關(guān)于印發(fā)《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》的通知

財(cái)會(huì)〔2024〕6號(hào)

發(fā)布日期：2024年5月10日

各省、自治區(qū)、直轄市財(cái)政廳（局）、網(wǎng)信辦，新疆生產(chǎn)建設(shè)兵團(tuán)財(cái)政局、網(wǎng)信辦，深圳市財(cái)政局：

　　為貫徹落實(shí)《國(guó)務(wù)院辦公廳關(guān)于進(jìn)一步規(guī)范財(cái)務(wù)審計(jì)秩序 促進(jìn)注冊(cè)會(huì)計(jì)師行業(yè)健康發(fā)展的意見(jiàn)》（國(guó)辦發(fā)〔2021〕30號(hào)）有關(guān)要求，加強(qiáng)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理，規(guī)范會(huì)計(jì)師事務(wù)所數(shù)據(jù)處理活動(dòng)，我們制定了《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》，現(xiàn)予印發(fā)，請(qǐng)遵照?qǐng)?zhí)行。

　　附件：會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法

　　財(cái)政部 國(guó)家互聯(lián)網(wǎng)信息辦公室

2024年4月15日

附件

會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法

第一章 總則

第一條 為保障會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全，規(guī)范會(huì)計(jì)師事務(wù)所數(shù)據(jù)處理活動(dòng)，根據(jù)《中華人民共和國(guó)注冊(cè)會(huì)計(jì)師法》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)，制定本辦法。

第二條 在中華人民共和國(guó)境內(nèi)依法設(shè)立的會(huì)計(jì)師事務(wù)所開(kāi)展下列審計(jì)業(yè)務(wù)相關(guān)數(shù)據(jù)處理活動(dòng)的，適用本辦法：

（一）為上市公司以及非上市的國(guó)有金融機(jī)構(gòu)、中央企業(yè)等提供審計(jì)服務(wù)的；

（二）為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者或者超過(guò) 100 萬(wàn)用戶(hù)的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者提供審計(jì)服務(wù)的;

（三）為境內(nèi)企業(yè)境外上市提供審計(jì)服務(wù)的。

會(huì)計(jì)師事務(wù)所從事的審計(jì)業(yè)務(wù)不屬于前款規(guī)定的范圍，但涉及重要數(shù)據(jù)或者核心數(shù)據(jù)的，適用本辦法。

第三條 本辦法所稱(chēng)數(shù)據(jù)，是指會(huì)計(jì)師事務(wù)所執(zhí)行審計(jì)業(yè)務(wù)過(guò)程中，從外部獲取和內(nèi)部生成的任何以電子或者其他方式對(duì)信息的記錄。

數(shù)據(jù)安全，是指通過(guò)采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

第四條 會(huì)計(jì)師事務(wù)所承擔(dān)本所的數(shù)據(jù)安全主體責(zé)任，履行數(shù)據(jù)安全保護(hù)義務(wù)。

第五條 財(cái)政部負(fù)責(zé)全國(guó)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全監(jiān)管工作，省級(jí)（含深圳市、新疆生產(chǎn)建設(shè)兵團(tuán)）財(cái)政部門(mén)負(fù)責(zé)本行政區(qū)域內(nèi)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全監(jiān)管工作。

第六條 注冊(cè)會(huì)計(jì)師協(xié)會(huì)應(yīng)當(dāng)加強(qiáng)行業(yè)自律，指導(dǎo)會(huì)計(jì)師事務(wù)所加強(qiáng)數(shù)據(jù)安全保護(hù)，提高數(shù)據(jù)安全管理水平。

第二章 數(shù)據(jù)管理

第七條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)在下列方面履行本所數(shù)據(jù)安全管理責(zé)任：

（一）建立健全數(shù)據(jù)全生命周期安全管理制度，完善數(shù)據(jù)運(yùn)營(yíng)和管控機(jī)制；

（二）健全數(shù)據(jù)安全管理組織架構(gòu)，明確數(shù)據(jù)安全管理權(quán)責(zé)機(jī)制；

（三）實(shí)施與業(yè)務(wù)特點(diǎn)相適應(yīng)的數(shù)據(jù)分類(lèi)分級(jí)管理；

（四）建立數(shù)據(jù)權(quán)限管理策略，按照最小授權(quán)原則設(shè)置數(shù)據(jù)訪問(wèn)和處理權(quán)限，定期復(fù)核并按有關(guān)規(guī)定保留數(shù)據(jù)訪問(wèn)記錄；

