2024图解财政部、网信办《会计师事务所数据安全管理暂行办法》

炼石网络2024年5月 财政部、国家网信办联合印发《会计师事务所数据安全管理暂行办法》 2024年5月10日，财政部、国家网信办联合印发《会计师事务所数据安全管理暂行办法》（财会【2024]6号】，自2024年10月1日起施行，旨在保障会计师事务所数据安全：规范会计师事务所数据处理活动。 1994年1月1日起施行 为责现署实（国务路办公厅关于进一专限范务审计获序优进注集合计师行业益速发股的事见》（国办发(2021）30号）有关更求，项会计街事务净数联安全要理，联募会计部事务用股医处理活院，共仁源(实了（会计事务清数在安全要理量行办法》，学印发，请道易的 《中华人民共和国网络安全法 2017年6月1日起施行 《中华人民共和国数据安全法 2021年9月1日起施行 《中华人民共和国个人信息保护法》 （会计师事务所数据安全管理暂行办法） 《会计师事务所数据安全管理暂行办法》背景与意义 《办法》定位为会计师事务所数据安全管理顶层设计 为贯彻落实《国务院办公厅关于进一步规范财务审计秩序促进注册会计师行业健康发展的意见》（国办发[2021]】30号】有关要求，加强会计师事务所数据安全管理，规范会计师事务所数据处理活动，特制定《暂行办法》。 ② 落实国务院有关文件要求 落实财会监督有关要求 落实相关法律要求 国务院办公厅关于进一步规范财务审计秩序促进注册会计师行业健康发展的意见（国办发【2021】30号）强调，要加快推进注册会计师行业基础制度建设，及时跟进健全相关制度规定。《暂行办法》顺应数字经济发展趋势，进一步完善了注册会计师行业基础制度体系。 《暂行办法》全面落实网络安全法、数据安全法、个人信息保护法等法律要求，是在注册会计师行业对国家网络和数据安全管理相关规定的细化，为会计师事务所开展数据安全管理活动提供依据，有利于推动注册会计师行业数据安全管理工作制度化、规范化。 暂行办法》构建了横向协同、纵向联动的行业数据安全监管机制，明确财政部门、网信部门、公安机关、国家安全机关等各方职责，确保有效衔接，加强信息共享，推动实现跨地区、跨部门、跨层级协同监管。 《会计师事务所数据安全管理暂行办法》主要内容 《暂行办法》共5章36条 监督检查 网络管理 数据管理 附则 总则 主要明确制定依据、适用对象、责任主体； 主要包括信息共享、日常检查、重点检查对象，安全审查、行政监管措施、行政处罚等内容； 主要包括网络管理制度、资源投入、访问控制、系统账户管理等内容； ：包括涉密信息处理、个人信息处理、非审计业务数据管理、解释部门、施行日期等内容。 主要包括总体责任、责任人员、数据分类分级、日志管理、数据传输管理、数据加密管理、数据备份、业务约定书、技术保护手段、日常安全监测、数据出境等内容; 《会计师事务所数据安全管理暂行办法》规范六方面内容1 明确适用对象 规范数据分类分级 规范底稿管理 ·适用范围：《暂行办法》主要适用于境内依法设立的会计师事务所开展的审计业务相关数据处理活动，包括为上市公司以及非上币的国有金融机构或中央企业等提供审计服务：为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务：为境内企业境外上市提供审计服务。 ：分类分级：《暂行办法》要求会计师事务所应按照相关法律法规的规定和被审计单位所处行业数据分类分级的标准，确定核心数据、重要数据和一假数据，并对核心数据和重要数据的存储、相关日志、传撤等作出明确要求。 ，底稿境内存放：截至目前，我国有35家会计师事务所加入或创建了28个国际会计网络，行业对外交流合作日益密切。《暂行办法》规定，会计师事务所审计工作底稿应按相关规定存放在境内。 ：应尽义务：被审计单位有义务通过业务约定书、码认函等方式告知会计师事务所审计资料中的核心数据和重要数据相关信息。 ，业务约定书/合同：会计师事务所不得在业务约定书或类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。 ·重要/核心数据：会计师事务所未从事前述三类业务，但审计业务涉及重要数据或者核心数据，也应根据《暂行办法》进行数据处理活动。 ，数据存储：存储重要数据的信息系统要落实三级及以上网络安全等级保护要求，存储核心数据的信息系统要落实四级网络安全等级保护要求。 跨境要求：境外监管机构因监管需要确需调取境内审计工作底稿的，应通过相应的跨境监管合作机制依法依规获取，相应审计工作底稿出境应当办理审批手续。 ：关键定义：数据包括会计师事务所执行审计业务过程中从外部获取和内部生成的任何以电子或者其他方式对信息的记录。 日志管理：要求涉及核心数据的相关日志，留存时间不少于三年，涉及重要数据的相关日志，留存对间不少于一年，其中向他人提供、委托处理、共同处理重要政据的相关日志留存时间不少于三年。 ，出境逐级复核机制：会计师事务所对审计工作底稿出境事项应当建立逐级复核机制，落实数据安全管控责任。 ，涉及一般数据：按照国家相关规定处理，《暂行办法》不作特别要求。 《会计师事务所数据安全管理暂行办法》规范六方面内容2 强化网络管理 聚焦安全可控 压实监管责任 ，监管职责：《暂行办法》明确了财政部门、网信部门、公安机关、国家安全机关对会计师事务所数据安全的监管职责。省级以上财政部门、省级以上网信部门对会计师事务所开展监咨检查，公安机关、国家安全机关依法在职责范围内承担会计师事务所数据安全监管职责。 ·网络管理：《暂行办法》对会计师事务所在建立内部网络安全管理制度、网络管理资源投入、网络安全技术防护、网络管理账户权限等方面做出具体要求，指导会计师事务所为数据安全管理工作提供安全的网络环境。 ，备份机制：《暂行办法》要求会计师事务所建立数据备份制度，确保在审计相关应用系统因外部技术原因被停止使用、被限制使用等情况下，仍能访问、调取、使用相关审计工作底稿。 ，加密设备：加密设备应当设直在境内并由境内团队负责运行维护，密钥应当存储在境内。 ·访问控制：会计师事务所应当建章立制并有效执行，确保网络安全管理能力与提供的专业服务相适应；做好信息系统安全管理和技术防护，设置严格的访问控制策略，防范未经授权的访问行为。 配合监督检查：会计师事务所对于依法实施的数据安全监督检查，应当予以配合。 ，管理权限：会计师事务所应当拥有其审计业务系统中网络设备、网络安全设备的自主管理权限，统一设置、维护系统管理员账户和工作人员账户，不得设置不受限制、不受监控的超级账户，不得将管理员账号交由第三方运维机构管理使用。 《会计师事务所数据安全管理暂行办法》贯彻落实 加大宣传和指导力度 ，各级财政部门、网信部门要高度重视，积极宣传，指导会计师事务所建立健全数据安全管理制度并确保有效实施，切实提升会计师事务所数据安全管理水平。 加大监督检查力度 ，各相关部门应根据监管职责，落实会计师事务所数据安全管理日常监管、重点检查、安全审查等有关要求，对存在违规行为的会计师事务所要依法产肃处理。 加强协同配合 ，各相关部门应加强监管信息共享，加强沟通协调，健全完善工作机制，形成工作合力，认真做好贯彻实施《暂行办法》的各项工作。 炼石整理：《会计师事务所数据安全管理暂行办法》总览 明确《办法》适用范围和重要定义 适用范围 制定依据 在中华人民共和国境内依法设立的会计师事务所开展下列审计业务相关数据处理活动的，适用本办法： 为保障会计师事务所数据安全，规范会计师事务所数据处理活动，根据《中华人民共和国注册会计师法》、《中华人民共和国网络安全法》）《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，制定本办法。 1.为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的2.为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务的：3．