會計師事務所數據安全管理暫行辦法

各省(sheng)、自治區、直轄市財(cai)政廳（局）、網信辦，新(xin)疆生產建(jian)設(she)兵團財(cai)政局、網信辦，深(shen)圳市財(cai)政局：

       為(wei)貫(guan)徹(che)落(luo)實《國務院辦(ban)(ban)公廳(ting)關于進一步規范(fan)財(cai)務審計(ji)秩序 促進注(zhu)冊會(hui)(hui)計(ji)師(shi)行業健康發(fa)展的意見》（國辦(ban)(ban)發(fa)〔2021〕30號）有關要求，加(jia)強會(hui)(hui)計(ji)師(shi)事務所數(shu)據(ju)安(an)全(quan)管(guan)理(li)，規范(fan)會(hui)(hui)計(ji)師(shi)事務所數(shu)據(ju)處(chu)理(li)活動，我們(men)制定(ding)了《會(hui)(hui)計(ji)師(shi)事務所數(shu)據(ju)安(an)全(quan)管(guan)理(li)暫行辦(ban)(ban)法》，現予印(yin)發(fa)，請遵(zun)照(zhao)執行。

       附件：會計師事務所數據安全管理暫行辦法

財(cai)政部 國家互(hu)聯網信息辦公室

2024年4月15日

會計師事務所數據安全管理暫行辦法

第一(yi)章 總則

第一條 為保(bao)障會(hui)計(ji)師事務所(suo)數據(ju)安全，規范會(hui)計(ji)師事務所(suo)數據(ju)處理(li)活(huo)動，根據(ju)《中華(hua)人(ren)(ren)民(min)(min)共和(he)國(guo)注(zhu)冊(ce)會(hui)計(ji)師法》、《中華(hua)人(ren)(ren)民(min)(min)共和(he)國(guo)網絡安全法》、《中華(hua)人(ren)(ren)民(min)(min)共和(he)國(guo)數據(ju)安全法》、《中華(hua)人(ren)(ren)民(min)(min)共和(he)國(guo)個人(ren)(ren)信息(xi)保(bao)護法》等(deng)法律法規，制定本辦法。

第二條 在中華人民共和國境(jing)內依法設立的會(hui)計師(shi)事(shi)務(wu)所開展下(xia)列審計業務(wu)相關數(shu)據處理活動的，適(shi)用本辦法：

（一(yi)）為(wei)上市(shi)公司(si)以(yi)及非上市(shi)的國有金(jin)融機構、中(zhong)央企業等提供審計服務的；

（二(er)）為關鍵(jian)信息基(ji)礎設施運營(ying)者或者超過100萬用戶的(de)網絡平臺運營(ying)者提供(gong)審(shen)計(ji)服(fu)務的(de)；

（三(san)）為境內企業境外上市提供(gong)審計(ji)服(fu)務的。

會(hui)計(ji)師事務所從事的(de)審計(ji)業務不屬于前款規定的(de)范圍，但(dan)涉及重(zhong)要(yao)數據或者核心(xin)數據的(de)，適用本辦法。

第三條 本辦法所稱數據，是指會計師事(shi)務(wu)所執行審計業務(wu)過(guo)程(cheng)中，從外部獲取(qu)和內(nei)部生成的任何以電子(zi)或者其他(ta)方式對信(xin)息的記錄。

數據(ju)安全，是指通(tong)過采取必(bi)要措(cuo)施(shi)，確保數據(ju)處于(yu)有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

第四條 會(hui)計師事務所承擔本(ben)所的數據安全主體(ti)責任，履(lv)行數據安全保護義務。

第五條 財政(zheng)部(bu)負責(ze)全(quan)國會計(ji)師事務所數(shu)據安全(quan)監管工(gong)作，省(sheng)級（含(han)深圳(zhen)市、新(xin)疆(jiang)生產建設兵團）財政(zheng)部(bu)門負責(ze)本(ben)行政(zheng)區域(yu)內會計(ji)師事務所數(shu)據安全(quan)監管工(gong)作。

第六條 注冊會(hui)(hui)計師協(xie)會(hui)(hui)應當加強行業(ye)自律(lv)，指導(dao)會(hui)(hui)計師事務所加強數據(ju)(ju)安全保護，提高數據(ju)(ju)安全管(guan)理水平。

第二章 數據管理

第七條 會(hui)計師事務(wu)所(suo)(suo)應當在下(xia)列方面履(lv)行本(ben)所(suo)(suo)數據安全管(guan)理責(ze)任：

