会计师事务所数据安全管理暂行办法起草说明.docx

《会计师事务所数据安全管理暂行办法起草说明.docx》由会员分享，可在线阅读，更多相关《会计师事务所数据安全管理暂行办法起草说明.docx（4页珍藏版）》请在第一文库网上搜索。

1、附件2会计师事务所数据安全管理暂行办法起草说明为贯彻落实国务院办公厅关于进一步规范财务审计秩序促进注册会计师行业健康发展的意见（国办发（2023）30号）的要求，加强会计师事务所数据安全管理，规范会计师事务所数据处理活动，财政部会同国家网信办研究起草了会计师事务所数据安全管理暂行办法（征求意见稿）（以下简称办法）。现将有关情况说明如下：一、总体考虑办法定位为会计师事务所数据安全管理顶层设计，一是全面对接数据安全法要求。在注册会计师行业对国家数据安全管理制度进行细化，明确落实数据分级分类管理制度、各类数据处理要求、数据安全保护义务等法律规定，为行业数据安全监管提供制度保障。二是构建注册会计师行业

2、数据安全监管体系。明确财政部、国家网信办、地方财政部门、地方网信部门和注册会计师协会等各方面的职责范围，建立权责一致的工作机制。三是明确数据管理要求。根据注册会计师行业的实际情况，明确了会计师事务所数据管理的主要内容、责任人员、管理要求、网络防护等要求，指导行业健全数据安全管理和技术保护措施，履行保护义务。二、主要内容办法共5章36条。第一部分为总则，主要包括制定依据、适用范围、责任主体、监管机构、行业自律等内容。第二部分为数据管理，包括总体责任、责任人员、数据分级分类、数据管理、数据存储、数据传输管理、数据加密管理、数据备份、业务约定书、技术保护手段、日常安全监测、监管合作、出境底稿内部管理

3、等内容。第三部分为网络管理,主要包括网络管理制度、资源投入、系统账户管理等内容。第四部分为监督检查，包括信息共享、日常检查、重点检查对象、配合检查义务、网络安全审查机制、行政管理措施、行政处罚、移送处理等内容。第五部分为附则，包括涉密信息处理、个人信息处理、其他业务、解释部门、实施日期等内容。三、重点问题的说明办法立足规范会计师事务所数据安全管理，重点从以下方面进行了设计：一是明确适用范围、数据定义和各方主体。办法的适用范围是在中国境内依法设立并为上市公司以及非上市的国有金融机构、中央企业等提供审计服务,或者开展跨境审计的会计师事务所及其从业人员。数据是指会计师事务所执行审计业务过程中，从外部

4、获取和内部生成的任何以电子或者其他方式对信息的记录。会计师事务所承担本机构的数据安全主体责任。财政部门和网信部门是会计师事务所数据安全的监管机构。注册会计师协会是会计师事务所数据安全的自律管理主体。二是加强会计师事务所数据管理。在规定了总体责任和责任人员的基础上，办法要求会计师事务所对数据区分核心数据、重要数据、一般数据进行分级分类管理。办法对数据传输、数据加密、数据备份等事项作出具体规定，对数据管理技术手段、数据存储方式、日志管理等提出具体要求。会计师事务所应当综合采取网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测等技术手段加强数据管理，相关数据应当存储境内。办法同时对跨境审

5、计监管中涉及的数据出境事项作出规范。三是完善会计师事务所网络保障。办法明确，会计师事务所应当建立完善的网络管理治理架构，建立健全内部网络管理制度体系，按照业务活动规模及复杂程度配置具备相关职业技能水平的网络管理技术人员，确保合理的网络资源投入和资金投入。针对部分会计师事务所网络安全管理不严的问题，办法要求会计师事务所设置严格的访问控制策略,统一管理各类账户，不得设置不受限制的超级账户，防范未经授权的访问行为。四是加强监督检查。办法与会计师事务所监督检查办法衔接，明确财政部门、网信部门开展会计师事务所数据安全检查及重点检查内容。对于承接金融、能源、通信、交通、科技、国防科工等重要领域审计业务较多的会计师事务所，将开展全覆盖监督检查，并持续加强日常监管。特定情况下，可以启动对会计师事务所的网络安全审查机制。考虑到数据安全检查有一定专业性，办法规定，相关部门可以委托有关专业机构采用专业手段协助开展监督检查。办法落实法律责任，规定对于违法违规行为，相关部门根据中华人民共和国数据安全法相关规定依法作出处理处罚。