【發(fā)布單位】財政部國家網(wǎng)信辦

【發(fā)布文號】-----------

【發(fā)布日期】2024-04-15

【生效日期】2024-10-01

【失效日期】-----------

【所屬類別】國家法律法規(guī)

【文件來源】中國網(wǎng)信網(wǎng)

財政部國家網(wǎng)信辦

關(guān)于印發(fā)《會計師事務(wù)所數(shù)據(jù)安全管理暫行辦法》的通知

各省、自治區(qū)、直轄市財政廳（局）,、網(wǎng)信辦,，新疆生產(chǎn)建設(shè)兵團(tuán)財政局、網(wǎng)信辦,，深圳市財政局：

為貫徹落實《國務(wù)院辦公廳關(guān)于進(jìn)一步規(guī)范財務(wù)審計秩序促進(jìn)注冊會計師行業(yè)健康發(fā)展的意見》（國辦發(fā)〔2021〕30號）有關(guān)要求,，加強(qiáng)會計師事務(wù)所數(shù)據(jù)安全管理,，規(guī)范會計師事務(wù)所數(shù)據(jù)處理活動,，我們制定了《會計師事務(wù)所數(shù)據(jù)安全管理暫行辦法》，現(xiàn)予印發(fā),，請遵照執(zhí)行,。

財政部國家互聯(lián)網(wǎng)信息辦公室

2024年4月15日

會計師事務(wù)所數(shù)據(jù)安全管理暫行辦法

第一章總則

第一條為保障會計師事務(wù)所數(shù)據(jù)安全，規(guī)范會計師事務(wù)所數(shù)據(jù)處理活動,，根據(jù)《中華人民共和國注冊會計師法》,、《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》,、《中華人民共和國個人信息保護(hù)法》等法律法規(guī),，制定本辦法。

第二條在中華人民共和國境內(nèi)依法設(shè)立的會計師事務(wù)所開展下列審計業(yè)務(wù)相關(guān)數(shù)據(jù)處理活動的,，適用本辦法：

（一）為上市公司以及非上市的國有金融機(jī)構(gòu),、中央企業(yè)等提供審計服務(wù)的；

（二）為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者或者超過100萬用戶的網(wǎng)絡(luò)平臺運(yùn)營者提供審計服務(wù)的,；

（三）為境內(nèi)企業(yè)境外上市提供審計服務(wù)的,。

會計師事務(wù)所從事的審計業(yè)務(wù)不屬于前款規(guī)定的范圍，但涉及重要數(shù)據(jù)或者核心數(shù)據(jù)的,，適用本辦法,。

第三條本辦法所稱數(shù)據(jù)，是指會計師事務(wù)所執(zhí)行審計業(yè)務(wù)過程中,，從外部獲取和內(nèi)部生成的任何以電子或者其他方式對信息的記錄,。

數(shù)據(jù)安全，是指通過采取必要措施,，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài),，以及具備保障持續(xù)安全狀態(tài)的能力。

第四條會計師事務(wù)所承擔(dān)本所的數(shù)據(jù)安全主體責(zé)任,，履行數(shù)據(jù)安全保護(hù)義務(wù),。

第五條財政部負(fù)責(zé)全國會計師事務(wù)所數(shù)據(jù)安全監(jiān)管工作，省級（含深圳市,、新疆生產(chǎn)建設(shè)兵團(tuán)）財政部門負(fù)責(zé)本行政區(qū)域內(nèi)會計師事務(wù)所數(shù)據(jù)安全監(jiān)管工作,。

第六條注冊會計師協(xié)會應(yīng)當(dāng)加強(qiáng)行業(yè)自律，指導(dǎo)會計師事務(wù)所加強(qiáng)數(shù)據(jù)安全保護(hù),，提高數(shù)據(jù)安全管理水平,。

