)所數據安全監管工作，省、自治區、直轄市人民政府財政部門(mén)會(huì )同省級網(wǎng)信部門(mén)負責本行政區域內會(huì )計師事務(wù)所數據安全監管工作。

第六條 注冊會(huì )計師協(xié)會(huì )應當加強行業(yè)自律，指導會(huì )計師事務(wù)所加強數據安全保護，提高數據安全管理水平。

第二章 數據管理

第七條 會(huì )計師事務(wù)所應當在下列方面履行本所數據安全管理責任：

（一）建立健全數據安全管理制度，完善數據運營(yíng)和管控機制；

（二）健全數據安全管理組織架構，明確數據安全管理權責機制；

（三）實(shí)施與業(yè)務(wù)特點(diǎn)相適應的數據分類(lèi)分級管理；

（四）建立數據權限管理策略，按照最小授權原則設置數據訪(fǎng)問(wèn)和處理權限，定期復核并按有關(guān)規定保留數據訪(fǎng)問(wèn)記錄；

（五）組織開(kāi)展數據安全教育培訓；

（六）法律法規規定的其他事項。

第八條 會(huì )計師事務(wù)所的首席合伙人（主任會(huì )計師）是本所數據安全負責人。

第九條 會(huì )計師事務(wù)所應當按照相關(guān)法律法規的規定和被審計單位所處行業(yè)數據分級分類(lèi)標準確定核心數據、重要數據和一般數據。

會(huì )計師事務(wù)所應當通過(guò)業(yè)務(wù)約定書(shū)等方式與被審計單位明確審計資料分級分類(lèi)要求，審計資料分級分類(lèi)的要求應當與被審計單位相關(guān)資料分級分類(lèi)的要求保持一致。

第十條 針對核心數據，會(huì )計師事務(wù)所應當建立核心數據保護機制，通過(guò)專(zhuān)用服務(wù)器或者會(huì )計師事務(wù)所私有云平臺設置內部專(zhuān)門(mén)空間存儲，使用加密虛擬專(zhuān)用網(wǎng)絡(luò )等技術(shù)手段傳輸，對核心數據的存儲、讀取、轉移應當建立授權與記錄機制并保證有效運行。

針對重要數據，會(huì )計師事務(wù)所應當制定和執行規范的處理流程，將其存放于和互聯(lián)網(wǎng)邏輯隔離的信息系統中，并嚴格控制接觸人員范圍。

針對一般數據，會(huì )計師事務(wù)所應當采取基于用戶(hù)角色的授權訪(fǎng)問(wèn)控制，并且按照最小權限原則授權。

第十一條 會(huì )計師事務(wù)所的審計工作底稿及相關(guān)數據應當存儲在境內，不得在境外備份。

會(huì )計師事務(wù)所應當對審計業(yè)務(wù)相關(guān)的信息系統、數據庫、網(wǎng)絡(luò )設備、網(wǎng)絡(luò )安全設備等設置并啟用訪(fǎng)問(wèn)日志記錄功能。日志應當存放境內，其中，日志中的用戶(hù)登錄及訪(fǎng)問(wèn)日志保存期限不得少于十年，其他日志保存期限不得少于六個(gè)月。

第十二條 會(huì )計師事務(wù)所應當明確數據傳輸操作規程。核心數據、重要數據傳輸過(guò)程中應當采用加密技術(shù)，保護傳輸安全。

第十三條 審計工作底稿和相關(guān)數據的加密設備應當設置在境內并由境內團隊負責運行維護，密鑰應當存儲在境內。第十四條 會(huì )計師事務(wù)所應當建立數據備份制度。會(huì )計師事務(wù)所應當確保在審計相關(guān)應用系統停止使用、被限制使用等情況下，仍能訪(fǎng)問(wèn)、調取、使用相關(guān)審計工作底稿。

第十五條 會(huì )計師事務(wù)所不得在業(yè)務(wù)約定書(shū)或類(lèi)似合同中包含會(huì )計師事務(wù)所向境外監管機構提供境內項目資料數據等類(lèi)似條款。

第十六條 會(huì )計師事務(wù)所應當采用網(wǎng)絡(luò )隔離、用戶(hù)認證、訪(fǎng)問(wèn)控制、數據加密、病毒防范、非法入侵檢測等技術(shù)手段，及時(shí)識別、阻斷和溯源相關(guān)網(wǎng)絡(luò )攻擊和非法訪(fǎng)問(wèn)，保障數據安全。

