關于印發《會計師事務所資料安全管理暫行辦法》的通知
财會〔2024〕6号
各省、自治區、直轄市财政廳(局)、網信辦,新疆生産建設兵團财政局、網信辦,深圳市财政局:
為貫徹落實《》(國辦發〔2021〕30号)有關要求,加強會計師事務所資料安全管理,規範會計師事務所資料處理活動,我們制定了《會計師事務所資料安全管理暫行辦法》,現予印發,請遵照執行。
附件:會計師事務所資料安全管理暫行辦法
财政部 國家網際網路資訊辦公室
2024年4月15日
财政部、國家網信辦有關負責人就印發《會計師事務所資料安全管理暫行辦法》答記者問
2024年5月10日 來源:會計司
近日,财政部、國家網信辦聯合印發《會計師事務所資料安全管理暫行辦法》(财會〔2024〕6号,以下簡稱《暫行辦法》),自2024年10月1日起施行。财政部、國家網信辦有關負責人就《暫行辦法》有關問題回答了記者的提問。
問:制定《暫行辦法》的背景與意義是什麼?
答:一是落實相關法律要求。《暫行辦法》全面落實網絡安全法、資料安全法、個人資訊保護法等法律要求,是在注冊會計師行業對國家網絡和資料安全管理相關規定的細化,為會計師事務所開展資料安全管理活動提供依據,有利于推動注冊會計師行業資料安全管理工作制度化、規範化。
二是落實國務院有關檔案要求。《國務院辦公廳關于進一步規範财務審計秩序促進注冊會計師行業健康發展的意見》(國辦發〔2021〕30号)強調,要加快推進注冊會計師行業基礎制度建設,及時跟進健全相關制度規定。《暫行辦法》順應數字經濟發展趨勢,進一步完善了注冊會計師行業基礎制度體系。
三是落實财會監督有關要求。《暫行辦法》建構了橫向協同、縱向關聯的行業資料安全監管機制,明确财政部門、網信部門、公安機關、國家安全機關等各方職責,確定有效銜接,加強資訊共享,推動實作跨地區、跨部門、跨層級協同監管。
問:《暫行辦法》制訂經曆了哪些過程?
答:在深入分析注冊會計師行業資料安全管理現狀和需求的基礎上,财政部會同國家網信辦起草了《暫行辦法》初稿,并對部分會計師事務所開展實地調研,組織會計師事務所和資料安全專家專題讨論,形成《暫行辦法》征求意見稿。
2023年11月,兩部門聯合面向地方财政部門、網信部門、會計師事務所和社會公衆公開征求意見。回報意見總體認為,《暫行辦法》内容全面、條理清晰、指導性強,有助于加強會計師事務所資料安全管理,規範會計師事務所資料處理活動。同時,部分回報意見提出了一些具體的修改意見。我們對所有回報意見進行了認真梳理,并充分吸收采納,在反複研讨、征求相關部門意見的基礎上,對征求意見稿進行了修改完善。
問:《暫行辦法》主要内容是什麼?
