图解财政部、网信办 《会计师事务所数据安全管理暂行办法》 炼石网络2024年5月 炼石 CipherGatewoy 财政部、国家网信办联合印发《会计师事务所数据安全管理暂行办法》 炼石 ClpherGateway 中华人民共和国国家互联网信息办公室2024年5月10日,财政部、国家网信办联合印发《会计师事 AdninistraChiniCAC 务所数据安全管理暂行办法》(财会【2024]6号】,自 介首质★时改婴民回网信政务巴互动服务白热点专期2024年10月1日起施行,旨在保障会计师事务所数据安全: 加位营:营真>正交 财政部国家网信办关于印发《会计师事务所数据安全管理暂行办法》的通知 规范会计师事务所数据处理活动。 2024年05R10E17:20我国:中国网网《中华人民共和国注册会计师法》 会省、自治区、直诺市时政厅(易),用客力,新谨生产建设兵团财取局、同信力,深易市财政品1994年1月1日起施行 为责现署实(国务路办公厅关于进一专限范务审计获序优进注集合计师行业益速发股的事见》(国办发(2021)30号)有关更求, 项会计街事务净数联安全要理,联募会计部事务用股医处理活院,共仁源(实了(会计事务清数在安全要理量行办法》,学印发,请道易的 《中华人民共和国网络安全法 时件:会计始事务降数第安全暂理暂行办课 财政部国家互联信惠力公室 2024年4月15日 2017年6月1日起施行 《中华人民共和国数据安全法 2021年9月1日起施行 BerRFKS《中华人民共和国个人信息保护法》 2021年11月1日起施行 (会计师事务所数据安全管理暂行办法) 2 《会计师事务所数据安全管理暂行办法》背景与意义 炼石 CipherGatewo) 《办法》定位为会计师事务所数据安全管理顶层设计 为贯彻落实《国务院办公厅关于进一步规范财务审计秩序促进注册会计师行业健康发展的意见》(国办发[2021]】30号】 有关要求,加强会计师事务所数据安全管理,规范会计师事务所数据处理活动,特制定《暂行办法》。 ② 落实相关法律要求 落实国务院有关文件要求 落实财会监督有关要求 《暂行办法》全面落实网络安全法、数据安 国务院办公厅关于进一步规范财务审计秩 暂行办法》构建了横向协同、纵向联动的 全法、个人信息保护法等法律要求,是在注 序促进注册会计师行业健康发展的意见 行业数据安全监管机制,明确财政部门、网 册会计师行业对国家网络和数据安全管理相 (国办发【2021】30号)强调,要加快推 信部门、公安机关、国家安全机关等各方职 关规定的细化,为会计师事务所开展数据安 进注册会计师行业基础制度建设,及时跟进 责,确保有效衔接,加强信息共享,推动实 全管理活动提供依据,有利于推动注册会计 健全相关制度规定。《暂行办法》顺应数字 现跨地区、跨部门、跨层级协同监管。 师行业数据安全管理工作制度化、规范化。 经济发展趋势,进一步完善了注册会计师行 业基础制度体系。 《会计师事务所数据安全管理暂行办法》主要内容 炼石 CipherGateway 《暂行办法》共5章36条 总则 数据管理 网络管理 监督检查 附则 要明确制定依据、适主要包括总体责任、责主要包括网络管理制度、主要包括信息共享、日:包括涉密信息处理、个 用对象、责任主体; 任人员、数据分类分级、 资源投入、访问控制、 常检查、重点检查对象, 人信息处理、非审计业 日志管理、数据传输管 系统账户管理等内容; 安全审查、行政监管措 务数据管理、解释部门、 理、数据加密管理、数 据备份、业务约定书、 施、行政处罚等内容; 施行日期等内容。 