财政部 國家網信辦關于印發《會計師事務所資料安全管理暫行辦法》的通知

各省、自治區、直轄市财政廳（局）、網信辦，新疆生産建設兵團财政局、網信辦，深圳市财政局：

為貫徹落實《國務院辦公廳關于進一步規範财務審計秩序 促進注冊會計師行業健康發展的意見》（國辦發〔2021〕30号）有關要求，加強會計師事務所資料安全管理，規範會計師事務所資料處理活動，我們制定了《會計師事務所資料安全管理暫行辦法》，現予印發，請遵照執行。

附件：會計師事務所資料安全管理暫行辦法

财政部　國家網際網路資訊辦公室

2024年4月15日

會計師事務所

資料安全管理暫行辦法

第一章 總則

第一條 為保障會計師事務所資料安全，規範會計師事務所資料處理活動，根據《中華人民共和國注冊會計師法》、《中華人民共和國網絡安全法》、《中華人民共和國資料安全法》、《中華人民共和國個人資訊保護法》等法律法規，制定本辦法。

第二條 在中華人民共和國境内依法設立的會計師事務所開展下列審計業務相關資料處理活動的，适用本辦法：

（一）為上市公司以及非上市的國有金融機構、中央企業等提供審計服務的；

（二）為關鍵資訊基礎設施營運者或者超過100萬使用者的網絡平台營運者提供審計服務的；

（三）為境内企業境外上市提供審計服務的。

會計師事務所從事的審計業務不屬于前款規定的範圍，但涉及重要資料或者核心資料的，适用本辦法。

第三條 本辦法所稱資料，是指會計師事務所執行審計業務過程中，從外部擷取和内部生成的任何以電子或者其他方式對資訊的記錄。

資料安全，是指通過采取必要措施，確定資料處于有效保護和合法利用的狀态，以及具備保障持續安全狀态的能力。

第四條 會計師事務所承擔本所的資料安全主體責任，履行資料安全保護義務。

第五條 财政部負責全國會計師事務所資料安全監管工作，省級（含深圳市、新疆生産建設兵團）财政部門負責本行政區域内會計師事務所資料安全監管工作。

第六條 注冊會計師協會應當加強行業自律，指導會計師事務所加強資料安全保護，提高資料安全管理水準。

第二章 資料管理

第七條 會計師事務所應當在下列方面履行本所資料安全管理責任：

（一）建立健全資料全生命周期安全管理制度，完善資料營運和管控機制；

（二）健全資料安全管理組織架構，明确資料安全管理權責機制；

（三）實施與業務特點相适應的資料分類分級管理；

（四）建立資料權限管理政策，按照最小授權原則設定資料通路和處理權限，定期複核并按有關規定保留資料通路記錄；

（五）組織開展資料安全教育教育訓練；

（六）法律法規規定的其他事項。

第八條 會計師事務所的首席合夥人（主任會計師）是本所資料安全負責人。

第九條 會計師事務所應當按照法律、行政法規的規定和被審計機關所處行業資料分類分級标準确定核心資料、重要資料和一般資料。

會計師事務所和被審計機關應當通過業務約定書、确認函等方式明确審計資料中核心資料和重要資料的性質、内容和範圍等。

第十條 會計師事務所對核心資料、重要資料的存儲處理，應當符合國家相關規定。

存儲核心資料的資訊系統要落實四級網絡安全等級保護要求。存儲重要資料的資訊系統要落實三級及以上網絡安全等級保護要求。

資料彙聚、關聯後屬于國家秘密事項的，應當依照有關保守國家秘密的法律、行政法規規定處理。

第十一條 會計師事務所應當對審計業務相關的資訊系統、資料庫、網絡裝置、網絡安全裝置等設定并啟用通路日志記錄功能。

涉及核心資料的，相關日志留存時間不少于三年。涉及重要資料的，相關日志留存時間不少于一年；涉及向他人提供、委托處理、共同處理重要資料的相關日志留存時間不少于三年。

第十二條 會計師事務所應當明确資料傳輸操作規程。核心資料、重要資料傳輸過程中應當采用加密技術，保護傳輸安全。

第十三條 審計工作底稿應當按照法律、行政法規和國家有關規定存儲在境内。相關加密裝置應當設定在境内并由境内團隊負責運作維護，密鑰應當存儲在境内。

第十四條 會計師事務所應當建立資料備份制度。會計師事務所應當確定在審計相關應用系統因外部技術原因被停止使用、被限制使用等情況下，仍能通路、調取、使用相關審計工作底稿。