（五）組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)；

（六）法律法規(guī)規(guī)定的其他事項(xiàng)。

第八條 會(huì)計(jì)師事務(wù)所的首席合伙人（主任會(huì)計(jì)師）是本所數(shù)據(jù)安全負(fù)責(zé)人。

第九條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)按照法律、行政法規(guī)的規(guī)定和被審計(jì)單位所處行業(yè)數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)確定核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)。

會(huì)計(jì)師事務(wù)所和被審計(jì)單位應(yīng)當(dāng)通過(guò)業(yè)務(wù)約定書(shū)、確認(rèn)函等方式明確審計(jì)資料中核心數(shù)據(jù)和重要數(shù)據(jù)的性質(zhì)、內(nèi)容和范圍等。

第十條 會(huì)計(jì)師事務(wù)所對(duì)核心數(shù)據(jù)、重要數(shù)據(jù)的存儲(chǔ)處理，應(yīng)當(dāng)符合國(guó)家相關(guān)規(guī)定。

存儲(chǔ)核心數(shù)據(jù)的信息系統(tǒng)要落實(shí)四級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求。存儲(chǔ)重要數(shù)據(jù)的信息系統(tǒng)要落實(shí)三級(jí)及以上網(wǎng)絡(luò)安全等級(jí)保護(hù)要求。

數(shù)據(jù)匯聚、關(guān)聯(lián)后屬于國(guó)家秘密事項(xiàng)的，應(yīng)當(dāng)依照有關(guān)保守國(guó)家秘密的法律、行政法規(guī)規(guī)定處理。

第十一條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)對(duì)審計(jì)業(yè)務(wù)相關(guān)的信息系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備等設(shè)置并啟用訪問(wèn)日志記錄功能。

涉及核心數(shù)據(jù)的，相關(guān)日志留存時(shí)間不少于三年。涉及重要數(shù)據(jù)的，相關(guān)日志留存時(shí)間不少于一年；涉及向他人提供、委托處理、共同處理重要數(shù)據(jù)的相關(guān)日志留存時(shí)間不少于三年。

第十二條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)明確數(shù)據(jù)傳輸操作規(guī)程。

核心數(shù)據(jù)、重要數(shù)據(jù)傳輸過(guò)程中應(yīng)當(dāng)采用加密技術(shù)，保護(hù)傳輸安全。

第十三條 審計(jì)工作底稿應(yīng)當(dāng)按照法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定存儲(chǔ)在境內(nèi)。相關(guān)加密設(shè)備應(yīng)當(dāng)設(shè)置在境內(nèi)并由境內(nèi)團(tuán)隊(duì)負(fù)責(zé)運(yùn)行維護(hù)，密鑰應(yīng)當(dāng)存儲(chǔ)在境內(nèi)。

第十四條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)建立數(shù)據(jù)備份制度。會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)確保在審計(jì)相關(guān)應(yīng)用系統(tǒng)因外部技術(shù)原因被停止使用、被限制使用等情況下，仍能訪問(wèn)、調(diào)取、使用相關(guān)審計(jì)工作底稿。

第十五條 會(huì)計(jì)師事務(wù)所不得在業(yè)務(wù)約定書(shū)或者類(lèi)似合同中包含會(huì)計(jì)師事務(wù)所向境外監(jiān)管機(jī)構(gòu)提供境內(nèi)項(xiàng)目資料數(shù)據(jù)等類(lèi)似條款。

第十六條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)采用網(wǎng)絡(luò)隔離、用戶(hù)認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密、病毒防范、非法入侵檢測(cè)等技術(shù)手段，及時(shí)識(shí)別、阻斷和溯源相關(guān)網(wǎng)絡(luò)攻擊和非法訪問(wèn)，保障數(shù)據(jù)安全。

