各省�����、自治區(qū)、直轄市財(cái)政廳(局)�����、網(wǎng)信辦,新疆生產(chǎn)建設(shè)兵團(tuán)財(cái)政局�����、網(wǎng)信辦�����,深圳市財(cái)政局:
為貫徹落實(shí)《國務(wù)院辦公廳關(guān)于進(jìn)一步規(guī)范財(cái)務(wù)審計(jì)秩序 促進(jìn)注冊會(huì)計(jì)師行業(yè)健康發(fā)展的意見》(國辦發(fā)〔2021〕30號(hào))有關(guān)要求�����,加強(qiáng)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理�����,規(guī)范會(huì)計(jì)師事務(wù)所數(shù)據(jù)處理活動(dòng)�����,我們制定了《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》�����,現(xiàn)予印發(fā)�����,請(qǐng)遵照?qǐng)?zhí)行。
附件:會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法
財(cái)政部國家互聯(lián)網(wǎng)信息辦公室
2024年4月15日
會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法
第一章 總則
第一條 為保障會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全�����,規(guī)范會(huì)計(jì)師事務(wù)所數(shù)據(jù)處理活動(dòng)�����,根據(jù)《中華人民共和國注冊會(huì)計(jì)師法》�����、《中華人民共和國網(wǎng)絡(luò)安全法》�����、《中華人民共和國數(shù)據(jù)安全法》�����、《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)�����,制定本辦法�����。
第二條 在中華人民共和國境內(nèi)依法設(shè)立的會(huì)計(jì)師事務(wù)所開展下列審計(jì)業(yè)務(wù)相關(guān)數(shù)據(jù)處理活動(dòng)的�����,適用本辦法:
(一)為上市公司以及非上市的國有金融機(jī)構(gòu)�����、中央企業(yè)等提供審計(jì)服務(wù)的�����;
(二)為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者或者超過100萬用戶的網(wǎng)絡(luò)平臺(tái)運(yùn)營者提供審計(jì)服務(wù)的�����;
(三)為境內(nèi)企業(yè)境外上市提供審計(jì)服務(wù)的�����。
會(huì)計(jì)師事務(wù)所從事的審計(jì)業(yè)務(wù)不屬于前款規(guī)定的范圍�����,但涉及重要數(shù)據(jù)或者核心數(shù)據(jù)的,適用本辦法�����。
第三條 本辦法所稱數(shù)據(jù)�����,是指會(huì)計(jì)師事務(wù)所執(zhí)行審計(jì)業(yè)務(wù)過程中�����,從外部獲取和內(nèi)部生成的任何以電子或者其他方式對(duì)信息的記錄�����。
數(shù)據(jù)安全�����,是指通過采取必要措施�����,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)�����,以及具備保障持續(xù)安全狀態(tài)的能力�����。
第四條 會(huì)計(jì)師事務(wù)所承擔(dān)本所的數(shù)據(jù)安全主體責(zé)任�����,履行數(shù)據(jù)安全保護(hù)義務(wù)�����。
第五條 財(cái)政部負(fù)責(zé)全國會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全監(jiān)管工作�����,省級(jí)(含深圳市�����、新疆生產(chǎn)建設(shè)兵團(tuán))財(cái)政部門負(fù)責(zé)本行政區(qū)域內(nèi)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全監(jiān)管工作�����。
第六條 注冊會(huì)計(jì)師協(xié)會(huì)應(yīng)當(dāng)加強(qiáng)行業(yè)自律,指導(dǎo)會(huì)計(jì)師事務(wù)所加強(qiáng)數(shù)據(jù)安全保護(hù)�����,提高數(shù)據(jù)安全管理水平�����。
第二章 數(shù)據(jù)管理
第七條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)在下列方面履行本所數(shù)據(jù)安全管理責(zé)任:
