導航
安全產(chǎn)品
安全服務(wù)與運營(yíng)
解決方案
企業(yè)動(dòng)態(tài)
安全研究
關(guān)于國舜
◆ 網(wǎng)絡(luò )安全防護
▼
◆ 網(wǎng)絡(luò )安全檢測
▼
▼
◆ 開(kāi)發(fā)安全
▼
◆ 數據安全
▼
◆ 業(yè)務(wù)安全
▼
◆ 物聯(lián)網(wǎng)安全
▼
◆ 工控安全
▼
◆ 移動(dòng)安全
▼
◆ 安全管理
? 攻防演練服務(wù)
攻防演練服務(wù)
▼
◆ 安全技術(shù)服務(wù)
▼
◆ 安全培訓服務(wù)
▼
◆ 安全咨詢(xún)服務(wù)
▼
◆ 攻防演練服務(wù)
▼
◆ 安全運營(yíng)服務(wù)
▼
◆ 專(zhuān)項安全評估
▼
◆ 行業(yè)解決方案
▼
◆ 技術(shù)解決方案
400-696-8096
北京國舜科技股份有限公司
Beijing UnisGuard Technology Co.,Ltd
北京市海淀區高梁橋斜街42號融匯國際大廈東區三層
聯(lián)系我們
熱線(xiàn):400-696-8096
電話(huà):010-82838085
郵編:100044
郵箱:contact@unisguard.com
關(guān)注我們
Copyright ?
unisguard.com All Rights Reserved.
北京國舜科技股份有限公司
版權所有
京ICP備09050222號
京公網(wǎng)安備110108000272號
分類(lèi): 安全資訊
發(fā)布時(shí)間: 2023-11-16 14:39:22
標簽:
作者:
閱讀量: 207
新聞來(lái)源: 財政部官網(wǎng)
會(huì )計師事務(wù)所數據安全管理暫行辦法(征求意見(jiàn)稿)
第一章總則
第一條 為保障會(huì )計師事務(wù)所數據安全,規范會(huì )計師事務(wù)所數據處理活動(dòng),根據《中華人民共和國注冊會(huì )計師法》、《中華人民共和國數據安全法》、《中華人民共和國網(wǎng)絡(luò )安全法》等法律法規,制定本辦法。
第二條 在中華人民共和國境內依法設立的會(huì )計師事務(wù)所開(kāi)展下列審計業(yè)務(wù)相關(guān)數據處理活動(dòng)的,適用本辦法:
(一)為上市公司以及非上市的國有金融機構、中央企業(yè)等提供審計服務(wù)的;
(二)開(kāi)展跨境審計業(yè)務(wù)的。
第三條 本辦法所稱(chēng)數據,是指會(huì )計師事務(wù)所執行審計業(yè)務(wù)過(guò)程中,從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。
數據安全,是指通過(guò)采取必要措施,確保數據持續得到有效保護和合法利用。
第四條 會(huì )計師事務(wù)所承擔本機構的數據安全主體責任,履行數據安全保護義務(wù)。
第五條 國務(wù)院財政部門(mén)會(huì )同國家網(wǎng)信部門(mén)負責全國會(huì )計師事務(wù)所數據安全監管工作,省、自治區、直轄市人民政府財政部門(mén)會(huì )同省級網(wǎng)信部門(mén)負責本行政區域內會(huì )計師事務(wù)所數據安全監管工作。
第六條 注冊會(huì )計師協(xié)會(huì )應當加強行業(yè)自律,指導會(huì )計師事務(wù)所加強數據安全保護,提高數據安全管理水平。
第二章 數據管理
第七條 會(huì )計師事務(wù)所應當在下列方面履行本所數據安全管理責任:
(一)建立健全數據安全管理制度,完善數據運營(yíng)和管控機制;
(二)健全數據安全管理組織架構,明確數據安全管理權責機制;
(三)實(shí)施與業(yè)務(wù)特點(diǎn)相適應的數據分類(lèi)分級管理;
(四)建立數據權限管理策略,按照最小授權原則設置數據訪(fǎng)問(wèn)和處理權限,定期復核并按有關(guān)規定保留數據訪(fǎng)問(wèn)記錄;
(五)組織開(kāi)展數據安全教育培訓;
(六)法律法規規定的其他事項。
第八條 會(huì )計師事務(wù)所的首席合伙人(主任會(huì )計師)是本所數據安全負責人。