第十七條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)建立數(shù)據(jù)安全應(yīng)急處置機(jī)制，加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)。發(fā)現(xiàn)數(shù)據(jù)外泄、安全漏洞等風(fēng)險(xiǎn)的，應(yīng)當(dāng)立即采取補(bǔ)救、處置措施。發(fā)生重大數(shù)據(jù)安全事件，導(dǎo)致核心數(shù)據(jù)或者重要數(shù)據(jù)泄露、丟失或者被竊取、篡改的，應(yīng)當(dāng)及時(shí)向有關(guān)主管部門(mén)報(bào)告。

第十八條 會(huì)計(jì)師事務(wù)所向境外提供其在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)的，應(yīng)當(dāng)遵守國(guó)家數(shù)據(jù)出境管理有關(guān)規(guī)定。

第十九條 會(huì)計(jì)師事務(wù)所對(duì)于審計(jì)工作底稿出境事項(xiàng)應(yīng)當(dāng)建立逐級(jí)復(fù)核機(jī)制，采取必要措施嚴(yán)格落實(shí)數(shù)據(jù)安全管控責(zé)任。對(duì)于需要出境的審計(jì)工作底稿，按照國(guó)家有關(guān)規(guī)定辦理審批手續(xù)。

第三章 網(wǎng)絡(luò)管理

第二十條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全管理治理架構(gòu)，建立健全內(nèi)部網(wǎng)絡(luò)安全管理制度體系，建立內(nèi)部決策、管理、執(zhí)行和監(jiān)督機(jī)制，確保網(wǎng)絡(luò)安全管理能力與提供的專(zhuān)業(yè)服務(wù)相適應(yīng)，為數(shù)據(jù)安全管理工作提供安全的網(wǎng)絡(luò)環(huán)境。

第二十一條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)按照業(yè)務(wù)活動(dòng)規(guī)模及復(fù)雜程度配置具備相應(yīng)職業(yè)技能水平的網(wǎng)絡(luò)管理技術(shù)人員，確保合理的網(wǎng)絡(luò)資源投入和資金投入。

第二十二條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)做好信息系統(tǒng)安全管理和技術(shù)防護(hù)，根據(jù)存儲(chǔ)、處理數(shù)據(jù)的級(jí)別采取相應(yīng)的網(wǎng)絡(luò)物理隔離或者邏輯隔離等措施，設(shè)置嚴(yán)格的訪問(wèn)控制策略，防范未經(jīng)授權(quán)的訪問(wèn)行為。

第二十三條 會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)擁有其審計(jì)業(yè)務(wù)系統(tǒng)中網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備的自主管理權(quán)限，統(tǒng)一設(shè)置、維護(hù)系統(tǒng)管理員賬戶(hù)和工作人員賬戶(hù)，不得設(shè)置不受限制、不受監(jiān)控的超級(jí)賬戶(hù)，不得將管理員賬號(hào)交由第三方運(yùn)維機(jī)構(gòu)管理使用。

加入國(guó)際網(wǎng)絡(luò)的會(huì)計(jì)師事務(wù)所使用所在國(guó)際網(wǎng)絡(luò)的信息系統(tǒng)的，應(yīng)當(dāng)采取必要措施，使其符合國(guó)家數(shù)據(jù)安全法律、行政法規(guī)和本辦法的規(guī)定，確保本所數(shù)據(jù)安全。

第四章 監(jiān)督檢查

第二十四條 財(cái)政部和省級(jí)財(cái)政部門(mén)（以下統(tǒng)稱(chēng)省級(jí)以上財(cái)政部門(mén)）與同級(jí)網(wǎng)信部門(mén)、公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)加強(qiáng)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全監(jiān)管信息共享。

第二十五條 省級(jí)以上財(cái)政部門(mén)、省級(jí)以上網(wǎng)信部門(mén)對(duì)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全情況開(kāi)展監(jiān)督檢查。公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)依法在職責(zé)范圍內(nèi)承擔(dān)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全監(jiān)管職責(zé)。

第二十六條 對(duì)于承接金融、能源、電信、交通、科技、國(guó)防科工等重要領(lǐng)域?qū)徲?jì)業(yè)務(wù)且符合本辦法第二條規(guī)定范圍的會(huì)計(jì)師事務(wù)所，省級(jí)以上財(cái)政部門(mén)在監(jiān)督檢查工作中予以重點(diǎn)關(guān)注，并持續(xù)加強(qiáng)日常監(jiān)管。

