为深入贯彻《国务院办公厅关于进一步规范财务审计秩序 促进注册会计师行业健康发展的意见》(国办发〔2021〕30号)精神,进一步强化会计师事务所的数据安全管理,并规范其数据处理行为,我们联合发布了《会计师事务所数据安全管理暂行办法》。请各级财政厅(局)、网信办,以及新疆生产建设兵团财政局、网信办,深圳市财政局等相关单位予以执行。
附件:《会计师事务所数据安全管理暂行办法》
2024年4月15日
会计师事务所数据安全管理暂行办法
第一章 总则
第一条 为确保会计师事务所的数据安全,并规范其数据处理活动,我们依据多项相关法律法规,如《中华人民共和国注册会计师法》等,制定了此管理办法。
第二条 本办法适用于在中华人民共和国境内依法设立的会计师事务所,当其从事以下审计业务相关数据处理活动时:
- 为上市公司及非上市的国有金融机构、中央企业等提供审计服务;
- 为关键信息基础设施运营者或拥有超过100万用户的网络平台运营者提供审计服务;
- 为境内企业境外上市提供审计服务。
若会计师事务所的业务不属于上述范围,但涉及重要或核心数据,则同样适用本办法。
第三条 本办法所指的数据,是在会计师事务所执行审计业务过程中产生或获取的,以电子或其他方式记录的信息。数据安全的目标是确保数据处于有效保护和合法利用的状态,并具备持续安全的能力。
第四条 会计师事务所需承担其自身的数据安全主体责任,并履行相应的数据安全保护义务。
第五条 财政部将负责全国范围内的会计师事务所数据安全监管工作,而各省级财政部门(包括深圳市和新疆生产建设兵团)则负责本行政区域内的监管工作。
第六条 注册会计师协会应加强行业自律,指导会计师事务所在数据安全保护方面的工作,并助力提高其数据安全管理水平。
第二章 数据管理
第七条 会计师事务所在数据安全管理方面应承担以下责任:
- 建立完善的数据全生命周期安全管理制度和管控机制;
- 健全数据安全管理组织架构,明确权责;
- 实施与业务特性相契合的数据分类分级管理策略;
- 建立数据权限管理策略,遵循最小授权原则设置访问和处理权限,并定期复核和保留访问记录。
(五)会计师事务所应定期组织员工参与数据安全教育培训,提升全体员工的数据安全意识和能力。
(六)会计师事务所在执行审计业务过程中,应遵守其他相关法律法规的规定,确保数据安全管理的合规性。
第八条 会计师事务所的首席合伙人(或主任会计师)作为本所数据安全负责人,应全面负责数据安全管理工作,并确保各项措施的有效执行。
第九条 会计师事务所应依据法律、行政法规以及被审计单位所处行业的数据分类分级标准,明确核心数据、重要数据和一般数据的范围和标准。同时,通过业务约定书、确认函等方式与被审计单位共同确认审计资料中核心数据和重要数据的性质、内容和范围。
第十条 会计师事务所在存储和处理核心数据、重要数据时,必须严格遵守国家相关规定,确保数据的安全性和合规性。具体而言,存储核心数据的信息系统应落实四级网络安全等级保护要求,而存储重要数据的信息系统则应达到三级及以上网络安全等级保护标准。对于涉及国家秘密的数据,更是应依照相关法律、行政法规的规定进行妥善处理。
第十一条 会计师事务所应确保审计业务相关的信息系统、数据库、网络设备等具备访问日志记录功能,并按照规定的时间留存相关日志。对于核心数据和重要数据,相关日志的留存时间应分别不少于三年和一年,以确保数据的可追溯性和审计工作的有效性。
第十二条 在数据传输过程中,会计师事务所应遵循明确的数据传输操作规程,采用加密技术确保核心数据和重要数据的安全传输。同时,相关加密设备和密钥的管理也应在境内进行,以确保数据的完整性和保密性。
第十三条 审计工作底稿作为重要的审计资料,应按照法律、行政法规和国家有关规定存储在境内。相关加密设备和密钥的管理也应在境内进行,并由境内团队负责运行维护,以确保审计工作底稿的安全性和可访问性。
第十四条 会计师事务所应建立完善的数据备份制度,确保在审计相关应用系统因外部技术原因被停止使用或限制使用时,仍能及时访问、调取和使用相关审计工作底稿。这有助于保障审计工作的连续性和数据的完整性。