第九條 會(huì )計師事務(wù)所應當按照相關(guān)法律法規的規定和被審計單位所處行業(yè)數據分級分類(lèi)標準確定核心數據、重要數據和一般數據。
會(huì )計師事務(wù)所應當通過(guò)業(yè)務(wù)約定書(shū)等方式與被審計單位明確審計資料分級分類(lèi)要求,審計資料分級分類(lèi)的要求應當與被審計單位相關(guān)資料分級分類(lèi)的要求保持一致。
第十條 針對核心數據,會(huì )計師事務(wù)所應當建立核心數據保護機制,通過(guò)專(zhuān)用服務(wù)器或者會(huì )計師事務(wù)所私有云平臺設置內部專(zhuān)門(mén)空間存儲,使用加密虛擬專(zhuān)用網(wǎng)絡(luò )等技術(shù)手段傳輸,對核心數據的存儲、讀取、轉移應當建立授權與記錄機制并保證有效運行。
針對重要數據,會(huì )計師事務(wù)所應當制定和執行規范的處理流程,將其存放于和互聯(lián)網(wǎng)邏輯隔離的信息系統中,并嚴格控制接觸人員范圍。
針對一般數據,會(huì )計師事務(wù)所應當采取基于用戶(hù)角色的授權訪(fǎng)問(wèn)控制,并且按照最小權限原則授權。
第十一條 會(huì )計師事務(wù)所的審計工作底稿及相關(guān)數據應當存儲在境內,不得在境外備份。
會(huì )計師事務(wù)所應當對審計業(yè)務(wù)相關(guān)的信息系統、數據庫、網(wǎng)絡(luò )設備、網(wǎng)絡(luò )安全設備等設置并啟用訪(fǎng)問(wèn)日志記錄功能。日志應當存放境內,其中,日志中的用戶(hù)登錄及訪(fǎng)問(wèn)日志保存期限不得少于十年,其他日志保存期限不得少于六個(gè)月。
第十二條 會(huì )計師事務(wù)所應當明確數據傳輸操作規程。核心數據、重要數據傳輸過(guò)程中應當采用加密技術(shù),保護傳輸安全。
第十三條 審計工作底稿和相關(guān)數據的加密設備應當設置在境內并由境內團隊負責運行維護,密鑰應當存儲在境內。
第十四條 會(huì )計師事務(wù)所應當建立數據備份制度。會(huì )計師事務(wù)所應當確保在審計相關(guān)應用系統停止使用、被限制使用等情況下,仍能訪(fǎng)問(wèn)、調取、使用相關(guān)審計工作底稿。
第十五條 會(huì )計師事務(wù)所不得在業(yè)務(wù)約定書(shū)或類(lèi)似合同中包含會(huì )計師事務(wù)所向境外監管機構提供境內項目資料數據等類(lèi)似條款。
第十六條 會(huì )計師事務(wù)所應當采用網(wǎng)絡(luò )隔離、用戶(hù)認證、訪(fǎng)問(wèn)控制、數據加密、病毒防范、非法入侵檢測等技術(shù)手段,及時(shí)識別、阻斷和溯源相關(guān)網(wǎng)絡(luò )攻擊和非法訪(fǎng)問(wèn),保障數據安全。
第十七條 會(huì )計師事務(wù)所應當建立數據安全應急處置機制,加強數據安全風(fēng)險監測。發(fā)現數據外泄、安全漏洞等風(fēng)險的,應當立即采取補救、處置措施。發(fā)生重大數據安全事件的,應當及時(shí)向省級以上財政部門(mén)報告。
第十八條 會(huì )計師事務(wù)所在境內形成的審計工作底稿應當存放在境內。需要出境的,按照國家有關(guān)規定辦理審批手續。
第十九條 會(huì )計師事務(wù)所對于審計工作底稿出境事項應當建立逐級復核機制,采取必要措施嚴格落實(shí)審計工作底稿涉密敏感信息管控責任。
第三章 網(wǎng)絡(luò )管理
第二十條 會(huì )計師事務(wù)所應當建立完善的網(wǎng)絡(luò )管理治理架構,建立健全內部網(wǎng)絡(luò )管理制度體系,建立內部決策、管理、執行和監督機制,確保網(wǎng)絡(luò )管理能力與提供的專(zhuān)業(yè)服務(wù)相適應,為數據安全管理工作提供安全的網(wǎng)絡(luò )環(huán)境。
第二十一條 會(huì )計師事務(wù)所應當按照業(yè)務(wù)活動(dòng)規模及復雜程度配置具備相關(guān)職業(yè)技能水平的網(wǎng)絡(luò )管理技術(shù)人員,確保合理的網(wǎng)絡(luò )資源投入和資金投入。