第二十七條 會(huì)計(jì)師事務(wù)所對(duì)于依法實(shí)施的數(shù)據(jù)安全監(jiān)督檢查，應(yīng)當(dāng)予以配合，不得拒絕、拖延、阻撓。

第二十八條 會(huì)計(jì)師事務(wù)所開(kāi)展數(shù)據(jù)處理活動(dòng)，影響或者可能影響國(guó)家安全的，應(yīng)當(dāng)按照國(guó)家安全審查機(jī)制進(jìn)行安全審查。

第二十九條 相關(guān)部門(mén)在履行數(shù)據(jù)安全監(jiān)管職責(zé)中，發(fā)現(xiàn)會(huì)計(jì)師事務(wù)所開(kāi)展數(shù)據(jù)處理活動(dòng)存在較大安全風(fēng)險(xiǎn)的，可以對(duì)會(huì)計(jì)師事務(wù)所及其責(zé)任人采取約談、責(zé)令限期整改等監(jiān)管措施，消除隱患。

第三十條 會(huì)計(jì)師事務(wù)所及相關(guān)人員違反本辦法規(guī)定的，應(yīng)當(dāng)按照《中華人民共和國(guó)注冊(cè)會(huì)計(jì)師法》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律、行政法規(guī)的規(guī)定予以處理處罰；涉及其他部門(mén)職責(zé)權(quán)限的，依法移送有關(guān)主管部門(mén)處理；構(gòu)成犯罪的，移送司法機(jī)關(guān)依法追究刑事責(zé)任。

第三十一條 相關(guān)部門(mén)工作人員在履行會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全監(jiān)管職責(zé)過(guò)程中，玩忽職守、濫用職權(quán)、徇私舞弊的，依法追究法律責(zé)任。

第五章 附則

第三十二條 會(huì)計(jì)師事務(wù)所及相關(guān)人員開(kāi)展涉及國(guó)家秘密的數(shù)據(jù)處理活動(dòng)，適用《中華人民共和國(guó)保守國(guó)家秘密法》等法律、行政法規(guī)的規(guī)定。

第三十三條 會(huì)計(jì)師事務(wù)所及相關(guān)人員開(kāi)展其他涉及個(gè)人信息的數(shù)據(jù)處理活動(dòng)，應(yīng)當(dāng)遵守有關(guān)法律、行政法規(guī)的規(guī)定。

第三十四條 會(huì)計(jì)師事務(wù)所可以參照本辦法加強(qiáng)對(duì)非審計(jì)業(yè)務(wù)數(shù)據(jù)的管理。

第三十五條 本辦法由財(cái)政部、國(guó)家網(wǎng)信辦負(fù)責(zé)解釋。

第三十六條 本辦法自 2024 年 10 月 1 日起施行。

財(cái)政部、國(guó)家網(wǎng)信辦有關(guān)負(fù)責(zé)人就印發(fā)《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》答記者問(wèn)

發(fā)布日期：2024年5月10日

　　近日，財(cái)政部、國(guó)家網(wǎng)信辦聯(lián)合印發(fā)《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》（財(cái)會(huì)〔2024〕6號(hào)，以下簡(jiǎn)稱(chēng)《暫行辦法》），自2024年10月1日起施行。財(cái)政部、國(guó)家網(wǎng)信辦有關(guān)負(fù)責(zé)人就《暫行辦法》有關(guān)問(wèn)題回答了記者的提問(wèn)。

　　問(wèn)：制定《暫行辦法》的背景與意義是什么？

　　答：一是落實(shí)相關(guān)法律要求?！稌盒修k法》全面落實(shí)網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法等法律要求，是在注冊(cè)會(huì)計(jì)師行業(yè)對(duì)國(guó)家網(wǎng)絡(luò)和數(shù)據(jù)安全管理相關(guān)規(guī)定的細(xì)化，為會(huì)計(jì)師事務(wù)所開(kāi)展數(shù)據(jù)安全管理活動(dòng)提供依據(jù)，有利于推動(dòng)注冊(cè)會(huì)計(jì)師行業(yè)數(shù)據(jù)安全管理工作制度化、規(guī)范化。