第十五条 会计师事务所在与被审计单位签订业务约定书或类似合同时,不得包含向境外监管机构提供境内项目资料数据等类似条款。这是为了确保数据的主权和安全,防止数据外泄和非法使用的情况发生。
第十六条 会计师事务所应采用多种技术手段,如网络隔离、用户认证、访问控制、数据加密等,以实时监测并应对网络攻击和非法访问,从而确保数据安全无虞。
第十七条 为应对可能的数据安全风险,会计师事务所需建立一套完善的应急处置机制。该机制应包括对数据外泄、安全漏洞等风险的及时发现与迅速应对,以确保在发生重大数据安全事件时,能够及时向相关部门报告并采取有效措施。
第十八条 若会计师事务所需向境外提供其在境内收集和产生的个人信息及重要数据,必须严格遵守国家的数据出境管理规定,确保数据的安全合法流动。
第十九条 对于审计工作底稿的出境事项,会计师事务所应建立逐级复核机制,并采取必要措施来落实数据安全管控责任。需要出境的审计工作底稿必须按照国家相关规定办理审批手续。
第二十条 会计师事务所应构建完善的网络安全管理架构,并建立健全内部网络安全管理制度。这包括确保内部决策、管理、执行和监督机制的顺畅运行,以提供稳定安全的网络环境支持数据安全管理工作。
第二十一条 事务所应根据业务规模和复杂程度配备具备相应职业技能的网络管理技术人员,并确保合理的网络资源和资金投入。
第二十二条 事务所应强化信息系统安全管理和技术防护措施,根据存储和处理数据的级别采取相应的隔离措施和访问控制策略,以防范未经授权的访问行为。
第二十三条 会计师事务所应拥有其审计业务系统中网络设备和网络安全设备的自主管理权限,并统一设置和维护系统管理员账户及工作人员账户。同时,不得设置不受限制和监控的超级账户,也不得将管理员账号交由第三方运维机构管理使用。
对于加入国际网络的会计师事务所,在使用所在国际网络的信息系统时,应采取必要措施确保符合国家数据安全法律、行政法规和本办法的规定,从而保障本所的数据安全。
第四章 监督检查
第二十四条 财政部与省级财政部门(统称省级以上财政部门)将与同级网信部门、公安机关、国家安全机关协同合作,加强会计师事务所数据安全监管信息的共享。
第二十五条 省级以上财政部门及网信部门将共同对会计师事务所的数据安全状况进行监督检查。同时,公安机关和国家安全机关将依法在各自职责范围内承担对会计师事务所的数据安全监管责任。
第二十六条 对于承接金融、能源、电信、交通、科技、国防科工等关键领域审计业务,且符合本办法规定范围的会计师事务所,省级以上财政部门将在监督检查工作中给予特别关注,并持续强化其日常监管。
第二十七条 会计师事务所在接受依法实施的数据安全监督检查时,应积极配合,不得有任何拒绝、拖延或阻挠的行为。
第二十八条 若会计师事务所在开展数据处理活动时,其活动可能影响或已经影响到了国家安全,那么该事务所必须遵循国家安全审查机制接受相应的安全审查。
第二十九条 在履行数据安全监管职责过程中,若相关部门发现会计师事务所在数据处理方面存在重大安全隐患,可以采取约谈、责令限期整改等措施,以消除潜在风险。
第三十条 对于违反本办法规定的会计师事务所及相关人员,将依据相关法律、行政法规的规定进行处罚;若涉及其他部门的职责范围,将依法移交至相应主管部门处理;构成犯罪的,将移交司法机关追究刑事责任。
第三十一条 若相关部门工作人员在履行会计师事务所数据安全监管职责时出现玩忽职守、滥用职权或徇私舞弊的行为,将依法追究其法律责任。
第五章 附则
第三十二条 会计师事务所在处理涉及国家秘密的数据时,应遵循《中华人民共和国保守国家秘密法》等相关法律、行政法规的规定。
第三十三条 会计师事务所在进行其他涉及个人信息的数据处理活动时,也必须遵守相关法律、行政法规的规定。
第三十四条 会计师事务所在开展非审计业务时,同样应参照本办法,加强对其涉及的数据的管理。
第三十五条 关于本办法的解释权,归属于财政部和国家网信办。
第三十六条 本办法自2024年10月1日起正式实施。