第十七條 會(huì )計師事務(wù)所應當建立數據安全應急處置機制，加強數據安全風(fēng)險監測。發(fā)現數據外泄、安全漏洞等風(fēng)險的，應當立即采取補救、處置措施。發(fā)生重大數據安全事件的，應當及時(shí)向省級以上財政部門(mén)報告。

第十八條 會(huì )計師事務(wù)所在境內形成的審計工作底稿應當存放在境內。需要出境的，按照國家有關(guān)規定辦理審批手續。

第十九條 會(huì )計師事務(wù)所對于審計工作底稿出境事項應當建立逐級復核機制，采取必要措施嚴格落實(shí)審計工作底稿涉密敏感信息管控責任。

第三章 網(wǎng)絡(luò )管理

第二十條 會(huì )計師事務(wù)所應當建立完善的網(wǎng)絡(luò )管理治理架構，建立健全內部網(wǎng)絡(luò )管理制度體系，建立內部決策、管理、執行和監督機制，確保網(wǎng)絡(luò )管理能力與提供的專(zhuān)業(yè)服務(wù)相適應，為數據安全管理工作提供安全的網(wǎng)絡(luò )環(huán)境。

第二十一條 會(huì )計師事務(wù)所應當按照業(yè)務(wù)活動(dòng)規模及復雜程度配置具備相關(guān)職業(yè)技能水平的網(wǎng)絡(luò )管理技術(shù)人員，確保合理的網(wǎng)絡(luò )資源投入和資金投入。

第二十二條 會(huì )計師事務(wù)所應當做好信息系統安全管理和技術(shù)防護，根據存儲、處理數據的級別采取相應的網(wǎng)絡(luò )物理隔離或者邏輯隔離等措施，設置嚴格的訪(fǎng)問(wèn)控制策略，防范未經(jīng)授權的訪(fǎng)問(wèn)行為。

第二十三條 會(huì )計師事務(wù)所應當擁有其使用的審計業(yè)務(wù)系統中網(wǎng)絡(luò )設備、網(wǎng)絡(luò )安全設備的配置和管理的最高權限，統一管理、維護系統管理員賬戶(hù)和工作人員賬戶(hù)，不得設置不受限制的超級賬戶(hù)。

加入國際網(wǎng)絡(luò )的會(huì )計師事務(wù)所使用所在國際網(wǎng)絡(luò )的信息系統的，應當采取用戶(hù)隔離和數據隔離等措施。

第四章 監督檢查

第二十四條 省級以上財政部門(mén)與同級網(wǎng)信部門(mén)加強會(huì )計師事務(wù)所數據安全監管信息共享。

第二十五條 省級以上財政部門(mén)、省級以上網(wǎng)信部門(mén)（以下簡(jiǎn)稱(chēng)相關(guān)部門(mén)）對會(huì )計師事務(wù)所數據安全情況開(kāi)展監督檢查。

在監督檢查過(guò)程中，相關(guān)部門(mén)可以委托國家、行業(yè)有關(guān)專(zhuān)業(yè)機構采用滲透測試、漏洞掃描及信息技術(shù)風(fēng)險評估等方式，協(xié)助對會(huì )計師事務(wù)所開(kāi)展監督檢查。

相關(guān)部門(mén)和機構工作人員對監督檢查中知悉的核心數據、重要數據、個(gè)人隱私等數據應當依法嚴格保護，不得泄露或者非法向他人提供。

第二十六條 對于承接金融、能源、通信、交通、科技、國防科工等重要領(lǐng)域審計業(yè)務(wù)的會(huì )計師事務(wù)所，相關(guān)部門(mén)應當開(kāi)展全覆蓋監督檢查，并持續加強日常監管。

第二十七條 會(huì )計師事務(wù)所對于相關(guān)部門(mén)依法實(shí)施的數據安全檢查，應當予以配合，提供符合要求的相關(guān)數據資料和工作便利，不得拒絕、拖延、阻撓。

