網(wǎng)站首頁
產(chǎn)品中心
解決方案
客戶案例
新聞資訊
伙伴合作
服務與支持
關于敏捷
行業(yè)資訊
關注丨《會計師事務所數(shù)據(jù)安全管理暫行辦法(征求意見稿)》發(fā)布,數(shù)據(jù)安全管理面臨新規(guī)定
發(fā)布時間:2023-11-16    作者:敏捷科技

據(jù)財政部官網(wǎng),為貫徹落實數(shù)據(jù)安全法、網(wǎng)絡安全法等相關法律的要求,加強會計師事務所數(shù)據(jù)安全管理,規(guī)范會計師事務所數(shù)據(jù)處理活動,財政部、國家網(wǎng)信辦聯(lián)合起草了《會計師事務所數(shù)據(jù)安全管理暫行辦法(征求意見稿)》,現(xiàn)向社會公開征求意見。


640 (1).png
640.png



會計師事務所在財務環(huán)境中扮演著關鍵的角色,不僅是財務報表的編制者和審核者,也是經(jīng)濟活動中數(shù)據(jù)流動的關鍵節(jié)點,同時會計師事務所處理和管理著大量的敏感數(shù)據(jù)??蛻粜畔⒌谋Wo、數(shù)據(jù)泄漏的防止以及業(yè)務連續(xù)性的保障都對會計師事務所提出了嚴峻的要求。


《暫行辦法》是會計師事務所數(shù)據(jù)安全管理的頂層設計,旨在全面對接《數(shù)據(jù)安全法》的要求,明確規(guī)定了會計師事務所在數(shù)據(jù)分級分類管理、數(shù)據(jù)處理、數(shù)據(jù)安全保護義務等方面的責任,為會計師事務所提供了一份詳細的數(shù)據(jù)安全管理指南。


關注重點


>> 明確適用范圍,兩類審計業(yè)務:《暫行辦法》的適用范圍是在中國境內(nèi)依法設立并為上市公司以及非上市的國有金融機構、中央企業(yè)等提供審計服務,或者開展跨境審計的會計師事務所及其從業(yè)人員。


>> 確定責任主體和監(jiān)管機構:會計師事務所承擔本機構的數(shù)據(jù)安全主體責任。財政部門和網(wǎng)信部門是會計師事務所數(shù)據(jù)安全的監(jiān)管機構。注冊會計師協(xié)會是會計師事務所數(shù)據(jù)安全的自律管理主體。


>> 要求加強數(shù)據(jù)管理,做好分類分級:《暫行辦法》要求會計師事務所對數(shù)據(jù)區(qū)分核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)進行分級分類管理。《暫行辦法》對數(shù)據(jù)傳輸、數(shù)據(jù)加密、數(shù)據(jù)備份等事項作出具體規(guī)定,對數(shù)據(jù)管理技術手段、數(shù)據(jù)存儲方式、日志管理等提出具體要求。


>> 加強技術手段,確保數(shù)據(jù)安全合規(guī):《暫行辦法》第十二條中規(guī)定,會計師事務所應當明確數(shù)據(jù)傳輸操作規(guī)程。核心數(shù)據(jù)、重要數(shù)據(jù)傳輸過程中應當采用加密技術,保護傳輸安全。第十四條強調(diào)應當建立數(shù)據(jù)備份制度,第十六條強調(diào)采用網(wǎng)絡隔離、用戶認證、訪問控制、數(shù)據(jù)加密、病毒防范、非法入侵檢測等技術手段,及時識別、阻斷和溯源相關網(wǎng)絡攻擊和非法訪問,保障數(shù)據(jù)安全。


>> 重點領域全覆蓋監(jiān)督,特定情況啟動網(wǎng)絡安全審查:對于承接金融、能源、通信、交通、科技、國防科工等重要領域?qū)徲嫎I(yè)務較多的會計師事務所,將開展全覆蓋監(jiān)督檢查,并持續(xù)加強日常監(jiān)管。特定情況下,可以啟動對會計師事務所的網(wǎng)絡安全審查機制。對會計師事務所及其從業(yè)人員違反本辦法規(guī)定,涉及其他部門職責權限的,依法移送有關主管部門處理;構成犯罪的,移送司法機關依法追究刑事責任。


應對措施


>> 加強數(shù)據(jù)安全內(nèi)部防護


1、對內(nèi)部經(jīng)營和非經(jīng)營的數(shù)據(jù)進行分類分級,梳理數(shù)據(jù)資產(chǎn),了解企業(yè)中有哪些機密數(shù)據(jù),并且按照保密等級進行分類,嚴格把控數(shù)據(jù)使用權限。


2、對企業(yè)內(nèi)部所有重要數(shù)據(jù)進行強制、主動加密,保證數(shù)據(jù)全生命周期都在加密狀態(tài)下得到保護,防止數(shù)據(jù)被非正常獲取與使用。確保重要數(shù)據(jù)主動備份,以應對突發(fā)事件。


3、對外發(fā)數(shù)據(jù)進行嚴格管控,經(jīng)過相關領導審批后內(nèi)部文件才能擺脫密文狀態(tài),進行查看和編輯。對于通信、科技、國防科工等重點領域,應當設置多級審批流程,保障國家機密安全。


4、對外提供的文件打上水印,記錄操作人員信息,在安全事故發(fā)生后第一時間鎖定泄密源頭,啟動應急措施。


>> 完善數(shù)據(jù)安全管理制度


1、根據(jù)《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》等相關規(guī)定,對數(shù)據(jù)進行分類分級,梳理數(shù)據(jù)資產(chǎn),按照“最小必要”原則收集數(shù)據(jù),遵循合法、正當、必要原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍。


2、承接重要領域企業(yè)業(yè)務時,在協(xié)議中應當清楚載明相關的數(shù)據(jù)安全要求,包括但不限于在合作中需遵循的合規(guī)、內(nèi)控及風險管理要求,服務質(zhì)量考核評價,安全保密等內(nèi)容;


3、對數(shù)據(jù)交互過程進行持續(xù)監(jiān)控,制定和落實網(wǎng)絡和信息安全管理措施,盡可能降低過程中的網(wǎng)絡和信息安全風險;


4、建立數(shù)據(jù)安全事件應急處理機制,并定期進行事故處置演練。開展員工數(shù)據(jù)安全意識培訓,了解最新的數(shù)據(jù)安全國家政策和行業(yè)規(guī)范,強化員工數(shù)據(jù)安全意識,明確數(shù)據(jù)泄密后企業(yè)和個人將會承擔的法律后果。



《暫行辦法》的發(fā)布,對于相關領域的企業(yè)來說是一個信號,意味著在主體單位處理數(shù)據(jù)全生命周期的過程中將面臨更加細化的監(jiān)管要求。技術標準是安全建設的“尺子”,相信這些標準與要求也會在技術和制度層面將我國的數(shù)據(jù)安全建設推上新的臺階。


電話:18120179909