央視網(wǎng)消息:據(jù)“網(wǎng)信中國”公眾號消息�,近日,財政部�、國家網(wǎng)信辦聯(lián)合印發(fā)《會計師事務所數(shù)據(jù)安全管理暫行辦法》?����!稌盒修k法》規(guī)定�����,會計師事務所審計工作底稿應按相關規(guī)定存放在境內�����。會計師事務所不得在業(yè)務約定書或類似合同中包含會計師事務所向境外監(jiān)管機構提供境內項目資料數(shù)據(jù)等類似條款。境外監(jiān)管機構因監(jiān)管需要確需調取境內審計工作底稿的�����,應通過相應的跨境監(jiān)管合作機制依法依規(guī)獲取�,相應審計工作底稿出境應當辦理審批手續(xù)�����。會計師事務所對審計工作底稿出境事項應當建立逐級復核機制�����,落實數(shù)據(jù)安全管控責任�����。
會計師事務所數(shù)據(jù)安全管理暫行辦法
第一章 總則
第一條 為保障會計師事務所數(shù)據(jù)安全�����,規(guī)范會計師事務所數(shù)據(jù)處理活動�,根據(jù)《中華人民共和國注冊會計師法》、《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》�����、《中華人民共和國個人信息保護法》等法律法規(guī)�,制定本辦法。
第二條 在中華人民共和國境內依法設立的會計師事務所開展下列審計業(yè)務相關數(shù)據(jù)處理活動的�,適用本辦法:
(一)為上市公司以及非上市的國有金融機構、中央企業(yè)等提供審計服務的�����;
(二)為關鍵信息基礎設施運營者或者超過100萬用戶的網(wǎng)絡平臺運營者提供審計服務的�����;
(三)為境內企業(yè)境外上市提供審計服務的�����。
會計師事務所從事的審計業(yè)務不屬于前款規(guī)定的范圍�����,但涉及重要數(shù)據(jù)或者核心數(shù)據(jù)的�����,適用本辦法。
第三條 本辦法所稱數(shù)據(jù)�����,是指會計師事務所執(zhí)行審計業(yè)務過程中�����,從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄�。
數(shù)據(jù)安全�����,是指通過采取必要措施�����,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)�����,以及具備保障持續(xù)安全狀態(tài)的能力�。
第四條 會計師事務所承擔本所的數(shù)據(jù)安全主體責任�����,履行數(shù)據(jù)安全保護義務�����。
第五條 財政部負責全國會計師事務所數(shù)據(jù)安全監(jiān)管工作�,省級(含深圳市�、新疆生產(chǎn)建設兵團)財政部門負責本行政區(qū)域內會計師事務所數(shù)據(jù)安全監(jiān)管工作。
第六條 注冊會計師協(xié)會應當加強行業(yè)自律�,指導會計師事務所加強數(shù)據(jù)安全保護,提高數(shù)據(jù)安全管理水平�����。
第二章 數(shù)據(jù)管理
第七條 會計師事務所應當在下列方面履行本所數(shù)據(jù)安全管理責任:
(一)建立健全數(shù)據(jù)全生命周期安全管理制度�����,完善數(shù)據(jù)運營和管控機制�����;
(二)健全數(shù)據(jù)安全管理組織架構�����,明確數(shù)據(jù)安全管理權責機制;
(三)實施與業(yè)務特點相適應的數(shù)據(jù)分類分級管理�;
(四)建立數(shù)據(jù)權限管理策略,按照最小授權原則設置數(shù)據(jù)訪問和處理權限�����,定期復核并按有關規(guī)定保留數(shù)據(jù)訪問記錄�;
(五)組織開展數(shù)據(jù)安全教育培訓;
(六)法律法規(guī)規(guī)定的其他事項�����。
第八條 會計師事務所的首席合伙人(主任會計師)是本所數(shù)據(jù)安全負責人�����。
