导读
NEWS
2024年5月10日,财政部、国家网信办联合印发《会计师事务所数据安全管理暂行办法》(以下简称“《暂行办法》”),自2024年10月1日起施行。
《暂行办法》分为总则、数据管理、网络管理、监督检查及附则五章,共36条,为会计师事务所数据安全管理的顶层设计。与此前发布的征求意见稿相比,《暂行办法》在立法依据内新增《中华人民共和国个人信息保护法》,对适用范围进行了扩充及调整,纳入为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务及涉及处理重要数据及核心数据的会计师事务所,将“开展跨境审计业务”调整为“为境内企业境外上市提供审计服务”,并对数据管理、网络管理等义务进行了整体调整。
具体而言,《暂行办法》第2条明确其适用于:
(1)在中国境内依法设立并为上市公司以及非上市的国有金融机构、中央企业,关键信息基础设施运营者或超过100万用户的网络平台运营者提供审计服务,或为境内企业境外上市提供审计服务的会计师事务所;
(2)涉及重要数据或者核心数据的会计师事务所。
其中,根据《暂行办法》第3条,数据包括会计师事务所执行审计业务过程中,从外部获取和内部生成的任何以电子或者其他方式对信息的记录。
符合前述适用条件之一且承接金融、能源、电信、交通、科技、国防科工等重要领域审计业务的会计师事务所将被省级以上财政部门重点监管。(第26条)会计师事务所也可参照《暂行办法》加强对非审计业务数据的管理。(第34条)
根据《暂行办法》,相关会计师事务所应重点关注履行如下义务。
(1)建立健全数据全生命周期安全管理制度,完善数据运营和管控机制,包括建立数据备份制度、明确数据传输操作规程,明确数据本地化及跨境传输的相关要求,如:
*审计工作底稿及密钥本地化:加密设备应当设置在境内并由境内团队负责运行维护,审计工作底稿及密钥应存储在境内;(第13条)
*合同条款限制:不得在业务约定书或者类似合同中包含向境外监管机构提供境内项目资料数据等类似条款;(第15条)
*审计工作底稿出境审批:正式稿删除了征求意见稿中“审计工作底稿及相关数据不得在境外备份”等要求,但仍规定审计工作底稿出境事项应当建立逐级复核机制,按照国家有关规定办理审批手续。(第19条)
(2)健全数据安全管理组织架构,明确数据安全管理权责机制,其中,首席合伙人(主任会计师)为数据安全负责人。(第7、8条)
(3)实施与业务特点相适应的数据分类分级管理:
按照法律、行政法规的规定和被审计单位所处行业数据分类分级标准确定核心数据、重要数据和一般数据,与被审计单位通过业务约定书、确认函等方式明确所涉核心数据、重要数据的性质、内容和范围;(第9条)
基于数据类型与级别差异化管理数据,如在数据存储上,存储核心数据的信息系统满足四级网络安全等级保护要求,存储重要数据的信息系统满足三级网络安全等级保护要求;(第10条)在日志管理上,涉及核心数据或重要数据交互的相关日志留存不少于三年,涉及重要数据的相关日志留存不少于一年。(第11条)
(4)建立数据权限管理策略,按照最小授权原则设置数据访问和处理权限,定期复核并按有关规定保留数据访问记录。(第7、16条)
(5)采取技术手段识别数据安全风险,建立数据安全应急处置机制,发生重大数据安全事件,导致核心数据或者重要数据泄露、丢失或者被窃取、篡改的,应及时报告有关主管部门。(第16、17条)
(6)组织开展数据安全教育培训。(第7条)
(7)建立完善的网络安全管理治理架构及相关制度、机制,为数据安全管理工作提供安全的网络环境,包括不得设置不受限制、不受监控的超级账户,不得将管理员账号交由第三方运维机构管理使用。(第20-23条)
会计师事务所及相关人员违反《暂行办法》的,将按照《中华人民共和国注册会计师法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处理处罚。(第30条)如开展数据处理活动,影响或者可能影响国家安全的,还可能触发国家安全审查。(第28条)
正文
Regulations