（一）建立健全(quan)數據全(quan)生命周期安全(quan)管(guan)理(li)制度，完善數據運營(ying)和管(guan)控機(ji)制；

（二）健全(quan)數(shu)據安全(quan)管理組織(zhi)架構，明確數(shu)據安全(quan)管理權責機制；

（三）實施與業務(wu)特點相適(shi)應(ying)的數(shu)據分類分級管理；

（四）建立數據權(quan)(quan)限管理策略(lve)，按(an)照(zhao)最小授權(quan)(quan)原則設置(zhi)數據訪問和處理權(quan)(quan)限，定期復(fu)核并按(an)有關規定保留數據訪問記(ji)錄；

（五(wu)）組織開展數據安全教育培訓；

（六）法律法規規定的其他事項。

第八條 會計(ji)師(shi)事務所的(de)首席(xi)合伙人（主任會計(ji)師(shi)）是本(ben)所數據安全負責人。

第九條 會計師事務所(suo)應當按照法(fa)律、行政法(fa)規(gui)的(de)規(gui)定和被審計單(dan)位所(suo)處行業數(shu)據(ju)(ju)分類分級標準確定核心(xin)數(shu)據(ju)(ju)、重要(yao)數(shu)據(ju)(ju)和一般數(shu)據(ju)(ju)。

會計(ji)師事(shi)務(wu)(wu)所和(he)被審(shen)計(ji)單位(wei)應(ying)當通過業(ye)務(wu)(wu)約定(ding)書(shu)、確(que)認(ren)函等(deng)方式明確(que)審(shen)計(ji)資料(liao)中核心數據(ju)和(he)重要(yao)數據(ju)的(de)性質、內容和(he)范圍等(deng)。

第十條 會計師事務所(suo)對核(he)心(xin)數(shu)據、重(zhong)要數(shu)據的存儲處理，應當符(fu)合國家相關規(gui)定。

存儲核心數據(ju)的信(xin)(xin)息系(xi)統(tong)要(yao)(yao)落實四級(ji)網絡安全等級(ji)保護要(yao)(yao)求。存儲重要(yao)(yao)數據(ju)的信(xin)(xin)息系(xi)統(tong)要(yao)(yao)落實三級(ji)及以(yi)上(shang)網絡安全等級(ji)保護要(yao)(yao)求。

數據匯(hui)聚、關聯后屬于國家秘密事項的，應當依(yi)照有關保守國家秘密的法(fa)律、行(xing)政(zheng)法(fa)規規定處理。

第十一條 會(hui)計師事(shi)務所應當對審計業務相關的信息(xi)系(xi)統、數據庫(ku)、網絡設備、網絡安全設備等設置并啟用訪問(wen)日志記(ji)錄功(gong)能。

涉及核心(xin)數據(ju)(ju)的(de)，相關(guan)日志(zhi)(zhi)留存時(shi)間(jian)(jian)不少(shao)于(yu)三(san)年(nian)(nian)。涉及重要數據(ju)(ju)的(de)，相關(guan)日志(zhi)(zhi)留存時(shi)間(jian)(jian)不少(shao)于(yu)一年(nian)(nian)；涉及向(xiang)他人(ren)提供(gong)、委(wei)托處理、共同處理重要數據(ju)(ju)的(de)相關(guan)日志(zhi)(zhi)留存時(shi)間(jian)(jian)不少(shao)于(yu)三(san)年(nian)(nian)。

第十二條 會計師事務所應(ying)(ying)當明確數據傳(chuan)輸操作規程。核心(xin)數據、重要數據傳(chuan)輸過程中應(ying)(ying)當采(cai)用加密(mi)技術，保護傳(chuan)輸安全。

第十三條 審(shen)計工(gong)作底稿應(ying)當按照法律(lv)、行政法規(gui)和國家(jia)有關規(gui)定(ding)存儲在(zai)境(jing)內。相關加密設備應(ying)當設置(zhi)在(zai)境(jing)內并由境(jing)內團隊負責運行維護，密鑰應(ying)當存儲在(zai)境(jing)內。

第十四條 會計(ji)師事(shi)務所應當建立數(shu)據備份制(zhi)(zhi)度。會計(ji)師事(shi)務所應當確保在審計(ji)相關(guan)應用(yong)系統因外部技(ji)術(shu)原因被停止使(shi)(shi)用(yong)、被限制(zhi)(zhi)使(shi)(shi)用(yong)等情況下，仍能訪問、調(diao)取、使(shi)(shi)用(yong)相關(guan)審計(ji)工作底稿(gao)。

第十五條 會計(ji)師事務所不(bu)得在業(ye)務約定書或者類似合同(tong)中包含會計(ji)師事務所向境(jing)外(wai)監管機構提供境(jing)內項目資料數據等類似條(tiao)款。