第二章數(shù)據(jù)管理

第七條會計師事務(wù)所應(yīng)當(dāng)在下列方面履行本所數(shù)據(jù)安全管理責(zé)任：

（一）建立健全數(shù)據(jù)全生命周期安全管理制度,，完善數(shù)據(jù)運(yùn)營和管控機(jī)制；

（二）健全數(shù)據(jù)安全管理組織架構(gòu),，明確數(shù)據(jù)安全管理權(quán)責(zé)機(jī)制,；

（三）實施與業(yè)務(wù)特點相適應(yīng)的數(shù)據(jù)分類分級管理；

（四）建立數(shù)據(jù)權(quán)限管理策略,，按照最小授權(quán)原則設(shè)置數(shù)據(jù)訪問和處理權(quán)限,，定期復(fù)核并按有關(guān)規(guī)定保留數(shù)據(jù)訪問記錄；

（五）組織開展數(shù)據(jù)安全教育培訓(xùn),；

（六）法律法規(guī)規(guī)定的其他事項,。

第八條會計師事務(wù)所的首席合伙人（主任會計師）是本所數(shù)據(jù)安全負(fù)責(zé)人。

第九條會計師事務(wù)所應(yīng)當(dāng)按照法律,、行政法規(guī)的規(guī)定和被審計單位所處行業(yè)數(shù)據(jù)分類分級標(biāo)準(zhǔn)確定核心數(shù)據(jù),、重要數(shù)據(jù)和一般數(shù)據(jù)。

會計師事務(wù)所和被審計單位應(yīng)當(dāng)通過業(yè)務(wù)約定書,、確認(rèn)函等方式明確審計資料中核心數(shù)據(jù)和重要數(shù)據(jù)的性質(zhì),、內(nèi)容和范圍等。

第十條會計師事務(wù)所對核心數(shù)據(jù),、重要數(shù)據(jù)的存儲處理,，應(yīng)當(dāng)符合國家相關(guān)規(guī)定。

存儲核心數(shù)據(jù)的信息系統(tǒng)要落實四級網(wǎng)絡(luò)安全等級保護(hù)要求,。存儲重要數(shù)據(jù)的信息系統(tǒng)要落實三級及以上網(wǎng)絡(luò)安全等級保護(hù)要求,。

數(shù)據(jù)匯聚、關(guān)聯(lián)后屬于國家秘密事項的,，應(yīng)當(dāng)依照有關(guān)保守國家秘密的法律,、行政法規(guī)規(guī)定處理。

第十一條會計師事務(wù)所應(yīng)當(dāng)對審計業(yè)務(wù)相關(guān)的信息系統(tǒng),、數(shù)據(jù)庫,、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備等設(shè)置并啟用訪問日志記錄功能,。

涉及核心數(shù)據(jù)的,，相關(guān)日志留存時間不少于三年。涉及重要數(shù)據(jù)的,，相關(guān)日志留存時間不少于一年,；涉及向他人提供、委托處理,、共同處理重要數(shù)據(jù)的相關(guān)日志留存時間不少于三年,。

第十二條會計師事務(wù)所應(yīng)當(dāng)明確數(shù)據(jù)傳輸操作規(guī)程。核心數(shù)據(jù)、重要數(shù)據(jù)傳輸過程中應(yīng)當(dāng)采用加密技術(shù),，保護(hù)傳輸安全,。

第十三條審計工作底稿應(yīng)當(dāng)按照法律、行政法規(guī)和國家有關(guān)規(guī)定存儲在境內(nèi),。相關(guān)加密設(shè)備應(yīng)當(dāng)設(shè)置在境內(nèi)并由境內(nèi)團(tuán)隊負(fù)責(zé)運(yùn)行維護(hù),，密鑰應(yīng)當(dāng)存儲在境內(nèi)。

第十四條會計師事務(wù)所應(yīng)當(dāng)建立數(shù)據(jù)備份制度,。會計師事務(wù)所應(yīng)當(dāng)確保在審計相關(guān)應(yīng)用系統(tǒng)因外部技術(shù)原因被停止使用,、被限制使用等情況下，仍能訪問,、調(diào)取,、使用相關(guān)審計工作底稿,。

