服務熱線
400 180 8892
會計師事務所數據安全管理暫行辦法
第一章 總則
第一條 為保障會計師事務所數據安全,規范會計師事
務所數據處理活動,根據《中華人民共和國注冊會計師法》、
《中華人民共和國網絡安全法》、《中華人民共和國數據安
全法》、《中華人民共和國個人信息保護法》等法律法規,
制定本辦法。
第二條 在中華人民共和國境內依法設立的會計師事務
所開展下列審計業務相關數據處理活動的,適用本辦法:
(一)為上市公司以及非上市的國有金融機構、中央企
業等提供審計服務的;
(二)為關鍵信息基礎設施運營者或者超過 100 萬用戶
的網絡平臺運營者提供審計服務的;
(三)為境內企業境外上市提供審計服務的。
會計師事務所從事的審計業務不屬于前款規定的范圍,
但涉及重要數據或者核心數據的,適用本辦法。
第三條 本辦法所稱數據,是指會計師事務所執行審計
業務過程中,從外部獲取和內部生成的任何以電子或者其他
方式對信息的記錄。
數據安全,是指通過采取必要措施,確保數據處于有效
保護和合法利用的狀態,以及具備保障持續安全狀態的能力。
2
第四條 會計師事務所承擔本所的數據安全主體責任,
履行數據安全保護義務。
第五條 財政部負責全國會計師事務所數據安全監管工
作,省級(含深圳市、新疆生產建設兵團)財政部門負責本
行政區域內會計師事務所數據安全監管工作。
第六條 注冊會計師協會應當加強行業自律,指導會計
師事務所加強數據安全保護,提高數據安全管理水平。
第二章 數據管理
第七條 會計師事務所應當在下列方面履行本所數據安
全管理責任:
(一)建立健全數據全生命周期安全管理制度,完善數
據運營和管控機制;
(二)健全數據安全管理組織架構,明確數據安全管理
權責機制;
(三)實施與業務特點相適應的數據分類分級管理;
(四)建立數據權限管理策略,按照最小授權原則設置
數據訪問和處理權限,定期復核并按有關規定保留數據訪問
記錄;
(五)組織開展數據安全教育培訓;
(六)法律法規規定的其他事項。
第八條 會計師事務所的首席合伙人(主任會計師)是
本所數據安全負責人。
3
第九條 會計師事務所應當按照法律、行政法規的規定
和被審計單位所處行業數據分類分級標準確定核心數據、重
要數據和一般數據。
會計師事務所和被審計單位應當通過業務約定書、確認
函等方式明確審計資料中核心數據和重要數據的性質、內容
和范圍等。
第十條 會計師事務所對核心數據、重要數據的存儲處
理,應當符合國家相關規定。
存儲核心數據的信息系統要落實四級網絡安全等級保
護要求。存儲重要數據的信息系統要落實三級及以上網絡安
全等級保護要求。
數據匯聚、關聯后屬于國家秘密事項的,應當依照有關
保守國家秘密的法律、行政法規規定處理。
第十一條 會計師事務所應當對審計業務相關的信息系
統、數據庫、網絡設備、網絡安全設備等設置并啟用訪問日
志記錄功能。
涉及核心數據的,相關日志留存時間不少于三年。涉及
重要數據的,相關日志留存時間不少于一年;涉及向他人提
供、委托處理、共同處理重要數據的相關日志留存時間不少
于三年。
第十二條 會計師事務所應當明確數據傳輸操作規程。
核心數據、重要數據傳輸過程中應當采用加密技術,保護傳
4
輸安全。
第十三條 審計工作底稿應當按照法律、行政法規和國家
有關規定存儲在境內。相關加密設備應當設置在境內并由境內
團隊負責運行維護,密鑰應當存儲在境內。
第十四條 會計師事務所應當建立數據備份制度。會計
師事務所應當確保在審計相關應用系統因外部技術原因被
停止使用、被限制使用等情況下,仍能訪問、調取、使用相
關審計工作底稿。
第十五條 會計師事務所不得在業務約定書或者類似合
同中包含會計師事務所向境外監管機構提供境內項目資料
數據等類似條款。
第十六條 會計師事務所應當采用網絡隔離、用戶認證、
訪問控制、數據加密、病毒防范、非法入侵檢測等技術手段,
及時識別、阻斷和溯源相關網絡攻擊和非法訪問,保障數據
安全。
第十七條 會計師事務所應當建立數據安全應急處置機
制,加強數據安全風險監測。發現數據外泄、安全漏洞等風