　　二是落實(shí)國(guó)務(wù)院有關(guān)文件要求?！秶?guó)務(wù)院辦公廳關(guān)于進(jìn)一步規(guī)范財(cái)務(wù)審計(jì)秩序 促進(jìn)注冊(cè)會(huì)計(jì)師行業(yè)健康發(fā)展的意見(jiàn)》（國(guó)辦發(fā)〔2021〕30號(hào)）強(qiáng)調(diào)，要加快推進(jìn)注冊(cè)會(huì)計(jì)師行業(yè)基礎(chǔ)制度建設(shè)，及時(shí)跟進(jìn)健全相關(guān)制度規(guī)定?！稌盒修k法》順應(yīng)數(shù)字經(jīng)濟(jì)發(fā)展趨勢(shì)，進(jìn)一步完善了注冊(cè)會(huì)計(jì)師行業(yè)基礎(chǔ)制度體系。

　　三是落實(shí)財(cái)會(huì)監(jiān)督有關(guān)要求。《暫行辦法》構(gòu)建了橫向協(xié)同、縱向聯(lián)動(dòng)的行業(yè)數(shù)據(jù)安全監(jiān)管機(jī)制，明確財(cái)政部門(mén)、網(wǎng)信部門(mén)、公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)等各方職責(zé)，確保有效銜接，加強(qiáng)信息共享，推動(dòng)實(shí)現(xiàn)跨地區(qū)、跨部門(mén)、跨層級(jí)協(xié)同監(jiān)管。

　　問(wèn)：《暫行辦法》制訂經(jīng)歷了哪些過(guò)程？

　　答：在深入分析注冊(cè)會(huì)計(jì)師行業(yè)數(shù)據(jù)安全管理現(xiàn)狀和需求的基礎(chǔ)上，財(cái)政部會(huì)同國(guó)家網(wǎng)信辦起草了《暫行辦法》初稿，并對(duì)部分會(huì)計(jì)師事務(wù)所開(kāi)展實(shí)地調(diào)研，組織會(huì)計(jì)師事務(wù)所和數(shù)據(jù)安全專(zhuān)家專(zhuān)題討論，形成《暫行辦法》征求意見(jiàn)稿。

　　2023年11月，兩部門(mén)聯(lián)合面向地方財(cái)政部門(mén)、網(wǎng)信部門(mén)、會(huì)計(jì)師事務(wù)所和社會(huì)公眾公開(kāi)征求意見(jiàn)。反饋意見(jiàn)總體認(rèn)為，《暫行辦法》內(nèi)容全面、條理清晰、指導(dǎo)性強(qiáng)，有助于加強(qiáng)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理，規(guī)范會(huì)計(jì)師事務(wù)所數(shù)據(jù)處理活動(dòng)。同時(shí)，部分反饋意見(jiàn)提出了一些具體的修改意見(jiàn)。我們對(duì)所有反饋意見(jiàn)進(jìn)行了認(rèn)真梳理，并充分吸收采納，在反復(fù)研討、征求相關(guān)部門(mén)意見(jiàn)的基礎(chǔ)上，對(duì)征求意見(jiàn)稿進(jìn)行了修改完善。

　　問(wèn)：《暫行辦法》主要內(nèi)容是什么？

　　答：《暫行辦法》主要包括五方面內(nèi)容，一是總則，主要明確制定依據(jù)、適用對(duì)象、責(zé)任主體；二是數(shù)據(jù)管理，主要包括總體責(zé)任、責(zé)任人員、數(shù)據(jù)分類(lèi)分級(jí)、日志管理、數(shù)據(jù)傳輸管理、數(shù)據(jù)加密管理、數(shù)據(jù)備份、業(yè)務(wù)約定書(shū)、技術(shù)保護(hù)手段、日常安全監(jiān)測(cè)、數(shù)據(jù)出境等內(nèi)容；三是網(wǎng)絡(luò)管理，主要包括網(wǎng)絡(luò)管理制度、資源投入、訪問(wèn)控制、系統(tǒng)賬戶(hù)管理等內(nèi)容；四是監(jiān)督檢查，主要包括信息共享、日常檢查、重點(diǎn)檢查對(duì)象、安全審查、行政監(jiān)管措施、行政處罰等內(nèi)容；五是附則。