第十五條會計師事務(wù)所不得在業(yè)務(wù)約定書或者類似合同中包含會計師事務(wù)所向境外監(jiān)管機(jī)構(gòu)提供境內(nèi)項目資料數(shù)據(jù)等類似條款,。

第十六條會計師事務(wù)所應(yīng)當(dāng)采用網(wǎng)絡(luò)隔離、用戶認(rèn)證,、訪問控制,、數(shù)據(jù)加密、病毒防范,、非法入侵檢測等技術(shù)手段,，及時識別、阻斷和溯源相關(guān)網(wǎng)絡(luò)攻擊和非法訪問,，保障數(shù)據(jù)安全,。

第十七條會計師事務(wù)所應(yīng)當(dāng)建立數(shù)據(jù)安全應(yīng)急處置機(jī)制，加強(qiáng)數(shù)據(jù)安全風(fēng)險監(jiān)測,。發(fā)現(xiàn)數(shù)據(jù)外泄,、安全漏洞等風(fēng)險的，應(yīng)當(dāng)立即采取補(bǔ)救,、處置措施,。發(fā)生重大數(shù)據(jù)安全事件，導(dǎo)致核心數(shù)據(jù)或者重要數(shù)據(jù)泄露,、丟失或者被竊取,、篡改的，應(yīng)當(dāng)及時向有關(guān)主管部門報告,。

第十八條會計師事務(wù)所向境外提供其在境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)的,，應(yīng)當(dāng)遵守國家數(shù)據(jù)出境管理有關(guān)規(guī)定。

第十九條會計師事務(wù)所對于審計工作底稿出境事項應(yīng)當(dāng)建立逐級復(fù)核機(jī)制,，采取必要措施嚴(yán)格落實數(shù)據(jù)安全管控責(zé)任,。對于需要出境的審計工作底稿，按照國家有關(guān)規(guī)定辦理審批手續(xù)。

第三章網(wǎng)絡(luò)管理

第二十條會計師事務(wù)所應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全管理治理架構(gòu),，建立健全內(nèi)部網(wǎng)絡(luò)安全管理制度體系,，建立內(nèi)部決策、管理,、執(zhí)行和監(jiān)督機(jī)制,，確保網(wǎng)絡(luò)安全管理能力與提供的專業(yè)服務(wù)相適應(yīng)，為數(shù)據(jù)安全管理工作提供安全的網(wǎng)絡(luò)環(huán)境,。

第二十一條會計師事務(wù)所應(yīng)當(dāng)按照業(yè)務(wù)活動規(guī)模及復(fù)雜程度配置具備相應(yīng)職業(yè)技能水平的網(wǎng)絡(luò)管理技術(shù)人員,，確保合理的網(wǎng)絡(luò)資源投入和資金投入。

第二十二條會計師事務(wù)所應(yīng)當(dāng)做好信息系統(tǒng)安全管理和技術(shù)防護(hù),，根據(jù)存儲,、處理數(shù)據(jù)的級別采取相應(yīng)的網(wǎng)絡(luò)物理隔離或者邏輯隔離等措施，設(shè)置嚴(yán)格的訪問控制策略,，防范未經(jīng)授權(quán)的訪問行為,。

第二十三條會計師事務(wù)所應(yīng)當(dāng)擁有其審計業(yè)務(wù)系統(tǒng)中網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備的自主管理權(quán)限,，統(tǒng)一設(shè)置,、維護(hù)系統(tǒng)管理員賬戶和工作人員賬戶，不得設(shè)置不受限制,、不受監(jiān)控的超級賬戶,，不得將管理員賬號交由第三方運(yùn)維機(jī)構(gòu)管理使用。

