各省、自治區、直轄市财政廳(局)、網信辦,新疆生産建設兵團财政局、網信辦,深圳市财政局:爲貫徹落實《國(guó)務院辦公廳關于進(jìn)一步規範财務審計秩序 促進(jìn)注冊會計師行業健康發(fā)展的意見》(國(guó)辦發(fā)〔2021〕30号)有關要求,加強會計師事(shì)務所數據安全管理,規範會計師事(shì)務所數據處理活動,我們制定了《會計師事(shì)務所數據安全管理暫行辦法》,現予印發(fā),請遵照執行。
附件:會計師事(shì)務所數據安全管理暫行辦法
2024年4月15日
第一條 爲保障會計師事(shì)務所數據安全,規範會計師事(shì)務所數據處理活動,根據《中華人民共和國(guó)注冊會計師法》、《中華人民共和國(guó)網絡安全法》、《中華人民共和國(guó)數據安全法》、《中華人民共和國(guó)個人信息保護法》等法律法規,制定本辦法。第二條 在中華人民共和國(guó)境内依法設立的會計師事(shì)務所開(kāi)展下列審計業務相關數據處理活動的,适用本辦法:(一)爲上市公司以及非上市的國(guó)有金融機構、中央企業等提供審計服務的;(二)爲關鍵信息基礎設施運營者或者超過(guò)100萬用戶的網絡平台運營者提供審計服務的;會計師事(shì)務所從事(shì)的審計業務不屬于前款規定的範圍,但涉及重要數據或者核心數據的,适用本辦法。第三條 本辦法所稱數據,是指會計師事(shì)務所執行審計業務過(guò)程中,從外部獲取和内部生成(chéng)的任何以電子或者其他方式對(duì)信息的記錄。數據安全,是指通過(guò)采取必要措施,确保數據處于有效保護和合法利用的狀态,以及具備保障持續安全狀态的能(néng)力。第四條 會計師事(shì)務所承擔本所的數據安全主體責任,履行數據安全保護義務。第五條 财政部負責全國(guó)會計師事(shì)務所數據安全監管工作,省級(含深圳市、新疆生産建設兵團)财政部門負責本行政區域内會計師事(shì)務所數據安全監管工作。第六條 注冊會計師協會應當加強行業自律,指導會計師事(shì)務所加強數據安全保護,提高數據安全管理水平。第七條 會計師事(shì)務所應當在下列方面(miàn)履行本所數據安全管理責任:(一)建立健全數據全生命周期安全管理制度,完善數據運營和管控機制;(二)健全數據安全管理組織架構,明确數據安全管理權責機制;(四)建立數據權限管理策略,按照最小授權原則設置數據訪問和處理權限,定期複核并按有關規定保留數據訪問記錄;第八條 會計師事(shì)務所的首席合夥人(主任會計師)是本所數據安全負責人。第九條 會計師事(shì)務所應當按照法律、行政法規的規定和被(bèi)審計單位所處行業數據分類分級标準确定核心數據、重要數據和一般數據。會計師事(shì)務所和被(bèi)審計單位應當通過(guò)業務約定書、确認函等方式明确審計資料中核心數據和重要數據的性質、内容和範圍等。第十條 會計師事(shì)務所對(duì)核心數據、重要數據的存儲處理,應當符合國(guó)家相關規定。存儲核心數據的信息系統要落實四級網絡安全等級保護要求。存儲重要數據的信息系統要落實三級及以上網絡安全等級保護要求。數據彙聚、關聯後(hòu)屬于國(guó)家秘密事(shì)項的,應當依照有關保守國(guó)家秘密的法律、行政法規規定處理。第十一條 會計師事(shì)務所應當對(duì)審計業務相關的信息系統、數據庫、網絡設備、網絡安全設備等設置并啓用訪問日志記錄功能(néng)。涉及核心數據的,相關日志留存時間不少于三年。涉及重要數據的,相關日志留存時間不少于一年;涉及向(xiàng)他人提供、委托處理、共同處理重要數據的相關日志留存時間不少于三年。第十二條 會計師事(shì)務所應當明确數據傳輸操作規程。核心數據、重要數據傳輸過(guò)程中應當采用加密技術,保護傳輸安全。第十三條 審計工作底稿應當按照法律、行政法規和國(guó)家有關規定存儲在境内。相關加密設備應當設置在境内并由境内團隊負責運行維護,密鑰應當存儲在境内。第十四條 會計師事(shì)務所應當建立數據備份制度。會計師事(shì)務所應當确保在審計相關應用系統因外部技術原因被(bèi)停止使用、被(bèi)限制使用等情況下,仍能(néng)訪問、調取、使用相關審計工作底稿。第十五條 會計師事(shì)務所不得在業務約定書或者類似合同中包含會計師事(shì)務所向(xiàng)境外監管機構提供境内項目資料數據等類似條款。