第十五條 會計師事務所不得在業務約定書或者類似合同中包含會計師事務所向境外監管機構提供境内項目資料資料等類似條款。

第十六條 會計師事務所應當采用網絡隔離、使用者認證、通路控制、資料加密、病毒防範、非法入侵檢測等技術手段，及時識别、阻斷和溯源相關網絡攻擊和非法通路，保障資料安全。

第十七條 會計師事務所應當建立資料安全應急處置機制，加強資料安全風險監測。發現資料外洩、安全漏洞等風險的，應當立即采取補救、處置措施。發生重大資料安全事件，導緻核心資料或者重要資料洩露、丢失或者被竊取、篡改的，應當及時向有關主管部門報告。

第十八條 會計師事務所向境外提供其在境内營運中收集和産生的個人資訊和重要資料的，應當遵守國家資料出境管理有關規定。

第十九條 會計師事務所對于審計工作底稿出境事項應當建立逐級複核機制，采取必要措施嚴格落實資料安全管控責任。對于需要出境的審計工作底稿，按照國家有關規定辦理審批手續。

第三章 網絡管理

第二十條 會計師事務所應當建立完善的網絡安全管理治理架構，建立健全内部網絡安全管理制度體系，建立内部決策、管理、執行和監督機制，確定網絡安全管理能力與提供的專業服務相适應，為資料安全管理工作提供安全的網絡環境。

第二十一條 會計師事務所應當按照業務活動規模及複雜程度配置具備相應職業技能水準的網絡管理技術人員，確定合理的網絡資源投入和資金投入。

第二十二條 會計師事務所應當做好資訊系統安全管理和技術防護，根據存儲、處理資料的級别采取相應的網絡實體隔離或者邏輯隔離等措施，設定嚴格的通路控制政策，防範未經授權的通路行為。

第二十三條 會計師事務所應當擁有其審計業務系統中網絡裝置、網絡安全裝置的自主管理權限，統一設定、維護系統管理者賬戶和從業人員賬戶，不得設定不受限制、不受監控的超級賬戶，不得将管理者賬号交由第三方運維機構管理使用。

加入國際網絡的會計師事務所使用所在國際網絡的資訊系統的，應當采取必要措施，使其符合國家資料安全法律、行政法規和本辦法的規定，確定本所資料安全。

第四章 監督檢查

第二十四條 财政部和省級财政部門（以下統稱省級以上财政部門）與同級網信部門、公安機關、國家安全機關加強會計師事務所資料安全監管資訊共享。

第二十五條 省級以上财政部門、省級以上網信部門對會計師事務所資料安全情況開展監督檢查。公安機關、國家安全機關依法在職責範圍内承擔會計師事務所資料安全監管職責。

第二十六條 對于承接金融、能源、電信、交通、科技、國防科工等重要領域審計業務且符合本辦法第二條規定範圍的會計師事務所，省級以上财政部門在監督檢查工作中予以重點關注，并持續加強日常監管。

第二十七條 會計師事務所對于依法實施的資料安全監督檢查，應當予以配合，不得拒絕、拖延、阻撓。

第二十八條 會計師事務所開展資料處理活動，影響或者可能影響國家安全的，應當按照國家安全審查機制進行安全審查。

第二十九條 相關部門在履行資料安全監管職責中，發現會計師事務所開展資料處理活動存在較大安全風險的，可以對會計師事務所及其責任人采取約談、責令限期整改等監管措施，消除隐患。

第三十條 會計師事務所及相關人員違反本辦法規定的，應當按照《中華人民共和國注冊會計師法》、《中華人民共和國網絡安全法》、《中華人民共和國資料安全法》、《中華人民共和國個人資訊保護法》等法律、行政法規的規定予以處理處罰；涉及其他部門職責權限的，依法移送有關主管部門處理；構成犯罪的，移送司法機關依法追究刑事責任。

第三十一條 相關部門從業人員在履行會計師事務所資料安全監管職責過程中，玩忽職守、濫用職權、徇私舞弊的，依法追究法律責任。

第五章 附則

第三十二條 會計師事務所及相關人員開展涉及國家秘密的資料處理活動，适用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。

第三十三條 會計師事務所及相關人員開展其他涉及個人資訊的資料處理活動，應當遵守有關法律、行政法規的規定。

第三十四條 會計師事務所可以參照本辦法加強對非審計業務資料的管理。

第三十五條 本辦法由财政部、國家網信辦負責解釋。

第三十六條 本辦法自2024年10月1日起施行。