(一)建立健全數(shù)據(jù)全生命周期安全管理制度�����,完善數(shù)據(jù)運(yùn)營和管控機(jī)制�����;
(二)健全數(shù)據(jù)安全管理組織架構(gòu)�����,明確數(shù)據(jù)安全管理權(quán)責(zé)機(jī)制�����;
(三)實(shí)施與業(yè)務(wù)特點(diǎn)相適應(yīng)的數(shù)據(jù)分類分級(jí)管理;
(四)建立數(shù)據(jù)權(quán)限管理策略�����,按照最小授權(quán)原則設(shè)置數(shù)據(jù)訪問和處理權(quán)限�����,定期復(fù)核并按有關(guān)規(guī)定保留數(shù)據(jù)訪問記錄�����;
(五)組織開展數(shù)據(jù)安全教育培訓(xùn)�����;
(六)法律法規(guī)規(guī)定的其他事項(xiàng)�����。
第八條 會(huì)計(jì)師事務(wù)所的首席合伙人(主任會(huì)計(jì)師)是本所數(shù)據(jù)安全負(fù)責(zé)人�����。
第九條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)按照法律�����、行政法規(guī)的規(guī)定和被審計(jì)單位所處行業(yè)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)確定核心數(shù)據(jù)�����、重要數(shù)據(jù)和一般數(shù)據(jù)�����。
會(huì)計(jì)師事務(wù)所和被審計(jì)單位應(yīng)當(dāng)通過業(yè)務(wù)約定書�����、確認(rèn)函等方式明確審計(jì)資料中核心數(shù)據(jù)和重要數(shù)據(jù)的性質(zhì)�����、內(nèi)容和范圍等�����。
第十條 會(huì)計(jì)師事務(wù)所對(duì)核心數(shù)據(jù)�����、重要數(shù)據(jù)的存儲(chǔ)處理,應(yīng)當(dāng)符合國家相關(guān)規(guī)定�����。
存儲(chǔ)核心數(shù)據(jù)的信息系統(tǒng)要落實(shí)四級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求�����。存儲(chǔ)重要數(shù)據(jù)的信息系統(tǒng)要落實(shí)三級(jí)及以上網(wǎng)絡(luò)安全等級(jí)保護(hù)要求�����。
數(shù)據(jù)匯聚�����、關(guān)聯(lián)后屬于國家秘密事項(xiàng)的�����,應(yīng)當(dāng)依照有關(guān)保守國家秘密的法律�����、行政法規(guī)規(guī)定處理�����。
第十一條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)對(duì)審計(jì)業(yè)務(wù)相關(guān)的信息系統(tǒng)�����、數(shù)據(jù)庫�����、網(wǎng)絡(luò)設(shè)備�����、網(wǎng)絡(luò)安全設(shè)備等設(shè)置并啟用訪問日志記錄功能�����。
涉及核心數(shù)據(jù)的�����,相關(guān)日志留存時(shí)間不少于三年。涉及重要數(shù)據(jù)的,相關(guān)日志留存時(shí)間不少于一年�����;涉及向他人提供�����、委托處理�����、共同處理重要數(shù)據(jù)的相關(guān)日志留存時(shí)間不少于三年�����。
第十二條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)明確數(shù)據(jù)傳輸操作規(guī)程�����。核心數(shù)據(jù)�����、重要數(shù)據(jù)傳輸過程中應(yīng)當(dāng)采用加密技術(shù)�����,保護(hù)傳輸安全�����。
第十三條 審計(jì)工作底稿應(yīng)當(dāng)按照法律�����、行政法規(guī)和國家有關(guān)規(guī)定存儲(chǔ)在境內(nèi)�����。相關(guān)加密設(shè)備應(yīng)當(dāng)設(shè)置在境內(nèi)并由境內(nèi)團(tuán)隊(duì)負(fù)責(zé)運(yùn)行維護(hù)�����,密鑰應(yīng)當(dāng)存儲(chǔ)在境內(nèi)�����。
第十四條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)建立數(shù)據(jù)備份制度�����。會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)確保在審計(jì)相關(guān)應(yīng)用系統(tǒng)因外部技術(shù)原因被停止使用�����、被限制使用等情況下,仍能訪問�����、調(diào)取�����、使用相關(guān)審計(jì)工作底稿�����。