險的,應當立即采取補救、處置措施。發生重大數據安全事
件,導致核心數據或者重要數據泄露、丟失或者被竊取、篡
改的,應當及時向有關主管部門報告。
第十八條 會計師事務所向境外提供其在境內運營中收
集和產生的個人信息和重要數據的,應當遵守國家數據出境
5
管理有關規定。
第十九條 會計師事務所對于審計工作底稿出境事項應
當建立逐級復核機制,采取必要措施嚴格落實數據安全管控
責任。對于需要出境的審計工作底稿,按照國家有關規定辦
理審批手續。
第三章 網絡管理
第二十條 會計師事務所應當建立完善的網絡安全管理
治理架構,建立健全內部網絡安全管理制度體系,建立內部
決策、管理、執行和監督機制,確保網絡安全管理能力與提
供的專業服務相適應,為數據安全管理工作提供安全的網絡
環境。
第二十一條 會計師事務所應當按照業務活動規模及復
雜程度配置具備相應職業技能水平的網絡管理技術人員,確
保合理的網絡資源投入和資金投入。
第二十二條 會計師事務所應當做好信息系統安全管理
和技術防護,根據存儲、處理數據的級別采取相應的網絡物
理隔離或者邏輯隔離等措施,設置嚴格的訪問控制策略,防
范未經授權的訪問行為。
第二十三條 會計師事務所應當擁有其審計業務系統中
網絡設備、網絡安全設備的自主管理權限,統一設置、維護
系統管理員賬戶和工作人員賬戶,不得設置不受限制、不受
監控的超級賬戶,不得將管理員賬號交由第三方運維機構管
6
理使用。
加入國際網絡的會計師事務所使用所在國際網絡的信
息系統的,應當采取必要措施,使其符合國家數據安全法律、
行政法規和本辦法的規定,確保本所數據安全。
第四章 監督檢查
第二十四條 財政部和省級財政部門(以下統稱省級以
上財政部門)與同級網信部門、公安機關、國家安全機關加
強會計師事務所數據安全監管信息共享。
第二十五條 省級以上財政部門、省級以上網信部門對
會計師事務所數據安全情況開展監督檢查。公安機關、國家
安全機關依法在職責范圍內承擔會計師事務所數據安全監
管職責。
第二十六條 對于承接金融、能源、電信、交通、科技、
國防科工等重要領域審計業務且符合本辦法第二條規定范
圍的會計師事務所,省級以上財政部門在監督檢查工作中予
以重點關注,并持續加強日常監管。
第二十七條 會計師事務所對于依法實施的數據安全監
督檢查,應當予以配合,不得拒絕、拖延、阻撓。
第二十八條 會計師事務所開展數據處理活動,影響或
者可能影響國家安全的,應當按照國家安全審查機制進行安
全審查。
第二十九條 相關部門在履行數據安全監管職責中,發
7
現會計師事務所開展數據處理活動存在較大安全風險的,可
以對會計師事務所及其責任人采取約談、責令限期整改等監
管措施,消除隱患。
第三十條 會計師事務所及相關人員違反本辦法規定的,
應當按照《中華人民共和國注冊會計師法》、《中華人民共
和國網絡安全法》、《中華人民共和國數據安全法》、《中
華人民共和國個人信息保護法》等法律、行政法規的規定予
以處理處罰;涉及其他部門職責權限的,依法移送有關主管
部門處理;構成犯罪的,移送司法機關依法追究刑事責任。
第三十一條 相關部門工作人員在履行會計師事務所數
據安全監管職責過程中,玩忽職守、濫用職權、徇私舞弊的,
依法追究法律責任。
第五章 附則
第三十二條 會計師事務所及相關人員開展涉及國家秘
密的數據處理活動,適用《中華人民共和國保守國家秘密法》
等法律、行政法規的規定。
第三十三條 會計師事務所及相關人員開展其他涉及個
人信息的數據處理活動,應當遵守有關法律、行政法規的規
定。
第三十四條 會計師事務所可以參照本辦法加強對非審
計業務數據的管理。
第三十五條 本辦法由財政部、國家網信辦負責解釋。
8
第三十六條 本辦法自 2024
近日,財政部、國家網信辦聯合印發《會計師事務所數據安全管理暫行辦法》(財會〔2024〕6號,以下簡稱《暫行辦法》),自2024年10月1日起施行。財政部、國家網信辦有關負責人就《暫行辦法》有關問題回答了記者的提問。
問:制定《暫行辦法》的背景與意義是什么?