为境内企业境外上市提供审计服务的 会计师事务所从事的审计业务不属于前款规定的范围，但涉及重要数据或者核心数据的，适用本办法， 关键定义 息的记录。 数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 扩展：财政部发布《从事证券服务业务会计师事务所名录》 中国证券监督管理委员会 财政部发布《从事证券服务业务会计师事务所名录（截至2022年12月）》，截至2022年12月份共有115家会计所备案。此前，财政部发布《从事证券服务业务会计师事务所名录（截至2022年6月）》，截至2022年6月份共有95家会计所备案： 其中从事IPO审计、上市公司年报审计、非上市公众公司年报审计等证券服务业务的会计师事务所34家，仅从事上市公司年报审计、非上市公众公司年报审计等证券服务业务的会计师事务所18家，仅从事非上市公众公司年报审计等证券服务业务的会计师事务所28家，·仅从事其他证券服务业务的会计师事务所5家，未从事证券服务业务的会计师事务所10家。 中国证券监督管理委员会 *该名录仅为《会计师事务所数据安全管理暂行办法》适用对象的一小部分*按中国注册会计师协会数据，截至2022年12月31日全国共有事务所10380家（总所9082家，分所1298家） 明确监管机构和责任主体，加强行业自律 明确数据安全管理责任和数据安全负责人 会计师事务所应当在下列方面履行本所数据安全管理责任： 建立健全数据全生命周期安全管理制度，完善数据运营和管控机制健全数据安全管理组织架构，明确数据安全管理权责机制；实施与业务特点相适应的数据分类分级管理：建立数据权限管理策略，按照最小授权原则设置数据访问和处理权限，定期复核并按有关规定保留数据访问记录；组织开展数据安全教育培训：法律法规规定的其他事项。 会计师事务所的首席合伙人（主任会计师）是本所数据安全负责人。 区分核心数据、重要数据、一般数据，明确数据存储处理要求 数据存储处理总体要求 会计师事务所对核心数据、重要数据的存储处理，应当符合国家相关规定。 *数据汇聚、关联后属于国家秘密事项的，应当依照有关保守国家秘密的法律、行政法规规定处理。 明确日志管理、数据传输管理、数据加密管理、数据备份具体要求 会计师事务所应当明确数据传输操作规程。核心数据、重要数据传输过程中应当采用加密技术，保护传输安全。 涉及核心数据的，相关日志留存时间不少于三年。涉及重要数据的，相关日志留存时间不少于一年；涉及向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年。 会计师事务所应当建立数据备份制度。会计师事务所应当确保在审计相关应用系统因外部技术原因被停止使用、被限制使用等情况下，仍能访问、调取、使用相关审计工作底稿。 审计工作底稿应当按照法律、行政法规和国家有关规定存储在境内。相关加密设备应当设置在境内并由境内团队负责运行维护，密钥应当存储在境内。 明确业务约定书、技术手段保护、日常安全监测、数据出境等要求 日常安全监测 数据出境 技术保护手段 会计师事务所向境外提供其在境内运营中收集和产生的个人信息和重要数据的，应当遵守国家数据出境管理有关规定。 会计师事务所应当采用网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测等技术手段，及时识别、阻断和溯源相关网络攻击和非法访问，保障数据安全。 会计师事务所对于审计工作底稿出境事项应当建立逐级复核机制，采取必要措施严格落实数据安全管控责任。对于需要出境的审计工作底稿，按照国家有关规定办理审批手续。 附-手中有“粮”，遇事不慌："1+6”数据安全管理行动建议 会计事务所务必重视数据安全管理，建议正式纳入未来三年事务所经营管理顶层政策，从根本上杜绝虚以委蛇。 尽快起草2024年数据安全工作计划 附-实战对抗：不有效防护内外威胁 从架构体系构建、人员资金投入、管理技术防护等维度进行网络安全管理pherGatewa 省级以上财政部门、省级以上网信部门是开展监督检查的主要责任部门 会计师事务