财办会[2023]26号财政部办公厅国家网信办秘书局关于征求《会计师事务所数据安全管理暂行办法(征求意见稿)》意见的函 - 2023年

财政部办公厅国家网信办秘书局关于征求《会计师事务所数据安全管理暂行办法(征求意见稿)》意见的函

财办会[2023]26号 2023-11-2

各省、自治区、直辖市财政厅(局)、网信办，新疆生产建设兵团财政局、网信办，深圳市财政局：

为贯彻落实数据安全法、网络安全法等相关法律的要求，加强会计师事务所数据安全管理，规范会计师事务所数据处理活动，财政部、国家网信办联合起草了《会计师事务所数据安全管理暂行办法(征求意见稿)》，现转去，请结合职责研提意见，并于12月11日前反馈。

感谢大力支持!

联系人：财政部会计司

联系电话：010-68552536 010-68552535

电子邮箱：qiuying@mof.gov.cn suishuang@mof.gov.cn

通讯地址：北京市西城区三里河南三巷三号100820

国家网信办网络数据管理局

联系电话：010-55635828

电子邮箱：zhangzeya@cac.gov.cn

通讯地址：北京市海淀区阜成路15号100048

税屋附件：

1.会计师事务所数据安全管理暂行办法(征求意见稿)

2.会计师事务所数据安全管理暂行办法起草说明

财政部办公厅

国家网信办秘书局

2023年11月2日

附件1

会计师事务所数据安全管理暂行办法(征求意见稿)

　　第一章总则

第一条为保障会计师事务所数据安全，规范会计师事务所数据处理活动，根据《中华人民共和国注册会计师法》、《中华人民共和国数据安全法》、《中华人民共和国网络安全法》等法律法规，制定本办法。

第二条在中华人民共和国境内依法设立的会计师事务所开展下列审计业务相关数据处理活动的，适用本办法：

(一)为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的;

(二)开展跨境审计业务的。

第三条本办法所称数据，是指会计师事务所执行审计业务过程中，从外部获取和内部生成的任何以电子或者其他方式对信息的记录。

数据安全，是指通过采取必要措施，确保数据持续得到有效保护和合法利用。

第四条会计师事务所承担本机构的数据安全主体责任，履行数据安全保护义务。

第五条国务院财政部门会同国家网信部门负责全国会计师事务所数据安全监管工作，省、自治区、直辖市人民政府财政部门会同省级网信部门负责本行政区域内会计师事务所数据安全监管工作。

第六条注册会计师协会应当加强行业自律，指导会计师事务所加强数据安全保护，提高数据安全管理水平。

　第二章数据管理

第七条会计师事务所应当在下列方面履行本所数据安全管理责任：

(一)建立健全数据安全管理制度，完善数据运营和管控机制;

(二)健全数据安全管理组织架构，明确数据安全管理权责机制;

(三)实施与业务特点相适应的数据分类分级管理;

(四)建立数据权限管理策略，按照最小授权原则设置数据访问和处理权限，定期复核并按有关规定保留数据访问记录;

(五)组织开展数据安全教育培训;

(六)法律法规规定的其他事项。

第八条会计师事务所的首席合伙人(主任会计师)是本所数据安全负责人。

第九条会计师事务所应当按照相关法律法规的规定和被审计单位所处行业数据分级分类标准确定核心数据、重要数据和一般数据。

会计师事务所应当通过业务约定书等方式与被审计单位明确审计资料分级分类要求，审计资料分级分类的要求应当与被审计单位相关资料分级分类的要求保持一致。

第十条针对核心数据，会计师事务所应当建立核心数据保护机制，通过专用服务器或者会计师事务所私有云平台设置内部专门空间存储，使用加密虚拟专用网络等技术手段传输，对核心数据的存储、读取、转移应当建立授权与记录机制并保证有效运行。

针对重要数据，会计师事务所应当制定和执行规范的处理流程，将其存放于和互联网逻辑隔离的信息系统中，并严格控制接触人员范围。

针对一般数据，会计师事务所应当采取基于用户角色的授权访问控制，并且按照最小权限原则授权。

第十一条会计师事务所的审计工作底稿及相关数据应当存储在境内，不得在境外备份。

会计师事务所应当对审计业务相关的信息系统、数据库、网络设备、网络安全设备等设置并启用访问日志记录功能。日志应当存放境内，其中，日志中的用户登录及访问日志保存期限不得少于十年，其他日志保存期限不得少于六个月。

第十二条会计师事务所应当明确数据传输操作规程。核心数据、重要数据传输过程中应当采用加密技术，保护传输安全。