　　從具體內(nèi)容看，主要對(duì)六方面內(nèi)容進(jìn)行了規(guī)范：

　　一是明確適用對(duì)象?！稌盒修k法》主要適用于境內(nèi)依法設(shè)立的會(huì)計(jì)師事務(wù)所開(kāi)展的審計(jì)業(yè)務(wù)相關(guān)數(shù)據(jù)處理活動(dòng)，包括為上市公司以及非上市的國(guó)有金融機(jī)構(gòu)或中央企業(yè)等提供審計(jì)服務(wù)；為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者或者超過(guò)100萬(wàn)用戶(hù)的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者提供審計(jì)服務(wù)；為境內(nèi)企業(yè)境外上市提供審計(jì)服務(wù)。會(huì)計(jì)師事務(wù)所未從事前述三類(lèi)業(yè)務(wù)，但審計(jì)業(yè)務(wù)涉及重要數(shù)據(jù)或者核心數(shù)據(jù)，也應(yīng)根據(jù)《暫行辦法》進(jìn)行數(shù)據(jù)處理活動(dòng)。數(shù)據(jù)包括會(huì)計(jì)師事務(wù)所執(zhí)行審計(jì)業(yè)務(wù)過(guò)程中從外部獲取和內(nèi)部生成的任何以電子或者其他方式對(duì)信息的記錄。

　　二是規(guī)范數(shù)據(jù)分類(lèi)分級(jí)?！稌盒修k法》要求會(huì)計(jì)師事務(wù)所應(yīng)按照相關(guān)法律法規(guī)的規(guī)定和被審計(jì)單位所處行業(yè)數(shù)據(jù)分類(lèi)分級(jí)的標(biāo)準(zhǔn)，確定核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)，并對(duì)核心數(shù)據(jù)和重要數(shù)據(jù)的存儲(chǔ)、相關(guān)日志、傳輸?shù)茸鞒雒鞔_要求。被審計(jì)單位有義務(wù)通過(guò)業(yè)務(wù)約定書(shū)、確認(rèn)函等方式告知會(huì)計(jì)師事務(wù)所審計(jì)資料中的核心數(shù)據(jù)和重要數(shù)據(jù)相關(guān)信息。在數(shù)據(jù)存儲(chǔ)上，存儲(chǔ)重要數(shù)據(jù)的信息系統(tǒng)要落實(shí)三級(jí)及以上網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，存儲(chǔ)核心數(shù)據(jù)的信息系統(tǒng)要落實(shí)四級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求。在日志管理上，要求涉及核心數(shù)據(jù)的相關(guān)日志，留存時(shí)間不少于三年，涉及重要數(shù)據(jù)的相關(guān)日志，留存時(shí)間不少于一年，其中向他人提供、委托處理、共同處理重要數(shù)據(jù)的相關(guān)日志留存時(shí)間不少于三年。涉及一般數(shù)據(jù)，按照國(guó)家相關(guān)規(guī)定處理，《暫行辦法》不作特別要求。

　　三是規(guī)范底稿管理。截至目前，我國(guó)有35家會(huì)計(jì)師事務(wù)所加入或創(chuàng)建了28個(gè)國(guó)際會(huì)計(jì)網(wǎng)絡(luò)，行業(yè)對(duì)外交流合作日益密切?！稌盒修k法》規(guī)定，會(huì)計(jì)師事務(wù)所審計(jì)工作底稿應(yīng)按相關(guān)規(guī)定存放在境內(nèi)。會(huì)計(jì)師事務(wù)所不得在業(yè)務(wù)約定書(shū)或類(lèi)似合同中包含會(huì)計(jì)師事務(wù)所向境外監(jiān)管機(jī)構(gòu)提供境內(nèi)項(xiàng)目資料數(shù)據(jù)等類(lèi)似條款。境外監(jiān)管機(jī)構(gòu)因監(jiān)管需要確需調(diào)取境內(nèi)審計(jì)工作底稿的，應(yīng)通過(guò)相應(yīng)的跨境監(jiān)管合作機(jī)制依法依規(guī)獲取，相應(yīng)審計(jì)工作底稿出境應(yīng)當(dāng)辦理審批手續(xù)。會(huì)計(jì)師事務(wù)所對(duì)審計(jì)工作底稿出境事項(xiàng)應(yīng)當(dāng)建立逐級(jí)復(fù)核機(jī)制，落實(shí)數(shù)據(jù)安全管控責(zé)任。