第十六條 會計師(shi)事務所應當采用網(wang)絡隔離、用戶認(ren)證、訪問(wen)控制、數(shu)據加密、病(bing)毒防范、非法入(ru)侵(qin)檢測等技術手(shou)段，及時識別、阻(zu)斷和溯源相關網(wang)絡攻擊和非法訪問(wen)，保障(zhang)數(shu)據安(an)全。

第十七條 會計師事(shi)務(wu)所應(ying)當(dang)(dang)建立數據(ju)安(an)(an)(an)全(quan)應(ying)急(ji)處置機制，加強數據(ju)安(an)(an)(an)全(quan)風險監測。發現(xian)數據(ju)外泄、安(an)(an)(an)全(quan)漏洞等風險的，應(ying)當(dang)(dang)立即采(cai)取補救、處置措施。發生重大數據(ju)安(an)(an)(an)全(quan)事(shi)件(jian)，導致核(he)心數據(ju)或者重要數據(ju)泄露、丟失或者被竊取、篡改的，應(ying)當(dang)(dang)及時向(xiang)有關主管部門報告。

第十八條 會計師事務(wu)所向境外提供其(qi)在境內運(yun)營中(zhong)收集和(he)產生的(de)個人信息(xi)和(he)重要數據(ju)的(de)，應當遵守國家數據(ju)出境管理有關規定。

第十九條 會計(ji)師事(shi)務所對于(yu)(yu)審(shen)計(ji)工(gong)(gong)作(zuo)(zuo)底稿(gao)出境(jing)事(shi)項應當建立(li)逐級復(fu)核機(ji)制，采取必要(yao)措施嚴格落實數據安全管控責(ze)任。對于(yu)(yu)需要(yao)出境(jing)的審(shen)計(ji)工(gong)(gong)作(zuo)(zuo)底稿(gao)，按照國(guo)家有關規定辦理審(shen)批手續(xu)。

第三章 網絡管理

第二十條 會計師事(shi)務所應當建立(li)完善(shan)的(de)網(wang)(wang)絡(luo)安全(quan)(quan)管(guan)理(li)治(zhi)理(li)架(jia)構，建立(li)健全(quan)(quan)內(nei)(nei)部網(wang)(wang)絡(luo)安全(quan)(quan)管(guan)理(li)制(zhi)度體系(xi)，建立(li)內(nei)(nei)部決策、管(guan)理(li)、執行和監督機制(zhi)，確保網(wang)(wang)絡(luo)安全(quan)(quan)管(guan)理(li)能力與提供的(de)專業服(fu)務相適應，為(wei)數據安全(quan)(quan)管(guan)理(li)工(gong)作提供安全(quan)(quan)的(de)網(wang)(wang)絡(luo)環境。

第二十一條 會計師事(shi)務所(suo)應(ying)當按照(zhao)業務活動規模及(ji)復雜(za)程度配置具備(bei)相應(ying)職業技(ji)能水(shui)平的(de)網絡(luo)管理技(ji)術人員(yuan)，確(que)保(bao)合理的(de)網絡(luo)資源(yuan)投入和資金投入。

第二十二條 會計師事務所應當做(zuo)好信(xin)息系統安全管理(li)和技術防護，根據存儲、處理(li)數據的(de)級別采取(qu)相應的(de)網絡物(wu)理(li)隔(ge)離(li)或者(zhe)邏輯隔(ge)離(li)等措施，設(she)置嚴格(ge)的(de)訪問控制策略，防范(fan)未經授權(quan)的(de)訪問行為。

第二十三條 會計師事務所應當擁有(you)其審計業(ye)務系(xi)(xi)統中(zhong)網(wang)(wang)絡設(she)(she)備(bei)、網(wang)(wang)絡安全設(she)(she)備(bei)的自主(zhu)管(guan)理權限，統一設(she)(she)置、維護系(xi)(xi)統管(guan)理員(yuan)(yuan)賬戶(hu)和(he)工作人員(yuan)(yuan)賬戶(hu)，不(bu)(bu)得(de)設(she)(she)置不(bu)(bu)受(shou)限制、不(bu)(bu)受(shou)監控的超級賬戶(hu)，不(bu)(bu)得(de)將管(guan)理員(yuan)(yuan)賬號交由第三方運維機構管(guan)理使用。

加入國(guo)際網(wang)絡(luo)的會計(ji)師事務所(suo)使(shi)用所(suo)在國(guo)際網(wang)絡(luo)的信息系統(tong)的，應當(dang)采(cai)取必要措施，使(shi)其符合國(guo)家數據安(an)全法律、行政法規(gui)和本辦法的規(gui)定，確保本所(suo)數據安(an)全。