技术保护手段、日常安 全监测、数据出境等内 容; 主 来源:财政部、国家网信办有关负责人就印发《会计师事务所数据安全管理暂行办法》答记者问 《会计师事务所数据安全管理暂行办法》规范六方面内容1 炼石 CipherGateway 明确适用对象规范数据分类分级规范底稿管理 ·适用范围:《暂行办法》主要适用于境内依法设立:分类分级:《暂行办法》要求会计师事务所应按照相关法,底稿境内存放:截至目前,我国有35家会计师事务的会计师事务所开展的审计业务相关数据处理活动,律法规的规定和被审计单位所处行业数据分类分级的标准,所加入或创建了28个国际会计网络,行业对外交流包括为上市公司以及非上币的国有金融机构或中央确定核心数据、重要数据和一假数据,并对核心数据和重合作日益密切。《暂行办法》规定,会计师事务所企业等提供审计服务:为关键信息基础设施运营者要数据的存储、相关日志、传撤等作出明确要求。审计工作底稿应按相关规定存放在境内。 或者超过100万用户的网络平台运营者提供审计服务::应尽义务:被审计单位有义务通过业务约定书、码认函等 为境内企业境外上市提供审计服务。方式告知会计师事务所审计资料中的核心数据和重要数据,业务约定书/合同:会计师事务所不得在业务约定书 或类似合同中包含会计师事务所向境外监管机构提 相关信息。 ·重要/核心数据:会计师事务所未从事前述三类业务,供境内项目资料数据等类似条款。 但审计业务涉及重要数据或者核心数据,也应根据,数据存储:存储重要数据的信息系统要落实三级及以上网 《暂行办法》进行数据处理活动。络安全等级保护要求,存储核心数据的信息系统要落实四跨境要求:境外监管机构因监管需要确需调取境内 级网络安全等级保护要求。审计工作底稿的,应通过相应的跨境监管合作机制 :关键定义:数据包括会计师事务所执行审计业务过 程中从外部获取和内部生成的任何以电子或者其他 日志管理:要求涉及核心数据的相关日志,留存时间不少 于三年,涉及重要数据的相关日志,留存对间不少于一年, 依法依规获取,相应审计工作底稿出境应当办理审 批手续。 方式对信息的记录。其中向他人提供、委托处理、共同处理重要政据的相关日,出境逐级复核机制:会计师事务所对审计工作底稿 志留存时间不少于三年。出境事项应当建立逐级复核机制,落实数据安全管 ,涉及一般数据:按照国家相关规定处理,《暂行办法》不控责任。作特别要求。 5 《会计师事务所数据安全管理暂行办法》规范六方面内容2 炼石 ClpherGateway 强化网络管理 聚焦安全可控 压实监管责任 ·网络管理:《暂行办法》对会计师事务所在建立内 ,备份机制:《暂行办法》要求会计师事务所建立数 ,监管职责:《暂行办法》明确了财政部门、网信部 部网络安全管理制度、网络管理资源投入、网络安 据备份制度,确保在审计相关应用系统因外部技术 门、公安机关、国家安全机关对会计师事务所数据 全技术防护、网络管理账户权限等方面做出具体要 原因被停止使用、被限制使用等情况下,仍能访问、 安全的监管职责。省级以上财政部门、省级以上网 求,指导会计师事务所为数据安全管理工作提供安 调取、使用相关审计工作底稿。 信部门对会计师事务所开展监咨检查,公安机关、 全的网络环境。 国家安全机关依法在职责范围内承担会计师事务所 ,加密设备:加密设备应当设直在境内并由境内团队 数据安全监管职责。 ·访问控制:会计师事务所应当建章立制并有效执行, 负责运行维护,密钥应当存储在境内。 确保网络安全管理能力与提供的专业服务相适应; 配合监督检查:会计师事务所对于依法实施的数据 做好信息系统安全管理和技术防护,设置严格的访 ,管理权限:会计师事务所应当拥有其审计业务系统 安全监督检查,应当予以配合。 问控制策略,防范未经授权的访问行为。 中网络设备、网络安全设备的自主管理权限,统一设置、维护系统管理员账户和工作人员账户,不得 设置不受限制、不受监控的超级账户,不得将管理 员账号交由第三方运维机构管理使用。 6 《会计师事务所数据安全管理暂行办法》贯彻落实 炼石 CipherGateway 加大宣传和指导力度 ,各级财政部门、网信部门要高度重视,积极宣传,指导会计师事务所建立健全数据安全管理制度并确保有效实施,切实提升会计师事务所数据安全管理水平。 