第十五條 會(huì)計(jì)師事務(wù)所不得在業(yè)務(wù)約定書或者類似合同中包含會(huì)計(jì)師事務(wù)所向境外監(jiān)管機(jī)構(gòu)提供境內(nèi)項(xiàng)目資料數(shù)據(jù)等類似條款�����。
第十六條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)采用網(wǎng)絡(luò)隔離�����、用戶認(rèn)證�����、訪問控制�����、數(shù)據(jù)加密�����、病毒防范�����、非法入侵檢測等技術(shù)手段�����,及時(shí)識(shí)別�����、阻斷和溯源相關(guān)網(wǎng)絡(luò)攻擊和非法訪問�����,保障數(shù)據(jù)安全。
第十七條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)建立數(shù)據(jù)安全應(yīng)急處置機(jī)制�����,加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測�����。發(fā)現(xiàn)數(shù)據(jù)外泄�����、安全漏洞等風(fēng)險(xiǎn)的�����,應(yīng)當(dāng)立即采取補(bǔ)救�����、處置措施�����。發(fā)生重大數(shù)據(jù)安全事件�����,導(dǎo)致核心數(shù)據(jù)或者重要數(shù)據(jù)泄露�����、丟失或者被竊取�����、篡改的�����,應(yīng)當(dāng)及時(shí)向有關(guān)主管部門報(bào)告�����。
第十八條 會(huì)計(jì)師事務(wù)所向境外提供其在境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)的�����,應(yīng)當(dāng)遵守國家數(shù)據(jù)出境管理有關(guān)規(guī)定�����。
第十九條 會(huì)計(jì)師事務(wù)所對(duì)于審計(jì)工作底稿出境事項(xiàng)應(yīng)當(dāng)建立逐級(jí)復(fù)核機(jī)制,采取必要措施嚴(yán)格落實(shí)數(shù)據(jù)安全管控責(zé)任�����。對(duì)于需要出境的審計(jì)工作底稿�����,按照國家有關(guān)規(guī)定辦理審批手續(xù)�����。
第三章 網(wǎng)絡(luò)管理
第二十條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全管理治理架構(gòu)�����,建立健全內(nèi)部網(wǎng)絡(luò)安全管理制度體系�����,建立內(nèi)部決策�����、管理�����、執(zhí)行和監(jiān)督機(jī)制�����,確保網(wǎng)絡(luò)安全管理能力與提供的專業(yè)服務(wù)相適應(yīng)�����,為數(shù)據(jù)安全管理工作提供安全的網(wǎng)絡(luò)環(huán)境�����。
第二十一條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)按照業(yè)務(wù)活動(dòng)規(guī)模及復(fù)雜程度配置具備相應(yīng)職業(yè)技能水平的網(wǎng)絡(luò)管理技術(shù)人員�����,確保合理的網(wǎng)絡(luò)資源投入和資金投入�����。
第二十二條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)做好信息系統(tǒng)安全管理和技術(shù)防護(hù)�����,根據(jù)存儲(chǔ)、處理數(shù)據(jù)的級(jí)別采取相應(yīng)的網(wǎng)絡(luò)物理隔離或者邏輯隔離等措施�����,設(shè)置嚴(yán)格的訪問控制策略�����,防范未經(jīng)授權(quán)的訪問行為�����。
第二十三條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)擁有其審計(jì)業(yè)務(wù)系統(tǒng)中網(wǎng)絡(luò)設(shè)備�����、網(wǎng)絡(luò)安全設(shè)備的自主管理權(quán)限�����,統(tǒng)一設(shè)置�����、維護(hù)系統(tǒng)管理員賬戶和工作人員賬戶�����,不得設(shè)置不受限制、不受監(jiān)控的超級(jí)賬戶�����,不得將管理員賬號(hào)交由第三方運(yùn)維機(jī)構(gòu)管理使用�����。