答:一是落實相關法律要求。《暫行辦法》全面落實網絡安全法、數據安全法、個人信息保護法等法律要求,是在注冊會計師行業對國家網絡和數據安全管理相關規定的細化,為會計師事務所開展數據安全管理活動提供依據,有利于推動注冊會計師行業數據安全管理工作制度化、規范化。
二是落實國務院有關文件要求。《國務院辦公廳關于進一步規范財務審計秩序 促進注冊會計師行業健康發展的意見》(國辦發〔2021〕30號)強調,要加快推進注冊會計師行業基礎制度建設,及時跟進健全相關制度規定。《暫行辦法》順應數字經濟發展趨勢,進一步完善了注冊會計師行業基礎制度體系。
三是落實財會監督有關要求。《暫行辦法》構建了橫向協同、縱向聯動的行業數據安全監管機制,明確財政部門、網信部門、公安機關、國家安全機關等各方職責,確保有效銜接,加強信息共享,推動實現跨地區、跨部門、跨層級協同監管。
問:《暫行辦法》制訂經歷了哪些過程?
答:在深入分析注冊會計師行業數據安全管理現狀和需求的基礎上,財政部會同國家網信辦起草了《暫行辦法》初稿,并對部分會計師事務所開展實地調研,組織會計師事務所和數據安全專家專題討論,形成《暫行辦法》征求意見稿。
2023年11月,兩部門聯合面向地方財政部門、網信部門、會計師事務所和社會公眾公開征求意見。反饋意見總體認為,《暫行辦法》內容全面、條理清晰、指導性強,有助于加強會計師事務所數據安全管理,規范會計師事務所數據處理活動。同時,部分反饋意見提出了一些具體的修改意見。我們對所有反饋意見進行了認真梳理,并充分吸收采納,在反復研討、征求相關部門意見的基礎上,對征求意見稿進行了修改完善。
問:《暫行辦法》主要內容是什么?