答:《暫行辦法》主要包括五方面内容,一是總則,主要明确制定依據、适用對象、責任主體;二是資料管理,主要包括總體責任、責任人員、資料分類分級、日志管理、資料傳輸管理、資料加密管理、資料備份、業務約定書、技術保護手段、日常安全監測、資料出境等内容;三是網絡管理,主要包括網絡管理制度、資源投入、通路控制、系統賬戶管理等内容;四是監督檢查,主要包括資訊共享、日常檢查、重點檢查對象、安全審查、行政監管措施、行政處罰等内容;五是附則。
從具體内容看,主要對六方面内容進行了規範:
一是明确适用對象。《暫行辦法》主要适用于境内依法設立的會計師事務所開展的審計業務相關資料處理活動,包括為上市公司以及非上市的國有金融機構或中央企業等提供審計服務;為關鍵資訊基礎設施營運者或者超過100萬使用者的網絡平台營運者提供審計服務;為境内企業境外上市提供審計服務。會計師事務所未從事前述三類業務,但審計業務涉及重要資料或者核心資料,也應根據《暫行辦法》進行資料處理活動。資料包括會計師事務所執行審計業務過程中從外部擷取和内部生成的任何以電子或者其他方式對資訊的記錄。
二是規範資料分類分級。《暫行辦法》要求會計師事務所應按照相關法律法規的規定和被審計機關所處行業資料分類分級的标準,确定核心資料、重要資料和一般資料,并對核心資料和重要資料的存儲、相關日志、傳輸等作出明确要求。被審計機關有義務通過業務約定書、确認函等方式告知會計師事務所審計資料中的核心資料和重要資料相關資訊。在資料存儲上,存儲重要資料的資訊系統要落實三級及以上網絡安全等級保護要求,存儲核心資料的資訊系統要落實四級網絡安全等級保護要求。在日志管理上,要求涉及核心資料的相關日志,留存時間不少于三年,涉及重要資料的相關日志,留存時間不少于一年,其中向他人提供、委托處理、共同處理重要資料的相關日志留存時間不少于三年。涉及一般資料,按照國家相關規定處理,《暫行辦法》不作特别要求。
三是規範底稿管理。截至目前,大陸有35家會計師事務所加入或建立了28個國際會計網絡,行業對外交流合作日益密切。《暫行辦法》規定,會計師事務所審計工作底稿應按相關規定存放在境内。會計師事務所不得在業務約定書或類似合同中包含會計師事務所向境外監管機構提供境内項目資料資料等類似條款。境外監管機構因監管需要确需調取境内審計工作底稿的,應通過相應的跨境監管合作機制依法依規擷取,相應審計工作底稿出境應當辦理審批手續。會計師事務所對審計工作底稿出境事項應當建立逐級複核機制,落實資料安全管控責任。
四是強化網絡管理。《暫行辦法》對會計師事務所在建立内部網絡安全管理制度、網絡管理資源投入、網絡安全技術防護、網絡管理賬戶權限等方面做出具體要求,指導會計師事務所為資料安全管理工作提供安全的網絡環境。會計師事務所應當建章立制并有效執行,確定網絡安全管理能力與提供的專業服務相适應;做好資訊系統安全管理和技術防護,設定嚴格的通路控制政策,防範未經授權的通路行為。
五是聚焦安全可控。《暫行辦法》要求會計師事務所建立資料備份制度,確定在審計相關應用系統因外部技術原因被停止使用、被限制使用等情況下,仍能通路、調取、使用相關審計工作底稿。加密裝置應當設定在境内并由境内團隊負責運作維護,密鑰應當存儲在境内。會計師事務所應當擁有其審計業務系統中網絡裝置、網絡安全裝置的自主管理權限,統一設定、維護系統管理者賬戶和從業人員賬戶,不得設定不受限制、不受監控的超級賬戶,不得将管理者賬号交由第三方運維機構管理使用。
六是壓實監管責任。《暫行辦法》明确了财政部門、網信部門、公安機關、國家安全機關對會計師事務所資料安全的監管職責。省級以上财政部門、省級以上網信部門對會計師事務所開展監督檢查,公安機關、國家安全機關依法在職責範圍内承擔會計師事務所資料安全監管職責。會計師事務所對于依法實施的資料安全監督檢查,應當予以配合。
問:如何做好《暫行辦法》的貫徹落實?
答:一是加大宣傳和指導力度。各級财政部門、網信部門要高度重視,積極宣傳,指導會計師事務所建立健全資料安全管理制度并確定有效實施,切實提升會計師事務所資料安全管理水準。二是加大監督檢查力度。各相關部門應根據監管職責,落實會計師事務所資料安全管理日常監管、重點檢查、安全審查等有關要求,對存在違規行為的會計師事務所要依法嚴肅處理。三是加強協同配合。各相關部門應加強監管資訊共享,加強溝通協調,健全完善工作機制,形成工作合力,認真做好貫徹實施《暫行辦法》的各項工作。
來源:财政部。圖檔來源:unsplash。本文内容僅供一般參考用,均不視為正式的審計、會計、稅務或其他建議,我們不能保證這些資料在日後仍然準确。任何人士不應在沒有詳細考慮相關的情況及擷取适當的專業意見下依據所載内容行事。本号所轉載的文章,僅供學術交流之用。文章或資料的原文版權歸原作者或原版權人所有,我們尊重版權保護。如有問題請聯系我們,謝謝!