加大监督检查力度 ,各相关部门应根据监管职责,落实会计师事务所数据安全管理日常监管、重点检查、安全审查等有关 要求,对存在违规行为的会计师事务所要依法产肃处理。 加强协同配合 ,各相关部门应加强监管信息共享,加强沟通协调,健全完善工作机制,形成工作合力,认真做好贯彻实施《暂行办法》的各项工作。 炼石整理:《会计师事务所数据安全管理暂行办法》总览CipherGateway 《会计师事务所数据安全管理暂行办法》 总则二、数据管理 7.数据安全管理责任8.数据安全负责人9.数据分级分类10.数据存储 五、附则 1.制定依据11.日志管理12.数据传输管理13.数据加密管理14.数据备份32.涉密信息处理 2.适用范国 15.业务约定书16.技术保护手段17.日常安全监测18.数据出境 33.个人信息处理 3.重要定义 19. 出境底稿内部管理 三、网络管理 22.信息系统安全管23.系统账户管理/ 34.其他业务 4.责任主体 20.网络管理制度21.资源投入 理和技术防护要求国际网络安全要求35.解释部门 四、监督检查 5.监管机构36.施行日期 24.监管信息共享25.日常检查26.重点检查对象27.配合检查义务 石 6.行业自律28.网络安全制审查机 29.行政管理措施30.行政处罚31.移送处理 明确《办法》适用范围和重要定义 炼石 ClpherGateway 1.总则 制定依据适用范围 为保障会计师事务所数据安全,规范在中华人民共和国境内依法设立的会计师事务所开展 会计师事务所数据处理活动,根据下列审计业务相关数据处理活动的,适用本办法: 《中华人民共和国注册会计师法》、1.为上市公司以及非上市的国有金融机构、中央企 2.数据管理《中华人民共和国网络安全法》)业等提供审计服务的 《中华人民共和国数据安全法》、2.为关键信息基础设施运营者或者超过100万用户 《中华人民共和国个人信息保护法》的网络平台运营者提供审计服务的: 等法律法规,制定本办法。3.为境内企业境外上市提供审计服务的 3.网络管理 会计师事务所从事的审计业务不属于前款规定的范围,但涉及重要数据或者核心数据的,适用本办法, 4.监督检查 5.附则 关键定义 息的记录。 数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。 扩展:财政部发布《从事证券服务业务会计师事务所名录》 炼石 ClpherGateway 中国证券监督管理委员会财政部发布《从事证券服务业务会计师事务所名录(截至 LEA 28389425+65(852022r; 事服务 S 2:2>0R270 Dentu2022年12月)》,截至2022年12月份共有115家会计所备 案。此前,财政部发布《从事证券服务业务会计师事务所 名录(截至2022年6月)》,截至2022年6月份共有95家 会计所备案: 从事证券服务业务会计能事务所名景(数至2022.12.91) 其中从事IPO审计、上市公司年报审计、非上市公众公 司年报审计等证券服务业务的会计师事务所34家, 仅从事上市公司年报审计、非上市公众公司年报审计 中国证券监督管理委员会等证券服务业务的会计师事务所18家, B+E专仅从事非上市公众公司年报审计等证券服务业务的会 Eeaxsliletas 从事证券假务业男会计第事务所名录(股至2022年6月30日) 62量(6822*t.3378) 计师事务所28家, ·仅从事其他证券服务业务的会计师事务所5家,未从事证券服务业务的会计师事务所10家。 *该名录仅为《会计师事务所数据安全管理暂行办法》适用对象的一小部分 *按中国注册会计师协会数据,截至2022年12月31日全国共有事务所10380家 (总所9082家,分所1298家) 10 明确监管机构和责任主体,加强行业自律 炼石 CipherGateway 1.总则 2.数据管理 财政部 负责全国会计师事务所数据安全监管工作。 省级(含深圳市、新疆生产建