答:《暫行辦法》主要包括五方面內容,一是總則,主要明確制定依據、適用對象、責任主體;二是數據管理,主要包括總體責任、責任人員、數據分類分級、日志管理、數據傳輸管理、數據加密管理、數據備份、業務約定書、技術保護手段、日常安全監測、數據出境等內容;三是網絡管理,主要包括網絡管理制度、資源投入、訪問控制、系統賬戶管理等內容;四是監督檢查,主要包括信息共享、日常檢查、重點檢查對象、安全審查、行政監管措施、行政處罰等內容;五是附則。
從具體內容看,主要對六方面內容進行了規范:
一是明確適用對象。《暫行辦法》主要適用于境內依法設立的會計師事務所開展的審計業務相關數據處理活動,包括為上市公司以及非上市的國有金融機構或中央企業等提供審計服務;為關鍵信息基礎設施運營者或者超過100萬用戶的網絡平臺運營者提供審計服務;為境內企業境外上市提供審計服務。會計師事務所未從事前述三類業務,但審計業務涉及重要數據或者核心數據,也應根據《暫行辦法》進行數據處理活動。數據包括會計師事務所執行審計業務過程中從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。
二是規范數據分類分級。《暫行辦法》要求會計師事務所應按照相關法律法規的規定和被審計單位所處行業數據分類分級的標準,確定核心數據、重要數據和一般數據,并對核心數據和重要數據的存儲、相關日志、傳輸等作出明確要求。被審計單位有義務通過業務約定書、確認函等方式告知會計師事務所審計資料中的核心數據和重要數據相關信息。在數據存儲上,存儲重要數據的信息系統要落實三級及以上網絡安全等級保護要求,存儲核心數據的信息系統要落實四級網絡安全等級保護要求。在日志管理上,要求涉及核心數據的相關日志,留存時間不少于三年,涉及重要數據的相關日志,留存時間不少于一年,其中向他人提供、委托處理、共同處理重要數據的相關日志留存時間不少于三年。涉及一般數據,按照國家相關規定處理,《暫行辦法》不作特別要求。
三是規范底稿管理。截至目前,我國有35家會計師事務所加入或創建了28個國際會計網絡,行業對外交流合作日益密切。《暫行辦法》規定,會計師事務所審計工作底稿應按相關規定存放在境內。會計師事務所不得在業務約定書或類似合同中包含會計師事務所向境外監管機構提供境內項目資料數據等類似條款。境外監管機構因監管需要確需調取境內審計工作底稿的,應通過相應的跨境監管合作機制依法依規獲取,相應審計工作底稿出境應當辦理審批手續。會計師事務所對審計工作底稿出境事項應當建立逐級復核機制,落實數據安全管控責任。
四是強化網絡管理。《暫行辦法》對會計師事務所在建立內部網絡安全管理制度、網絡管理資源投入、網絡安全技術防護、網絡管理賬戶權限等方面做出具體要求,指導會計師事務所為數據安全管理工作提供安全的網絡環境。會計師事務所應當建章立制并有效執行,確保網絡安全管理能力與提供的專業服務相適應;做好信息系統安全管理和技術防護,設置嚴格的訪問控制策略,防范未經授權的訪問行為。
五是聚焦安全可控。《暫行辦法》要求會計師事務所建立數據備份制度,確保在審計相關應用系統因外部技術原因被停止使用、被限制使用等情況下,仍能訪問、調取、使用相關審計工作底稿。加密設備應當設置在境內并由境內團隊負責運行維護,密鑰應當存儲在境內。會計師事務所應當擁有其審計業務系統中網絡設備、網絡安全設備的自主管理權限,統一設置、維護系統管理員賬戶和工作人員賬戶,不得設置不受限制、不受監控的超級賬戶,不得將管理員賬號交由第三方運維機構管理使用。
六是壓實監管責任。《暫行辦法》明確了財政部門、網信部門、公安機關、國家安全機關對會計師事務所數據安全的監管職責。省級以上財政部門、省級以上網信部門對會計師事務所開展監督檢查,公安機關、國家安全機關依法在職責范圍內承擔會計師事務所數據安全監管職責。會計師事務所對于依法實施的數據安全監督檢查,應當予以配合。
問:如何做好《暫行辦法》的貫徹落實?
答:一是加大宣傳和指導力度。各級財政部門、網信部門要高度重視,積極宣傳,指導會計師事務所建立健全數據安全管理制度并確保有效實施,切實提升會計師事務所數據安全管理水平。二是加大監督檢查力度。各相關部門應根據監管職責,落實會計師事務所數據安全管理日常監管、重點檢查、安全審查等有關要求,對存在違規行為的會計師事務所要依法嚴肅處理。三是加強協同配合。各相關部門應加強監管信息共享,加強溝通協調,健全完善工作機制,形成工作合力,認真做好貫徹實施《暫行辦法》的各項工作。