第二十二條 會(huì )計師事務(wù)所應當做好信息系統安全管理和技術(shù)防護,根據存儲、處理數據的級別采取相應的網(wǎng)絡(luò )物理隔離或者邏輯隔離等措施,設置嚴格的訪(fǎng)問(wèn)控制策略,防范未經(jīng)授權的訪(fǎng)問(wèn)行為。
第二十三條 會(huì )計師事務(wù)所應當擁有其使用的審計業(yè)務(wù)系統中網(wǎng)絡(luò )設備、網(wǎng)絡(luò )安全設備的配置和管理的最高權限,統一管理、維護系統管理員賬戶(hù)和工作人員賬戶(hù),不得設置不受限制的超級賬戶(hù)。
加入國際網(wǎng)絡(luò )的會(huì )計師事務(wù)所使用所在國際網(wǎng)絡(luò )的信息系統的,應當采取用戶(hù)隔離和數據隔離等措施。
第四章 監督檢查
第二十四條 省級以上財政部門(mén)與同級網(wǎng)信部門(mén)加強會(huì )計師事務(wù)所數據安全監管信息共享。
第二十五條 省級以上財政部門(mén)、省級以上網(wǎng)信部門(mén)(以下簡(jiǎn)稱(chēng)相關(guān)部門(mén))對會(huì )計師事務(wù)所數據安全情況開(kāi)展監督檢查。
在監督檢查過(guò)程中,相關(guān)部門(mén)可以委托國家、行業(yè)有關(guān)專(zhuān)業(yè)機構采用滲透測試、漏洞掃描及信息技術(shù)風(fēng)險評估等方式,協(xié)助對會(huì )計師事務(wù)所開(kāi)展監督檢查。
相關(guān)部門(mén)和機構工作人員對監督檢查中知悉的核心數據、重要數據、個(gè)人隱私等數據應當依法嚴格保護,不得泄露或者非法向他人提供。
第二十六條 對于承接金融、能源、通信、交通、科技、國防科工等重要領(lǐng)域審計業(yè)務(wù)的會(huì )計師事務(wù)所,相關(guān)部門(mén)應當開(kāi)展全覆蓋監督檢查,并持續加強日常監管。
第二十七條 會(huì )計師事務(wù)所對于相關(guān)部門(mén)依法實(shí)施的數據安全檢查,應當予以配合,提供符合要求的相關(guān)數據資料和工作便利,不得拒絕、拖延、阻撓。
第二十八條 承接關(guān)系國計民生、重要領(lǐng)域審計業(yè)務(wù)的會(huì )計師事務(wù)所開(kāi)展數據處理活動(dòng),影響或者可能影響國家安全的,按照網(wǎng)絡(luò )安全審查相關(guān)機制進(jìn)行網(wǎng)絡(luò )安全審查。
第二十九條 相關(guān)部門(mén)在履行數據安全監管職責中,發(fā)現會(huì )計師事務(wù)所開(kāi)展數據處理活動(dòng)存在較大安全風(fēng)險的,可以對會(huì )計師事務(wù)所及其責任人采取約談、責令限期整改等監管措施,消除隱患。
第三十條會(huì ) 計師事務(wù)所及其從業(yè)人員違反本辦法規定的,由相關(guān)部門(mén)依照《中華人民共和國數據安全法》、《中華人民共和國網(wǎng)絡(luò )安全法》、《中華人民共和國注冊會(huì )計師法》等法律、行政法規的規定進(jìn)行處理處罰。
第三十一條 對會(huì )計師事務(wù)所及其從業(yè)人員違反本辦法規定,涉及其他部門(mén)職責權限的,依法移送有關(guān)主管部門(mén)處理;構成犯罪的,移送司法機關(guān)依法追究刑事責任。
第五章 附則
第三十二條 會(huì )計師事務(wù)所及其從業(yè)人員開(kāi)展涉及國家秘密的數據處理活動(dòng),適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。
第三十三條 會(huì )計師事務(wù)所開(kāi)展涉及個(gè)人信息的數據處理活動(dòng),應當遵守有關(guān)法律、行政法規的規定。
第三十四條 會(huì )計師事務(wù)所的非審計業(yè)務(wù)數據管理可參照本辦法執行。
第三十五條 本辦法由財政部、國家網(wǎng)信辦負責解釋。
第三十六條 本辦法自 年 月 日起施行。