Search:
在数字化时代,数据安全已成为企业运营中的重要议题,特别是对于处理大量敏感财务信息的会计师事务所而言,数据安全管理尤为重要。近期,中国财政部、国家互联网信息办公室印发《会计师事务所数据安全管理暂行办法》(简称“《暂行办法》”),自2024年10月1日起施行。《暂行办法》旨在为会计师事务所的数据安全管理提供明确的指引,加强数据安全管理,促进行业健康发展。本文就其内容进行简要解读。
1.《暂行办法》明确了适用对象
在中华人民共和国境内依法设立的会计师事务所开展下列审计业务相关数据处理活动的,应当适用《办法》的规定:(一)为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的;(二)为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务的;(三)为境内企业境外上市提供审计服务的。会计师事务所从事的审计业务不属于前款规定的范围,但涉及重要数据或者核心数据的,同样适用《暂行办法》。
2.会计师事务所应对数据进行分类分级管理
《暂行办法》要求会计师事务所应按照相关法律法规的规定和被审计单位所处行业数据分类分级的标准,确定核心数据、重要数据和一般数据,并对核心数据和重要数据的存储、相关日志、传输等作出明确要求。被审计单位有义务通过业务约定书、确认函等方式告知会计师事务所审计资料中的核心数据和重要数据相关信息。
| 重要数据 | 核心数据 | 一般数据 | |
| 数据存储 | 存储重要数据的信息系统要落实三级及以上网络安全等级保护要求 | 存储核心数据的信息系统要落实四级网络安全等级保护要求 | 《暂行办法》未做要求 |
| 日志管理 | 涉及重要数据的相关日志,留存时间不少于一年,其中向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年 | 涉及核心数据的相关日志,留存时间不少于三年 |
3.审计工作底稿应存放在中国境内
《暂行办法》规定,会计师事务所审计工作底稿应按相关规定存放在境内。会计师事务所不得在业务约定书或类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。境外监管机构因监管需要确需调取境内审计工作底稿的,应通过相应的跨境监管合作机制依法依规获取,相应审计工作底稿出境应当办理审批手续。会计师事务所对审计工作底稿出境事项应当建立逐级复核机制,落实数据安全管控责任。
4.会计师事务所应强化网络安全管理和建立数据备份制度
《暂行办法》对会计师事务所在建立内部网络安全管理制度、网络管理资源投入、网络安全技术防护、网络管理账户权限等方面做出了具体要求,做好信息系统安全管理和技术防护,设置严格的访问控制策略,防范未经授权的访问行为。
此外,会计师事务所应建立数据备份制度,确保在审计相关应用系统因外部技术原因被停止使用、被限制使用等情况下,仍能访问、调取、使用相关审计工作底稿。加密设备应当设置在境内并由境内团队负责运行维护,密钥应当存储在境内。
综上,《暂行办法》进一步规范了会计师事务所的数据处理活动,特别是针对审计底稿跨境流动的监管,强化了数据安全管理要求。会计师事务所在提供会计服务的同时,应结合自身的业务实际情况开展数据合规工作,确保业务处理活动合规进行。
Continue Reading
