據(jù)財(cái)政部網(wǎng)站消息,為貫徹落實(shí)數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法等相關(guān)法律的要求,加強(qiáng)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理,規(guī)范會(huì)計(jì)師事務(wù)所數(shù)據(jù)處理活動(dòng),財(cái)政部、國(guó)家網(wǎng)信辦聯(lián)合起草了《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法(征求意見(jiàn)稿)》(以下簡(jiǎn)稱(chēng)《辦法》)。
《辦法》共5章36條。第一部分為總則,主要包括制定依據(jù)、適用范圍、責(zé)任主體、監(jiān)管機(jī)構(gòu)、行業(yè)自律等內(nèi)容。第二部分為數(shù)據(jù)管理,包括總體責(zé)任、責(zé)任人員、數(shù)據(jù)分級(jí)分類(lèi)、數(shù)據(jù)管理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸管理、數(shù)據(jù)加密管理、數(shù)據(jù)備份、業(yè)務(wù)約定書(shū)、技術(shù)保護(hù)手段、日常安全監(jiān)測(cè)、監(jiān)管合作、出境底稿內(nèi)部管理等內(nèi)容。第三部分為網(wǎng)絡(luò)管理,主要包括網(wǎng)絡(luò)管理制度、資源投入、系統(tǒng)賬戶(hù)管理等內(nèi)容。第四部分為監(jiān)督檢查,包括信息共享、日常檢查、重點(diǎn)檢查對(duì)象、配合檢查義務(wù)、網(wǎng)絡(luò)安全審查機(jī)制、行政管理措施、行政處罰、移送處理等內(nèi)容。第五部分為附則,包括涉密信息處理、個(gè)人信息處理、其他業(yè)務(wù)、解釋部門(mén)、實(shí)施日期等內(nèi)容。
《辦法》立足規(guī)范會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理,重點(diǎn)從以下方面進(jìn)行了設(shè)計(jì):
明確適用范圍、數(shù)據(jù)定義和各方主體。《辦法》的適用范圍是在中國(guó)境內(nèi)依法設(shè)立并為上市公司以及非上市的國(guó)有金融機(jī)構(gòu)、中央企業(yè)等提供審計(jì)服務(wù),或者開(kāi)展跨境審計(jì)的會(huì)計(jì)師事務(wù)所及其從業(yè)人員。數(shù)據(jù)是指會(huì)計(jì)師事務(wù)所執(zhí)行審計(jì)業(yè)務(wù)過(guò)程中,從外部獲取和內(nèi)部生成的任何以電子或者其他方式對(duì)信息的記錄。會(huì)計(jì)師事務(wù)所承擔(dān)本機(jī)構(gòu)的數(shù)據(jù)安全主體責(zé)任。財(cái)政部門(mén)和網(wǎng)信部門(mén)是會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全的監(jiān)管機(jī)構(gòu)。注冊(cè)會(huì)計(jì)師協(xié)會(huì)是會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全的自律管理主體。
加強(qiáng)會(huì)計(jì)師事務(wù)所數(shù)據(jù)管理。在規(guī)定了總體責(zé)任和責(zé)任人員的基礎(chǔ)上,《辦法》要求會(huì)計(jì)師事務(wù)所對(duì)數(shù)據(jù)區(qū)分核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)進(jìn)行分級(jí)分類(lèi)管理。《辦法》對(duì)數(shù)據(jù)傳輸、數(shù)據(jù)加密、數(shù)據(jù)備份等事項(xiàng)作出具體規(guī)定,對(duì)數(shù)據(jù)管理技術(shù)手段、數(shù)據(jù)存儲(chǔ)方式、日志管理等提出具體要求。會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)綜合采取網(wǎng)絡(luò)隔離、用戶(hù)認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密、病毒防范、非法入侵檢測(cè)等技術(shù)手段加強(qiáng)數(shù)據(jù)管理,相關(guān)數(shù)據(jù)應(yīng)當(dāng)存儲(chǔ)境內(nèi)。《辦法》同時(shí)對(duì)跨境審計(jì)監(jiān)管中涉及的數(shù)據(jù)出境事項(xiàng)作出規(guī)范。
完善會(huì)計(jì)師事務(wù)所網(wǎng)絡(luò)保障。《辦法》明確,會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)管理治理架構(gòu),建立健全內(nèi)部網(wǎng)絡(luò)管理制度體系,按照業(yè)務(wù)活動(dòng)規(guī)模及復(fù)雜程度配置具備相關(guān)職業(yè)技能水平的網(wǎng)絡(luò)管理技術(shù)人員,確保合理的網(wǎng)絡(luò)資源投入和資金投入。針對(duì)部分會(huì)計(jì)師事務(wù)所網(wǎng)絡(luò)安全管理不嚴(yán)的問(wèn)題,《辦法》要求會(huì)計(jì)師事務(wù)所設(shè)置嚴(yán)格的訪問(wèn)控制策略,統(tǒng)一管理各類(lèi)賬戶(hù),不得設(shè)置不受限制的超級(jí)賬戶(hù),防范未經(jīng)授權(quán)的訪問(wèn)行為。
加強(qiáng)監(jiān)督檢查。《辦法》與《會(huì)計(jì)師事務(wù)所監(jiān)督檢查辦法》銜接,明確財(cái)政部門(mén)、網(wǎng)信部門(mén)開(kāi)展會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全檢查及重點(diǎn)檢查內(nèi)容。對(duì)于承接金融、能源、通信、交通、科技、國(guó)防科工等重要領(lǐng)域?qū)徲?jì)業(yè)務(wù)較多的會(huì)計(jì)師事務(wù)所,將開(kāi)展全覆蓋監(jiān)督檢查,并持續(xù)加強(qiáng)日常監(jiān)管。特定情況下,可以啟動(dòng)對(duì)會(huì)計(jì)師事務(wù)所的網(wǎng)絡(luò)安全審查機(jī)制。考慮到數(shù)據(jù)安全檢查有一定專(zhuān)業(yè)性,《辦法》規(guī)定,相關(guān)部門(mén)可以委托有關(guān)專(zhuān)業(yè)機(jī)構(gòu)采用專(zhuān)業(yè)手段協(xié)助開(kāi)展監(jiān)督檢查。《辦法》落實(shí)法律責(zé)任,規(guī)定對(duì)于違法違規(guī)行為,相關(guān)部門(mén)根據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》相關(guān)規(guī)定依法作出處理處罰。