第四章 監督檢查

第二十四條 財(cai)(cai)政部(bu)(bu)(bu)和省(sheng)級(ji)財(cai)(cai)政部(bu)(bu)(bu)門（以(yi)下統(tong)稱省(sheng)級(ji)以(yi)上財(cai)(cai)政部(bu)(bu)(bu)門）與同級(ji)網信(xin)部(bu)(bu)(bu)門、公安(an)(an)機(ji)關(guan)、國家安(an)(an)全機(ji)關(guan)加強會計師事務所(suo)數據(ju)安(an)(an)全監管信(xin)息共(gong)享。

第二十五條 省級以上財政部門、省級以上網(wang)信部門對會計師事務(wu)(wu)所數據安(an)全情(qing)況開展(zhan)監督檢查。公安(an)機關、國家安(an)全機關依法在職責范圍(wei)內承擔會計師事務(wu)(wu)所數據安(an)全監管職責。

第二十六條 對于承接金融(rong)、能(neng)源、電信、交(jiao)通、科技、國防科工等重(zhong)要領域(yu)審計業務(wu)且符合(he)本辦(ban)法第二條規定范圍(wei)的會計師(shi)事務(wu)所，省級(ji)以上(shang)財政(zheng)部門在監督檢查工作中予以重(zhong)點關注，并持續加強日常監管。

第二十七條 會計師事(shi)務所對于依法實(shi)施(shi)的數據安(an)全(quan)監督檢查(cha)，應當予以配合，不得拒(ju)絕、拖延、阻撓。

第二十八條 會計師事(shi)務所開展(zhan)數據(ju)處理(li)活動，影(ying)響或(huo)者(zhe)可能影(ying)響國家安全的，應當按照國家安全審查(cha)(cha)機制進(jin)行安全審查(cha)(cha)。

第二十九條 相關部門在(zai)履(lv)行(xing)數(shu)據安(an)全監(jian)管職責(ze)中，發現會(hui)計(ji)師事(shi)務(wu)所開展數(shu)據處理活動存在(zai)較大安(an)全風險的，可以(yi)對會(hui)計(ji)師事(shi)務(wu)所及其責(ze)任人采取約(yue)談、責(ze)令限期整改等監(jian)管措施，消除隱患。

第三十條 會計師事(shi)務(wu)所及(ji)(ji)相關人(ren)員違(wei)反本辦法(fa)規(gui)(gui)定的，應當(dang)按照《中華(hua)人(ren)民共(gong)(gong)和國注冊(ce)會計師法(fa)》、《中華(hua)人(ren)民共(gong)(gong)和國網絡安全法(fa)》、《中華(hua)人(ren)民共(gong)(gong)和國數據安全法(fa)》、《中華(hua)人(ren)民共(gong)(gong)和國個(ge)人(ren)信息保護法(fa)》等(deng)法(fa)律、行政法(fa)規(gui)(gui)的規(gui)(gui)定予以處理(li)處罰；涉及(ji)(ji)其(qi)他(ta)部(bu)(bu)門(men)職(zhi)責(ze)權限的，依法(fa)移(yi)送有關主管(guan)部(bu)(bu)門(men)處理(li)；構成(cheng)犯罪的，移(yi)送司法(fa)機關依法(fa)追究(jiu)刑事(shi)責(ze)任。

第三十一條 相(xiang)關(guan)部門(men)工(gong)作(zuo)人員在履行會計(ji)師事務所數據(ju)安全(quan)監(jian)管(guan)職責過(guo)程中，玩忽職守、濫(lan)用職權、徇私舞(wu)弊的，依(yi)法追究法律責任(ren)。

第五章 附則

第三十二條 會計師事務所(suo)及相關(guan)人(ren)員(yuan)開展涉及國家秘密的(de)數據處理活動，適用《中華人(ren)民共和國保守(shou)國家秘密法(fa)》等法(fa)律、行政法(fa)規(gui)的(de)規(gui)定。

第三十三條 會(hui)計師事務所及(ji)相(xiang)關人員(yuan)開(kai)展其他涉及(ji)個(ge)人信息的(de)數據處理活動(dong)，應(ying)當遵(zun)守(shou)有關法(fa)律、行政法(fa)規(gui)的(de)規(gui)定。

第三十四條 會計師事(shi)務所可(ke)以(yi)參照本(ben)辦(ban)法加(jia)強對非(fei)審計業務數(shu)據的管理。

第三十五條 本辦法由財政(zheng)部(bu)、國家(jia)網(wang)信(xin)辦負責解(jie)釋。

第三十六條 本辦法自2024年10月1日起施(shi)行(xing)。