　　四是強(qiáng)化網(wǎng)絡(luò)管理?！稌盒修k法》對(duì)會(huì)計(jì)師事務(wù)所在建立內(nèi)部網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)管理資源投入、網(wǎng)絡(luò)安全技術(shù)防護(hù)、網(wǎng)絡(luò)管理賬戶(hù)權(quán)限等方面做出具體要求，指導(dǎo)會(huì)計(jì)師事務(wù)所為數(shù)據(jù)安全管理工作提供安全的網(wǎng)絡(luò)環(huán)境。會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)建章立制并有效執(zhí)行，確保網(wǎng)絡(luò)安全管理能力與提供的專(zhuān)業(yè)服務(wù)相適應(yīng)；做好信息系統(tǒng)安全管理和技術(shù)防護(hù)，設(shè)置嚴(yán)格的訪問(wèn)控制策略，防范未經(jīng)授權(quán)的訪問(wèn)行為。

　　五是聚焦安全可控。《暫行辦法》要求會(huì)計(jì)師事務(wù)所建立數(shù)據(jù)備份制度，確保在審計(jì)相關(guān)應(yīng)用系統(tǒng)因外部技術(shù)原因被停止使用、被限制使用等情況下，仍能訪問(wèn)、調(diào)取、使用相關(guān)審計(jì)工作底稿。加密設(shè)備應(yīng)當(dāng)設(shè)置在境內(nèi)并由境內(nèi)團(tuán)隊(duì)負(fù)責(zé)運(yùn)行維護(hù)，密鑰應(yīng)當(dāng)存儲(chǔ)在境內(nèi)。會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)擁有其審計(jì)業(yè)務(wù)系統(tǒng)中網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備的自主管理權(quán)限，統(tǒng)一設(shè)置、維護(hù)系統(tǒng)管理員賬戶(hù)和工作人員賬戶(hù)，不得設(shè)置不受限制、不受監(jiān)控的超級(jí)賬戶(hù)，不得將管理員賬號(hào)交由第三方運(yùn)維機(jī)構(gòu)管理使用。

　　六是壓實(shí)監(jiān)管責(zé)任?！稌盒修k法》明確了財(cái)政部門(mén)、網(wǎng)信部門(mén)、公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)對(duì)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全的監(jiān)管職責(zé)。省級(jí)以上財(cái)政部門(mén)、省級(jí)以上網(wǎng)信部門(mén)對(duì)會(huì)計(jì)師事務(wù)所開(kāi)展監(jiān)督檢查，公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)依法在職責(zé)范圍內(nèi)承擔(dān)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全監(jiān)管職責(zé)。會(huì)計(jì)師事務(wù)所對(duì)于依法實(shí)施的數(shù)據(jù)安全監(jiān)督檢查，應(yīng)當(dāng)予以配合。

　　問(wèn)：如何做好《暫行辦法》的貫徹落實(shí)？

　　答：一是加大宣傳和指導(dǎo)力度。各級(jí)財(cái)政部門(mén)、網(wǎng)信部門(mén)要高度重視，積極宣傳，指導(dǎo)會(huì)計(jì)師事務(wù)所建立健全數(shù)據(jù)安全管理制度并確保有效實(shí)施，切實(shí)提升會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理水平。二是加大監(jiān)督檢查力度。各相關(guān)部門(mén)應(yīng)根據(jù)監(jiān)管職責(zé)，落實(shí)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理日常監(jiān)管、重點(diǎn)檢查、安全審查等有關(guān)要求，對(duì)存在違規(guī)行為的會(huì)計(jì)師事務(wù)所要依法嚴(yán)肅處理。三是加強(qiáng)協(xié)同配合。各相關(guān)部門(mén)應(yīng)加強(qiáng)監(jiān)管信息共享，加強(qiáng)溝通協(xié)調(diào)，健全完善工作機(jī)制，形成工作合力，認(rèn)真做好貫徹實(shí)施《暫行辦法》的各項(xiàng)工作。