政策动态 | 两部门联合起草《会计师事务所数据安全管理暂行办法（征求意见稿）》

为贯彻落实《国务院办公厅关于进一步规范财务审计秩序 促进注册会计师行业健康发展的意见》（国办发〔2021〕30号）的要求，加强会计师事务所数据安全管理，规范会计师事务所数据处理活动,财政部会同国家网信办研究起草了《会计师事务所数据安全管理暂行办法》（征求意见稿）》(以下简称《办法》）。现将有关情况说明如下：

• 第一部分为总则，主要包括制定依据、适用范围、责任主体、监管机构、行业自律等内容。
• 第二部分为数据管理，包括总体责任、责任人员、数据分级分类、数据管理、数据存储、数据传输管理、数据加密管理、数据备份、业务约定书、技术保护手段、日常安全监测、监管合作、出境底稿内部管理等内容。
• 第三部分为网络管理，主要包括网络管理制度、资源投入、系统账户管理等内容。
• 第四部分为监督检查，包括信息共享、日常检查、重点检查对象、配合检查义务、网络安全审查机制、行政管理措施、行政处罚、移送处理等内容。
• 第五部分为附则，包括涉密信息处理、个人信息处理、其他业务、解释部门、实施日期等内容。

三、重点问题的说明 

《办法》立足规范会计师事务所数据安全管理，重点从以下方面进行了设计：

一是明确适用范围、数据定义和各方主体。《办法》的适用范围是在中国境内依法设立并为上市公司以及非上市的国有金融机构、中央企业等提供审计服务,或者开展跨境审计的会计师事务所及其从业人员。数据是指会计师事务所执行审计业务过程中，从外部获取和内部生成的任何以电子或者其他方式对信息的记录。会计师事务所承担本机构的数据安全主体责任。财政部门和网信部门是会计师事务所数据安全的监管机构。注册会计师协会是会计师事务所数据安全的自律管理主体。

二是加强会计师事务所数据管理。在规定了总体责任和责任人员的基础上，《办法》要求会计师事务所对数据区分核心数据、重要数据、一般数据进行分级分类管理。《办法》对数据传输、数据加密、数据备份等事项作出具体规定，对数据管理技术手段、数据存储方式、日志管理等提出具体要求。会计师事务所应当综合采取网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测等技术手段加强数据管理，相关数据应当存储境内。《办法》同时对跨境审计监管中涉及的数据出境事项作出规范。

三是完善会计师事务所网络保障。《办法》明确，会计师事务所应当建立完善的网络管理治理架构，建立健全内部网络管理制度体系，按照业务活动规模及复杂程度配置具备相关职业技能水平的网络管理技术人员，确保合理的网络资源投入和资金投入。针对部分会计师事务所网络安全管理不严的问题，《办法》要求会计师事务所设置严格的访问控制策略，统一管理各类账户，不得设置不受限制的超级账户,防范未经授权的访问行为。

四是加强监督检查。《办法》与《会计师事务所监督检查办法》衔接，明确财政部门、网信部门开展会计师事务所数据安全检查及重点检查内容。对于承接金融、能源、通信、交通、科技、国防科工等重要领域审计业务较多的会计师事务所，将开展全覆盖监督检查，并持续加强日常监管。特定情况下，可以启动对会计师事务所的网络安全审查机制。考虑到数据安全检查有一定专业性，《办法》规定，相关部门可以委托有关专业机构采用专业手段协助开展监督检查。《办法》落实法律责任，规定对于违法违规行为，相关部门根据《中华人民共和国数据安全法》相关规定依法作出处理处罚。

第一章 总则

第一条 为保障会计师事务所数据安全，规范会计师事务所数据处理活动，根据《中华人民共和国注册会计师法》、《中华人民共和国数据安全法》、《中华人民共和国网络安全法》等法律法规，制定本办法。

第二条 在中华人民共和国境内依法设立的会计师事务所开展下列审计业务相关数据处理活动的，适用本办法：

（一）为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的；

（二）开展跨境审计业务的。

第三条 本办法所称数据，是指会计师事务所执行审计业务过程中，从外部获取和内部生成的任何以电子或者其他方式对信息的记录。数据安全，是指通过采取必要措施，确保数据持续得到有效保护和合法利用。

第四条 会计师事务所承担本机构的数据安全主体责任，履行数据安全保护义务。

第五条 国务院财政部门会同国家网信部门负责全国会计师事务所数据安全监管工作，省、自治区、直辖市人民政府财政部门会同省级网信部门负责本行政区域内会计师事务所数据安全监管工作。

第六条 注册会计师协会应当加强行业自律，指导会计师事务所加强数据安全保护，提高数据安全管理水平。

第二十条 会计师事务所应当建立完善的网络管理治理架构，建立健全内部网络管理制度体系，建立内部决策、管理、执行和监督机制，确保网络管理能力与提供的专业服务相适应，为数据安全管理工作提供安全的网络环境。

第二十一条 会计师事务所应当按照业务活动规模及复杂程度配置具备相关职业技能水平的网络管理技术人员，确保合理的网络资源投入和资金投入。

第二十二条 会计师事务所应当做好信息系统安全管理和技术防护，根据存储、处理数据的级别采取相应的网络物理隔离或者逻辑隔离等措施，设置严格的访问控制策略，防范未经授权的访问行为。

第二十三条 会计师事务所应当拥有其使用的审计业务系统中网络设备、网络安全设备的配置和管理的最高权限，统一管理、维护系统管理员账户和工作人员账户，不得设置不受限制的超级账户。

加入国际网络的会计师事务所使用所在国际网络的信息系统的，应当采取用户隔离和数据隔离等措施。

第二十四条 省级以上财政部门与同级网信部门加强会计师事务所数据安全监管信息共享。

第二十五条 省级以上财政部门、省级以上网信部门（以下简称相关部门）对会计师事务所数据安全情况开展监督检查。

在监督检查过程中，相关部门可以委托国家、行业有关专业机构采用渗透测试、漏洞扫描及信息技术风险评估等方式，协助对会计师事务所开展监督检查。

相关部门和机构工作人员对监督检查中知悉的核心数据、重要数据、个人隐私等数据应当依法严格保护，不得泄露或者非法向他人提供。

第二十六条 对于承接金融、能源、通信、交通、科技、国防科工等重要领域审计业务的会计师事务所，相关部门应当开展全覆盖监督检查，并持续加强日常监管。

第二十七条 会计师事务所对于相关部门依法实施的数据安全检查，应当予以配合，提供符合要求的相关数据资料和工作便利，不得拒绝、拖延、阻挠。

第二十八条 承接关系国计民生、重要领域审计业务的会计师事务所开展数据处理活动，影响或者可能影响国家安全的，按照网络安全审查相关机制进行网络安全审查。

第二十九条 相关部门在履行数据安全监管职责中，发现会计师事务所开展数据处理活动存在较大安全风险的，可以对会计师事务所及其责任人采取约谈、责令限期整改等监管措施，消除隐患。

第三十条 会计师事务所及其从业人员违反本办法规定的，由相关部门依照《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《中华人民共和国注册会计师法》等法律、行政法规的规定进行处理处罚。

第三十一条 对会计师事务所及其从业人员违反本办法规定，涉及其他部门职责权限的，依法移送有关主管部门处理；构成犯罪的，移送司法机关依法追究刑事责任。

来源：中国政府网

关注【数据安全备忘录】公众号，获取更多行业资讯！