加入國際網(wǎng)絡(luò)的會計師事務(wù)所使用所在國際網(wǎng)絡(luò)的信息系統(tǒng)的,，應(yīng)當(dāng)采取必要措施,，使其符合國家數(shù)據(jù)安全法律、行政法規(guī)和本辦法的規(guī)定,，確保本所數(shù)據(jù)安全,。

第四章監(jiān)督檢查

第二十四條財政部和省級財政部門（以下統(tǒng)稱省級以上財政部門）與同級網(wǎng)信部門、公安機(jī)關(guān),、國家安全機(jī)關(guān)加強(qiáng)會計師事務(wù)所數(shù)據(jù)安全監(jiān)管信息共享,。

第二十五條省級以上財政部門、省級以上網(wǎng)信部門對會計師事務(wù)所數(shù)據(jù)安全情況開展監(jiān)督檢查,。公安機(jī)關(guān),、國家安全機(jī)關(guān)依法在職責(zé)范圍內(nèi)承擔(dān)會計師事務(wù)所數(shù)據(jù)安全監(jiān)管職責(zé)。

第二十六條對于承接金融,、能源,、電信、交通,、科技,、國防科工等重要領(lǐng)域?qū)徲嫎I(yè)務(wù)且符合本辦法第二條規(guī)定范圍的會計師事務(wù)所,，省級以上財政部門在監(jiān)督檢查工作中予以重點關(guān)注，并持續(xù)加強(qiáng)日常監(jiān)管,。

第二十七條會計師事務(wù)所對于依法實施的數(shù)據(jù)安全監(jiān)督檢查,，應(yīng)當(dāng)予以配合，不得拒絕,、拖延,、阻撓。

第二十八條會計師事務(wù)所開展數(shù)據(jù)處理活動,，影響或者可能影響國家安全的,，應(yīng)當(dāng)按照國家安全審查機(jī)制進(jìn)行安全審查。

第二十九條相關(guān)部門在履行數(shù)據(jù)安全監(jiān)管職責(zé)中,，發(fā)現(xiàn)會計師事務(wù)所開展數(shù)據(jù)處理活動存在較大安全風(fēng)險的,，可以對會計師事務(wù)所及其責(zé)任人采取約談、責(zé)令限期整改等監(jiān)管措施,，消除隱患,。

第三十條會計師事務(wù)所及相關(guān)人員違反本辦法規(guī)定的，應(yīng)當(dāng)按照《中華人民共和國注冊會計師法》,、《中華人民共和國網(wǎng)絡(luò)安全法》,、《中華人民共和國數(shù)據(jù)安全法》,、《中華人民共和國個人信息保護(hù)法》等法律,、行政法規(guī)的規(guī)定予以處理處罰；涉及其他部門職責(zé)權(quán)限的,，依法移送有關(guān)主管部門處理,；構(gòu)成犯罪的，移送司法機(jī)關(guān)依法追究刑事責(zé)任,。

第三十一條相關(guān)部門工作人員在履行會計師事務(wù)所數(shù)據(jù)安全監(jiān)管職責(zé)過程中,，玩忽職守、濫用職權(quán),、徇私舞弊的,，依法追究法律責(zé)任。

第五章附則

第三十二條會計師事務(wù)所及相關(guān)人員開展涉及國家秘密的數(shù)據(jù)處理活動,，適用《中華人民共和國保守國家秘密法》等法律,、行政法規(guī)的規(guī)定。

第三十三條會計師事務(wù)所及相關(guān)人員開展其他涉及個人信息的數(shù)據(jù)處理活動,，應(yīng)當(dāng)遵守有關(guān)法律,、行政法規(guī)的規(guī)定。

第三十四條會計師事務(wù)所可以參照本辦法加強(qiáng)對非審計業(yè)務(wù)數(shù)據(jù)的管理,。

第三十五條本辦法由財政部,、國家網(wǎng)信辦負(fù)責(zé)解釋,。

第三十六條本辦法自2024年10月1日起施行。