第二十八條 承接關(guān)系國計民生、重要領(lǐng)域審計業(yè)務(wù)的會(huì )計師事務(wù)所開(kāi)展數據處理活動(dòng)，影響或者可能影響國家安全的，按照網(wǎng)絡(luò )安全審查相關(guān)機制進(jìn)行網(wǎng)絡(luò )安全審查。

第二十九條 相關(guān)部門(mén)在履行數據安全監管職責中，發(fā)現會(huì )計師事務(wù)所開(kāi)展數據處理活動(dòng)存在較大安全風(fēng)險的，可以對會(huì )計師事務(wù)所及其責任人采取約談、責令限期整改等監管措施，消除隱患。

第三十條 會(huì )計師事務(wù)所及其從業(yè)人員違反本辦法規定的，由相關(guān)部門(mén)依照《中華人民共和國數據安全法》、《中華人民共和國網(wǎng)絡(luò )安全法》、《中華人民共和國注冊會(huì )計師法》等法律、行政法規的規定進(jìn)行處理處罰。

第三十一條 對會(huì )計師事務(wù)所及其從業(yè)人員違反本辦法規定，涉及其他部門(mén)職責權限的，依法移送有關(guān)主管部門(mén)處理；構成犯罪的，移送司法機關(guān)依法追究刑事責任。

第五章 附則

第三十二條 會(huì )計師事務(wù)所及其從業(yè)人員開(kāi)展涉及國家秘密的數據處理活動(dòng)，適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。

第三十三條 會(huì )計師事務(wù)所開(kāi)展涉及個(gè)人信息的數據處理活動(dòng)，應當遵守有關(guān)法律、行政法規的規定。

第三十四條 會(huì )計師事務(wù)所的非審計業(yè)務(wù)數據管理可參照本辦法執行。

第三十五條 本辦法由財政部、國家網(wǎng)信辦負責解釋。

第三十六條 本辦法自 年 月 日起施行。

會(huì )計師事務(wù)所數據安全管理暫行辦法

起草說(shuō)明

為貫徹落實(shí)《國務(wù)院辦公廳關(guān)于進(jìn)一步規范財務(wù)審計秩序 促進(jìn)注冊會(huì )計師行業(yè)健康發(fā)展的意見(jiàn)》（國辦發(fā)〔2021〕30號）的要求，加強會(huì )計師事務(wù)所數據安全管理，規范會(huì )計師事務(wù)所數據處理活動(dòng),財政部會(huì )同國家網(wǎng)信辦研究起草了《會(huì )計師事務(wù)所數據安全管理暫行辦法》（征求意見(jiàn)稿）》(以下簡(jiǎn)稱(chēng)《辦法》）?，F將有關(guān)情況說(shuō)明如下：

一、總體考慮

《辦法》定位為會(huì )計師事務(wù)所數據安全管理頂層設計，一是全面對接數據安全法要求。在注冊會(huì )計師行業(yè)對國家數據安全管理制度進(jìn)行細化，明確落實(shí)數據分級分類(lèi)管理制度、各類(lèi)數據處理要求、數據安全保護義務(wù)等法律規定，為行業(yè)數據安全監管提供制度保障。二是構建注冊會(huì )計師行業(yè)數據安全監管體系。明確財政部、國家網(wǎng)信辦、地方財政部門(mén)、地方網(wǎng)信部門(mén)和注冊會(huì )計師協(xié)會(huì )等各方面的職責范圍，建立權責一致的工作機制。三是明確數據管理要求。根據注冊會(huì )計師行業(yè)的實(shí)際情況，明確了會(huì )計師事務(wù)所數據管理的主要內容、責任人員、管理要求、網(wǎng)絡(luò )防護等要求，指導行業(yè)健全數據安全管理和技術(shù)保護措施，履行保護義務(wù)。

二、主要內容

《辦法》共5章36條。第一部分為總則，主要包括制定依據、適用范圍、責任主體、監管機構、行業(yè)自律等內容。第二部分為數據管理，包括總體責任、責任人員、數據分級分類(lèi)、數據管理、數據存儲、數據傳輸管理、數據加密管理、數據備份、業(yè)務(wù)約定書(shū)、技術(shù)保護手段、日常安全監測、監管合作、出境底稿內部管理等內容。第三部分為網(wǎng)絡(luò )管理，主要包括網(wǎng)絡(luò )管理制度、資源投入、系統賬戶(hù)管理等內容。第四部分為監督檢查，包括信息共享、日常檢查、重點(diǎn)檢查對象、配合檢查義務(wù)、網(wǎng)絡(luò )安全審查機制、行政管理措施、行政處罰、移送處理等內容。第五部分為附則，包括涉密信息處理、個(gè)人信息處理、其他業(yè)務(wù)、解釋部門(mén)、實(shí)施日期等內容。