第九條 會計師事務所應當按照法律�、行政法規(guī)的規(guī)定和被審計單位所處行業(yè)數(shù)據(jù)分類分級標準確定核心數(shù)據(jù)�����、重要數(shù)據(jù)和一般數(shù)據(jù)�����。
會計師事務所和被審計單位應當通過業(yè)務約定書、確認函等方式明確審計資料中核心數(shù)據(jù)和重要數(shù)據(jù)的性質�、內容和范圍等。
第十條 會計師事務所對核心數(shù)據(jù)�、重要數(shù)據(jù)的存儲處理,應當符合國家相關規(guī)定�。
存儲核心數(shù)據(jù)的信息系統(tǒng)要落實四級網(wǎng)絡安全等級保護要求。存儲重要數(shù)據(jù)的信息系統(tǒng)要落實三級及以上網(wǎng)絡安全等級保護要求�����。
數(shù)據(jù)匯聚�、關聯(lián)后屬于國家秘密事項的,應當依照有關保守國家秘密的法律�、行政法規(guī)規(guī)定處理。
第十一條 會計師事務所應當對審計業(yè)務相關的信息系統(tǒng)�、數(shù)據(jù)庫、網(wǎng)絡設備�����、網(wǎng)絡安全設備等設置并啟用訪問日志記錄功能�����。
涉及核心數(shù)據(jù)的,相關日志留存時間不少于三年�。涉及重要數(shù)據(jù)的,相關日志留存時間不少于一年�;涉及向他人提供、委托處理�����、共同處理重要數(shù)據(jù)的相關日志留存時間不少于三年�。
第十二條 會計師事務所應當明確數(shù)據(jù)傳輸操作規(guī)程。核心數(shù)據(jù)�����、重要數(shù)據(jù)傳輸過程中應當采用加密技術�����,保護傳輸安全�����。
第十三條 審計工作底稿應當按照法律�����、行政法規(guī)和國家有關規(guī)定存儲在境內�����。相關加密設備應當設置在境內并由境內團隊負責運行維護�����,密鑰應當存儲在境內�����。
第十四條 會計師事務所應當建立數(shù)據(jù)備份制度�。會計師事務所應當確保在審計相關應用系統(tǒng)因外部技術原因被停止使用、被限制使用等情況下�����,仍能訪問�����、調取�、使用相關審計工作底稿。
第十五條 會計師事務所不得在業(yè)務約定書或者類似合同中包含會計師事務所向境外監(jiān)管機構提供境內項目資料數(shù)據(jù)等類似條款。
第十六條 會計師事務所應當采用網(wǎng)絡隔離�、用戶認證、訪問控制�����、數(shù)據(jù)加密�����、病毒防范�����、非法入侵檢測等技術手段�����,及時識別�、阻斷和溯源相關網(wǎng)絡攻擊和非法訪問,保障數(shù)據(jù)安全�。
第十七條 會計師事務所應當建立數(shù)據(jù)安全應急處置機制,加強數(shù)據(jù)安全風險監(jiān)測�。發(fā)現(xiàn)數(shù)據(jù)外泄、安全漏洞等風險的�,應當立即采取補救、處置措施�����。發(fā)生重大數(shù)據(jù)安全事件�,導致核心數(shù)據(jù)或者重要數(shù)據(jù)泄露、丟失或者被竊取�、篡改的,應當及時向有關主管部門報告�。
第十八條 會計師事務所向境外提供其在境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)的,應當遵守國家數(shù)據(jù)出境管理有關規(guī)定�。
第十九條 會計師事務所對于審計工作底稿出境事項應當建立逐級復核機制,采取必要措施嚴格落實數(shù)據(jù)安全管控責任�。對于需要出境的審計工作底稿,按照國家有關規(guī)定辦理審批手續(xù)�����。
第三章 網(wǎng)絡管理
第二十條 會計師事務所應當建立完善的網(wǎng)絡安全管理治理架構�����,建立健全內部網(wǎng)絡安全管理制度體系�����,建立內部決策、管理�����、執(zhí)行和監(jiān)督機制�����,確保網(wǎng)絡安全管理能力與提供的專業(yè)服務相適應�,為數(shù)據(jù)安全管理工作提供安全的網(wǎng)絡環(huán)境。
第二十一條 會計師事務所應當按照業(yè)務活動規(guī)模及復雜程度配置具備相應職業(yè)技能水平的網(wǎng)絡管理技術人員�����,確保合理的網(wǎng)絡資源投入和資金投入�。