NEWS
2024年5月10日,财政部、国家网信办联合印发《会计师事务所数据安全管理暂行办法》(以下简称“《暂行办法》”),自2024年10月1日起施行。
《暂行办法》分为总则、数据管理、网络管理、监督检查及附则五章,共36条,为会计师事务所数据安全管理的顶层设计。与此前发布的征求意见稿相比,《暂行办法》在立法依据内新增《中华人民共和国个人信息保护法》,对适用范围进行了扩充及调整,纳入为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务及涉及处理重要数据及核心数据的会计师事务所,将“开展跨境审计业务”调整为“为境内企业境外上市提供审计服务”,并对数据管理、网络管理等义务进行了整体调整。
具体而言,《暂行办法》第2条明确其适用于:
(1)在中国境内依法设立并为上市公司以及非上市的国有金融机构、中央企业,关键信息基础设施运营者或超过100万用户的网络平台运营者提供审计服务,或为境内企业境外上市提供审计服务的会计师事务所;
(2)涉及重要数据或者核心数据的会计师事务所。
其中,根据《暂行办法》第3条,数据包括会计师事务所执行审计业务过程中,从外部获取和内部生成的任何以电子或者其他方式对信息的记录。
符合前述适用条件之一且承接金融、能源、电信、交通、科技、国防科工等重要领域审计业务的会计师事务所将被省级以上财政部门重点监管。(第26条)会计师事务所也可参照《暂行办法》加强对非审计业务数据的管理。(第34条)
根据《暂行办法》,相关会计师事务所应重点关注履行如下义务。
(1)建立健全数据全生命周期安全管理制度,完善数据运营和管控机制,包括建立数据备份制度、明确数据传输操作规程,明确数据本地化及跨境传输的相关要求,如:
*审计工作底稿及密钥本地化:加密设备应当设置在境内并由境内团队负责运行维护,审计工作底稿及密钥应存储在境内;(第13条)
*合同条款限制:不得在业务约定书或者类似合同中包含向境外监管机构提供境内项目资料数据等类似条款;(第15条)
*审计工作底稿出境审批:正式稿删除了征求意见稿中“审计工作底稿及相关数据不得在境外备份”等要求,但仍规定审计工作底稿出境事项应当建立逐级复核机制,按照国家有关规定办理审批手续。(第19条)
(2)健全数据安全管理组织架构,明确数据安全管理权责机制,其中,首席合伙人(主任会计师)为数据安全负责人。(第7、8条)
(3)实施与业务特点相适应的数据分类分级管理:
按照法律、行政法规的规定和被审计单位所处行业数据分类分级标准确定核心数据、重要数据和一般数据,与被审计单位通过业务约定书、确认函等方式明确所涉核心数据、重要数据的性质、内容和范围;(第9条)
基于数据类型与级别差异化管理数据,如在数据存储上,存储核心数据的信息系统满足四级网络安全等级保护要求,存储重要数据的信息系统满足三级网络安全等级保护要求;(第10条)在日志管理上,涉及核心数据或重要数据交互的相关日志留存不少于三年,涉及重要数据的相关日志留存不少于一年。(第11条)
(4)建立数据权限管理策略,按照最小授权原则设置数据访问和处理权限,定期复核并按有关规定保留数据访问记录。(第7、16条)
(5)采取技术手段识别数据安全风险,建立数据安全应急处置机制,发生重大数据安全事件,导致核心数据或者重要数据泄露、丢失或者被窃取、篡改的,应及时报告有关主管部门。(第16、17条)
(6)组织开展数据安全教育培训。(第7条)
(7)建立完善的网络安全管理治理架构及相关制度、机制,为数据安全管理工作提供安全的网络环境,包括不得设置不受限制、不受监控的超级账户,不得将管理员账号交由第三方运维机构管理使用。(第20-23条)
会计师事务所及相关人员违反《暂行办法》的,将按照《中华人民共和国注册会计师法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处理处罚。(第30条)如开展数据处理活动,影响或者可能影响国家安全的,还可能触发国家安全审查。(第28条)
正文
Regulations