三、重點(diǎn)問(wèn)題的說(shuō)明

《辦法》立足規范會(huì )計師事務(wù)所數據安全管理，重點(diǎn)從以下方面進(jìn)行了設計：

一是明確適用范圍、數據定義和各方主體?！掇k法》的適用范圍是在中國境內依法設立并為上市公司以及非上市的國有金融機構、中央企業(yè)等提供審計服務(wù),或者開(kāi)展跨境審計的會(huì )計師事務(wù)所及其從業(yè)人員。數據是指會(huì )計師事務(wù)所執行審計業(yè)務(wù)過(guò)程中，從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。會(huì )計師事務(wù)所承擔本機構的數據安全主體責任。財政部門(mén)和網(wǎng)信部門(mén)是會(huì )計師事務(wù)所數據安全的監管機構。注冊會(huì )計師協(xié)會(huì )是會(huì )計師事務(wù)所數據安全的自律管理主體。

二是加強會(huì )計師事務(wù)所數據管理。在規定了總體責任和責任人員的基礎上，《辦法》要求會(huì )計師事務(wù)所對數據區分核心數據、重要數據、一般數據進(jìn)行分級分類(lèi)管理?！掇k法》對數據傳輸、數據加密、數據備份等事項作出具體規定，對數據管理技術(shù)手段、數據存儲方式、日志管理等提出具體要求。會(huì )計師事務(wù)所應當綜合采取網(wǎng)絡(luò )隔離、用戶(hù)認證、訪(fǎng)問(wèn)控制、數據加密、病毒防范、非法入侵檢測等技術(shù)手段加強數據管理，相關(guān)數據應當存儲境內?！掇k法》同時(shí)對跨境審計監管中涉及的數據出境事項作出規范。

三是完善會(huì )計師事務(wù)所網(wǎng)絡(luò )保障?！掇k法》明確，會(huì )計師事務(wù)所應當建立完善的網(wǎng)絡(luò )管理治理架構，建立健全內部網(wǎng)絡(luò )管理制度體系，按照業(yè)務(wù)活動(dòng)規模及復雜程度配置具備相關(guān)職業(yè)技能水平的網(wǎng)絡(luò )管理技術(shù)人員，確保合理的網(wǎng)絡(luò )資源投入和資金投入。針對部分會(huì )計師事務(wù)所網(wǎng)絡(luò )安全管理不嚴的問(wèn)題，《辦法》要求會(huì )計師事務(wù)所設置嚴格的訪(fǎng)問(wèn)控制策略，統一管理各類(lèi)賬戶(hù)，不得設置不受限制的超級賬戶(hù),防范未經(jīng)授權的訪(fǎng)問(wèn)行為。

四是加強監督檢查?！掇k法》與《會(huì )計師事務(wù)所監督檢查辦法》銜接，明確財政部門(mén)、網(wǎng)信部門(mén)開(kāi)展會(huì )計師事務(wù)所數據安全檢查及重點(diǎn)檢查內容。對于承接金融、能源、通信、交通、科技、國防科工等重要領(lǐng)域審計業(yè)務(wù)較多的會(huì )計師事務(wù)所，將開(kāi)展全覆蓋監督檢查，并持續加強日常監管。特定情況下，可以啟動(dòng)對會(huì )計師事務(wù)所的網(wǎng)絡(luò )安全審查機制?？紤]到數據安全檢查有一定專(zhuān)業(yè)性，《辦法》規定，相關(guān)部門(mén)可以委托有關(guān)專(zhuān)業(yè)機構采用專(zhuān)業(yè)手段協(xié)助開(kāi)展監督檢查?！掇k法》落實(shí)法律責任，規定對于違法違規行為，相關(guān)部門(mén)根據《中華人民共和國數據安全法》相關(guān)規定依法作出處理處罰。

來(lái)源：財政部會(huì )計司