4008-088-622

企业数据安全领航者

为中小企业核心数据安全提供解决方案与恢复服务
会计事务所必须建立数据备份制度!两部门印发《会计师事务所数据安全管理暂行办法》
来源: | 作者:太极风控 | 发布时间: 2024-05-16 | 473 次浏览 | 分享到:
​近日,财政部、国家网信办印发《会计师事务所数据安全管理暂行办法》,以下简称《暂行办法》,自2024年10月1日起施行,加强会计师事务所数据安全管理,规范会计师事务所数据处理活动。


近日,财政部、国家网信办印发《会计师事务所数据安全管理暂行办法》,以下简称《暂行办法》,自2024年10月1日起施行,加强会计师事务所数据安全管理,规范会计师事务所数据处理活动。

会计师事务所是数字经济发展中非常特殊的一类机构。由于其业务的特点,会在工作过程中接触到包括金融、能源、电信、交通、科技、国防科工等重要领域在内的各行各业的数据,而且会计师事务所通常具有较强的数据分析能力,因此亟需行业规范其数据处理活动。对比2023年11月2日发布的(征求意见稿),正式稿扩展了事务所范围、明确了数据保护手段、加大了执法监督力度。从具体内容看,主要对六方面内容进行了规范:

一是明确适用对象

《暂行办法》主要适用于境内依法设立的会计师事务所开展的审计业务相关数据处理活动,包括为上市公司以及非上市的国有金融机构或中央企业等提供审计服务;为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务;为境内企业境外上市提供审计服务。

会计师事务所未从事前述三类业务,但审计业务涉及重要数据或者核心数据,也应根据《暂行办法》进行数据处理活动。数据包括会计师事务所执行审计业务过程中从外部获取和内部生成的任何以电子或者其他方式对信息的记录。

二是规范数据分类分级

《暂行办法》要求会计师事务所应按照相关法律法规的规定和被审计单位所处行业数据分类分级的标准,确定核心数据、重要数据和一般数据,并对核心数据和重要数据的存储、相关日志、传输等作出明确要求。

在日志管理上,要求涉及核心数据的相关日志,留存时间不少于三年,涉及重要数据的相关日志,留存时间不少于一年,其中向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年。涉及一般数据,按照国家相关规定处理,《暂行办法》不作特别要求。

三是规范底稿管理

《暂行办法》规定,会计师事务所审计工作底稿应按相关规定存放在境内。

会计师事务所不得在业务约定书或类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。境外监管机构因监管需要确需调取境内审计工作底稿的,应通过相应的跨境监管合作机制依法依规获取,相应审计工作底稿出境应当办理审批手续。

会计师事务所对审计工作底稿出境事项应当建立逐级复核机制,落实数据安全管控责任。

四是强化网络管理

《暂行办法》对会计师事务所在建立内部网络安全管理制度、网络管理资源投入、网络安全技术防护、网络管理账户权限等方面做出具体要求,指导会计师事务所为数据安全管理工作提供安全的网络环境。

会计师事务所应当建章立制并有效执行,确保网络安全管理能力与提供的专业服务相适应;做好信息系统安全管理和技术防护,设置严格的访问控制策略,防范未经授权的访问行为。

五是聚焦安全可控

《暂行办法》要求会计师事务所建立数据备份制度,确保在审计相关应用系统因外部技术原因被停止使用、被限制使用等情况下,仍能访问、调取、使用相关审计工作底稿。加密设备应当设置在境内并由境内团队负责运行维护,密钥应当存储在境内。


会计师事务所应当拥有其审计业务系统中网络设备、网络安全设备的自主管理权限,统一设置、维护系统管理员账户和工作人员账户,不得设置不受限制、不受监控的超级账户,不得将管理员账号交由第三方运维机构管理使用。

六是压实监管责任

《暂行办法》明确了财政部门、网信部门、公安机关、国家安全机关对会计师事务所数据安全的监管职责。省级以上财政部门、省级以上网信部门对会计师事务所开展监督检查,公安机关、国家安全机关依法在职责范围内承担会计师事务所数据安全监管职责。会计师事务所对于依法实施的数据安全监督检查,应当予以配合。

会计师事务所数据安全面临诸多挑战

数据不仅是会计师事务所的核心资产,更是其提供高质量审计服务的基础。《暂行办法》的出台,要求会计事务所数据安全管理进一步细化。在数据安全合规要求不断升级下,会计事务所数据安全面临诸多挑战。

1

 数据资产管理挑战

数据资产的识别、分类分级、保护与全生命周期管理成为难题,尤其是在数据量级巨大、类型多样的情况下,如何确保数据的机密性、完整性和可用性是一大挑战。

2

 数据合规挑战

随着《网络安全法》《数据安全法》《个人信息保护法》的出台,《暂行办法》是对这些法律、法规和文件要求的全面落实,是会计师行业对国家网络和数据安全管理相关规定的细化。会计师事务所必须确保数据处理活动符合法律法规要求,否则将面临法律制裁和信誉损失。

3

数据流动挑战

多组织、多部门协同工作的环境中,数据流动频繁,确保数据在共享、交换过程中的安全成为重大挑战。对于跨地域、跨行业的大型项目,如何确保数据在流转中不丢失、不被非法访问,需要有效的协同治理机制。

4

 数据分类分级挑战

数据分类分级是构建完善数据要素市场的必要前提。会计师事务所基础制度建设相对滞后,无法有效支撑数据分类分级工作;面向海量数据的数据资产分类分级,专业人员数量缺口巨大。

会计事务所全流程数据安全管理体系建设

如何在会计师事务所中实施有效的数据安全管理,成为了一个亟待解决的问题。太极风控数据安全专家指出,通过构建全流程数据安全治理体系,优化数据管理和使用,有效提升数据安全性和治理效率,让数据发挥其应有的价值。

01

对数据资产做风险评估,预防数据泄露

明确会计师事务所数据资产清单,确保高价值的核心数据得到重点保护。对数据全生命周期进行风险识别和评估,提升数据安全保障能力、风险发现能力,确保数据安全风险可控。

02

多规管理融合,保障数据安全合规

基于网络安全责任制、等级保护、密码应用、数据备份、个人信息保护等监管要求,不触碰红线,满足监管部门各项数据安全要求,保障会计师事务所涉及的数据全面合规。

「太极·简」数据资产安全管理平台的备份功能帮助企业实现定时备份、本地/异地备份,3重数据加密方式让数据在传输、存储、下载过程中更加安全。

03

构建安全防护体系,实现数据安全运营

实施数据生命周期管理,从数据采集、生成、传输、存储到销毁的每一个环节加强控制。实施数据分类分级,对敏感数据采取加密、脱敏等保护措施,确保数据安全。

「太极·简」数据资产安全管理平台,致力于帮助企业实现数据资产标准化统一管理,通过数据分类分级功能,把数据划分为核心数据、重要数据、一般数据,帮助企业快速构建数据分类分级保护制度,保障数据在各个业务场景流转过程中的安全性。

数据安全是企业“生命线“,会计师在数据安全方面扮演着重要的角色,随着《暂行办法》的实施,会计行业将迎来一次深度的安全管理升级。

关注公众号,了解更多企业动态