第二十二條 會計師事務所應當做好信息系統(tǒng)安全管理和技術防護,根據(jù)存儲�、處理數(shù)據(jù)的級別采取相應的網(wǎng)絡物理隔離或者邏輯隔離等措施,設置嚴格的訪問控制策略�����,防范未經(jīng)授權的訪問行為�����。
第二十三條 會計師事務所應當擁有其審計業(yè)務系統(tǒng)中網(wǎng)絡設備、網(wǎng)絡安全設備的自主管理權限�,統(tǒng)一設置、維護系統(tǒng)管理員賬戶和工作人員賬戶�,不得設置不受限制�����、不受監(jiān)控的超級賬戶�,不得將管理員賬號交由第三方運維機構管理使用。
加入國際網(wǎng)絡的會計師事務所使用所在國際網(wǎng)絡的信息系統(tǒng)的�����,應當采取必要措施�,使其符合國家數(shù)據(jù)安全法律、行政法規(guī)和本辦法的規(guī)定�,確保本所數(shù)據(jù)安全。
第四章 監(jiān)督檢查
第二十四條 財政部和省級財政部門(以下統(tǒng)稱省級以上財政部門)與同級網(wǎng)信部門�、公安機關、國家安全機關加強會計師事務所數(shù)據(jù)安全監(jiān)管信息共享�����。
第二十五條 省級以上財政部門�、省級以上網(wǎng)信部門對會計師事務所數(shù)據(jù)安全情況開展監(jiān)督檢查�����。公安機關�����、國家安全機關依法在職責范圍內承擔會計師事務所數(shù)據(jù)安全監(jiān)管職責�����。
第二十六條 對于承接金融�、能源�����、電信�����、交通�、科技、國防科工等重要領域審計業(yè)務且符合本辦法第二條規(guī)定范圍的會計師事務所�,省級以上財政部門在監(jiān)督檢查工作中予以重點關注,并持續(xù)加強日常監(jiān)管�。
第二十七條 會計師事務所對于依法實施的數(shù)據(jù)安全監(jiān)督檢查�����,應當予以配合�,不得拒絕�����、拖延�、阻撓�����。
第二十八條 會計師事務所開展數(shù)據(jù)處理活動�����,影響或者可能影響國家安全的�����,應當按照國家安全審查機制進行安全審查�。
第二十九條 相關部門在履行數(shù)據(jù)安全監(jiān)管職責中,發(fā)現(xiàn)會計師事務所開展數(shù)據(jù)處理活動存在較大安全風險的�����,可以對會計師事務所及其責任人采取約談、責令限期整改等監(jiān)管措施�,消除隱患。
第三十條 會計師事務所及相關人員違反本辦法規(guī)定的�,應當按照《中華人民共和國注冊會計師法》、《中華人民共和國網(wǎng)絡安全法》�����、《中華人民共和國數(shù)據(jù)安全法》�����、《中華人民共和國個人信息保護法》等法律�、行政法規(guī)的規(guī)定予以處理處罰;涉及其他部門職責權限的�,依法移送有關主管部門處理;構成犯罪的�����,移送司法機關依法追究刑事責任�����。
第三十一條 相關部門工作人員在履行會計師事務所數(shù)據(jù)安全監(jiān)管職責過程中,玩忽職守�、濫用職權、徇私舞弊的�,依法追究法律責任。
第五章 附則
第三十二條 會計師事務所及相關人員開展涉及國家秘密的數(shù)據(jù)處理活動�,適用《中華人民共和國保守國家秘密法》等法律、行政法規(guī)的規(guī)定�����。
第三十三條 會計師事務所及相關人員開展其他涉及個人信息的數(shù)據(jù)處理活動�����,應當遵守有關法律�����、行政法規(guī)的規(guī)定�����。
第三十四條 會計師事務所可以參照本辦法加強對非審計業(yè)務數(shù)據(jù)的管理�����。
第三十五條 本辦法由財政部�、國家網(wǎng)信辦負責解釋。
第三十六條 本辦法自2024年10月1日起施行�。
北疆新聞:內蒙古自治區(qū)重點新聞網(wǎng)站(客戶端),內蒙古出版集團新華報業(yè)中心旗下國家互聯(lián)網(wǎng)新聞信息采編發(fā)布服務一類資質網(wǎng)站(客戶端)�����。