第十六條 會計師事(shì)務所應當采用網絡隔離、用戶認證、訪問控制、數據加密、病毒防範、非法入侵檢測等技術手段,及時識别、阻斷和溯源相關網絡攻擊和非法訪問,保障數據安全。第十七條 會計師事(shì)務所應當建立數據安全應急處置機制,加強數據安全風險監測。發(fā)現數據外洩、安全漏洞等風險的,應當立即采取補救、處置措施。發(fā)生重大數據安全事(shì)件,導緻核心數據或者重要數據洩露、丢失或者被(bèi)竊取、篡改的,應當及時向(xiàng)有關主管部門報告。第十八條 會計師事(shì)務所向(xiàng)境外提供其在境内運營中收集和産生的個人信息和重要數據的,應當遵守國(guó)家數據出境管理有關規定。第十九條 會計師事(shì)務所對(duì)于審計工作底稿出境事(shì)項應當建立逐級複核機制,采取必要措施嚴格落實數據安全管控責任。對(duì)于需要出境的審計工作底稿,按照國(guó)家有關規定辦理審批手續。第二十條 會計師事(shì)務所應當建立完善的網絡安全管理治理架構,建立健全内部網絡安全管理制度體系,建立内部決策、管理、執行和監督機制,确保網絡安全管理能(néng)力與提供的專業服務相适應,爲數據安全管理工作提供安全的網絡環境。第二十一條 會計師事(shì)務所應當按照業務活動規模及複雜程度配置具備相應職業技能(néng)水平的網絡管理技術人員,确保合理的網絡資源投入和資金投入。第二十二條 會計師事(shì)務所應當做好(hǎo)信息系統安全管理和技術防護,根據存儲、處理數據的級别采取相應的網絡物理隔離或者邏輯隔離等措施,設置嚴格的訪問控制策略,防範未經(jīng)授權的訪問行爲。第二十三條 會計師事(shì)務所應當擁有其審計業務系統中網絡設備、網絡安全設備的自主管理權限,統一設置、維護系統管理員賬戶和工作人員賬戶,不得設置不受限制、不受監控的超級賬戶,不得將(jiāng)管理員賬号交由第三方運維機構管理使用。加入國(guó)際網絡的會計師事(shì)務所使用所在國(guó)際網絡的信息系統的,應當采取必要措施,使其符合國(guó)家數據安全法律、行政法規和本辦法的規定,确保本所數據安全。第二十四條 财政部和省級财政部門(以下統稱省級以上财政部門)與同級網信部門、公安機關、國(guó)家安全機關加強會計師事(shì)務所數據安全監管信息共享。第二十五條 省級以上财政部門、省級以上網信部門對(duì)會計師事(shì)務所數據安全情況開(kāi)展監督檢查。公安機關、國(guó)家安全機關依法在職責範圍内承擔會計師事(shì)務所數據安全監管職責。第二十六條 對(duì)于承接金融、能(néng)源、電信、交通、科技、國(guó)防科工等重要領域審計業務且符合本辦法第二條規定範圍的會計師事(shì)務所,省級以上财政部門在監督檢查工作中予以重點關注,并持續加強日常監管。第二十七條 會計師事(shì)務所對(duì)于依法實施的數據安全監督檢查,應當予以配合,不得拒絕、拖延、阻撓。第二十八條 會計師事(shì)務所開(kāi)展數據處理活動,影響或者可能(néng)影響國(guó)家安全的,應當按照國(guó)家安全審查機制進(jìn)行安全審查。第二十九條 相關部門在履行數據安全監管職責中,發(fā)現會計師事(shì)務所開(kāi)展數據處理活動存在較大安全風險的,可以對(duì)會計師事(shì)務所及其責任人采取約談、責令限期整改等監管措施,消除隐患。第三十條 會計師事(shì)務所及相關人員違反本辦法規定的,應當按照《中華人民共和國(guó)注冊會計師法》、《中華人民共和國(guó)網絡安全法》、《中華人民共和國(guó)數據安全法》、《中華人民共和國(guó)個人信息保護法》等法律、行政法規的規定予以處理處罰;涉及其他部門職責權限的,依法移送有關主管部門處理;構成(chéng)犯罪的,移送司法機關依法追究刑事(shì)責任。第三十一條 相關部門工作人員在履行會計師事(shì)務所數據安全監管職責過(guò)程中,玩忽職守、濫用職權、徇私舞弊的,依法追究法律責任。第三十二條 會計師事(shì)務所及相關人員開(kāi)展涉及國(guó)家秘密的數據處理活動,适用《中華人民共和國(guó)保守國(guó)家秘密法》等法律、行政法規的規定。第三十三條 會計師事(shì)務所及相關人員開(kāi)展其他涉及個人信息的數據處理活動,應當遵守有關法律、行政法規的規定。第三十四條 會計師事(shì)務所可以參照本辦法加強對(duì)非審計業務數據的管理。第三十五條 本辦法由财政部、國(guó)家網信辦負責解釋。第三十六條 本辦法自2024年10月1日起(qǐ)施行。