加入國際網(wǎng)絡(luò)的會(huì)計(jì)師事務(wù)所使用所在國際網(wǎng)絡(luò)的信息系統(tǒng)的�����,應(yīng)當(dāng)采取必要措施�����,使其符合國家數(shù)據(jù)安全法律�����、行政法規(guī)和本辦法的規(guī)定�����,確保本所數(shù)據(jù)安全�����。
第四章 監(jiān)督檢查
第二十四條 財(cái)政部和省級(jí)財(cái)政部門(以下統(tǒng)稱省級(jí)以上財(cái)政部門)與同級(jí)網(wǎng)信部門�����、公安機(jī)關(guān)�����、國家安全機(jī)關(guān)加強(qiáng)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全監(jiān)管信息共享�����。
第二十五條 省級(jí)以上財(cái)政部門�����、省級(jí)以上網(wǎng)信部門對(duì)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全情況開展監(jiān)督檢查�����。公安機(jī)關(guān)�����、國家安全機(jī)關(guān)依法在職責(zé)范圍內(nèi)承擔(dān)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全監(jiān)管職責(zé)。
第二十六條 對(duì)于承接金融�����、能源�����、電信�����、交通�����、科技�����、國防科工等重要領(lǐng)域?qū)徲?jì)業(yè)務(wù)且符合本辦法第二條規(guī)定范圍的會(huì)計(jì)師事務(wù)所�����,省級(jí)以上財(cái)政部門在監(jiān)督檢查工作中予以重點(diǎn)關(guān)注�����,并持續(xù)加強(qiáng)日常監(jiān)管�����。
第二十七條 會(huì)計(jì)師事務(wù)所對(duì)于依法實(shí)施的數(shù)據(jù)安全監(jiān)督檢查�����,應(yīng)當(dāng)予以配合�����,不得拒絕�����、拖延�����、阻撓。
第二十八條 會(huì)計(jì)師事務(wù)所開展數(shù)據(jù)處理活動(dòng)�����,影響或者可能影響國家安全的�����,應(yīng)當(dāng)按照國家安全審查機(jī)制進(jìn)行安全審查�����。
第二十九條 相關(guān)部門在履行數(shù)據(jù)安全監(jiān)管職責(zé)中�����,發(fā)現(xiàn)會(huì)計(jì)師事務(wù)所開展數(shù)據(jù)處理活動(dòng)存在較大安全風(fēng)險(xiǎn)的�����,可以對(duì)會(huì)計(jì)師事務(wù)所及其責(zé)任人采取約談�����、責(zé)令限期整改等監(jiān)管措施�����,消除隱患�����。
第三十條 會(huì)計(jì)師事務(wù)所及相關(guān)人員違反本辦法規(guī)定的�����,應(yīng)當(dāng)按照《中華人民共和國注冊會(huì)計(jì)師法》�����、《中華人民共和國網(wǎng)絡(luò)安全法》�����、《中華人民共和國數(shù)據(jù)安全法》�����、《中華人民共和國個(gè)人信息保護(hù)法》等法律�����、行政法規(guī)的規(guī)定予以處理處罰;涉及其他部門職責(zé)權(quán)限的�����,依法移送有關(guān)主管部門處理�����;構(gòu)成犯罪的�����,移送司法機(jī)關(guān)依法追究刑事責(zé)任�����。
第三十一條 相關(guān)部門工作人員在履行會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全監(jiān)管職責(zé)過程中�����,玩忽職守�����、濫用職權(quán)�����、徇私舞弊的�����,依法追究法律責(zé)任�����。
第五章 附則
第三十二條 會(huì)計(jì)師事務(wù)所及相關(guān)人員開展涉及國家秘密的數(shù)據(jù)處理活動(dòng)�����,適用《中華人民共和國保守國家秘密法》等法律�����、行政法規(guī)的規(guī)定�����。
第三十三條 會(huì)計(jì)師事務(wù)所及相關(guān)人員開展其他涉及個(gè)人信息的數(shù)據(jù)處理活動(dòng)�����,應(yīng)當(dāng)遵守有關(guān)法律、行政法規(guī)的規(guī)定�����。
第三十四條 會(huì)計(jì)師事務(wù)所可以參照本辦法加強(qiáng)對(duì)非審計(jì)業(yè)務(wù)數(shù)據(jù)的管理�����。
第三十五條 本辦法由財(cái)政部�����、國家網(wǎng)信辦負(fù)責(zé)解釋�����。
第三十六條 本辦法自2024年10月1日起施行�����。
搜索