据财政部网站消息,为贯彻落实数据安全法、网络安全法等相关法律的要求,加强会计师事务所数据安全管理,规范会计师事务所数据处理活动,财政部、国家网信办联合起草了《会计师事务所数据安全管理暂行办法(征求意见稿)》(以下简称《办法》)。
《办法》共5章36条。第一部分为总则,主要包括制定依据、适用范围、责任主体、监管机构、行业自律等内容。第二部分为数据管理,包括总体责任、责任人员、数据分级分类、数据管理、数据存储、数据传输管理、数据加密管理、数据备份、业务约定书、技术保护手段、日常安全监测、监管合作、出境底稿内部管理等内容。第三部分为网络管理,主要包括网络管理制度、资源投入、系统账户管理等内容。第四部分为监督检查,包括信息共享、日常检查、重点检查对象、配合检查义务、网络安全审查机制、行政管理措施、行政处罚、移送处理等内容。第五部分为附则,包括涉密信息处理、个人信息处理、其他业务、解释部门、实施日期等内容。
《办法》立足规范会计师事务所数据安全管理,重点从以下方面进行了设计:
明确适用范围、数据定义和各方主体。《办法》的适用范围是在中国境内依法设立并为上市公司以及非上市的国有金融机构、中央企业等提供审计服务,或者开展跨境审计的会计师事务所及其从业人员。数据是指会计师事务所执行审计业务过程中,从外部获取和内部生成的任何以电子或者其他方式对信息的记录。会计师事务所承担本机构的数据安全主体责任。财政部门和网信部门是会计师事务所数据安全的监管机构。注册会计师协会是会计师事务所数据安全的自律管理主体。
加强会计师事务所数据管理。在规定了总体责任和责任人员的基础上,《办法》要求会计师事务所对数据区分核心数据、重要数据、一般数据进行分级分类管理。《办法》对数据传输、数据加密、数据备份等事项作出具体规定,对数据管理技术手段、数据存储方式、日志管理等提出具体要求。会计师事务所应当综合采取网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测等技术手段加强数据管理,相关数据应当存储境内。《办法》同时对跨境审计监管中涉及的数据出境事项作出规范。
完善会计师事务所网络保障。《办法》明确,会计师事务所应当建立完善的网络管理治理架构,建立健全内部网络管理制度体系,按照业务活动规模及复杂程度配置具备相关职业技能水平的网络管理技术人员,确保合理的网络资源投入和资金投入。针对部分会计师事务所网络安全管理不严的问题,《办法》要求会计师事务所设置严格的访问控制策略,统一管理各类账户,不得设置不受限制的超级账户,防范未经授权的访问行为。
加强监督检查。《办法》与《会计师事务所监督检查办法》衔接,明确财政部门、网信部门开展会计师事务所数据安全检查及重点检查内容。对于承接金融、能源、通信、交通、科技、国防科工等重要领域审计业务较多的会计师事务所,将开展全覆盖监督检查,并持续加强日常监管。特定情况下,可以启动对会计师事务所的网络安全审查机制。考虑到数据安全检查有一定专业性,《办法》规定,相关部门可以委托有关专业机构采用专业手段协助开展监督检查。《办法》落实法律责任,规定对于违法违规行为,相关部门根据《中华人民共和国数据安全法》相关规定依法作出处理处罚。