會計師事務(wù)所在財務(wù)環(huán)境中扮演著關(guān)鍵的角色，不僅是財務(wù)報表的編制者和審核者，也是經(jīng)濟活動中數(shù)據(jù)流動的關(guān)鍵節(jié)點，同時會計師事務(wù)所處理和管理著大量的敏感數(shù)據(jù)?？蛻粜畔⒌谋Ｗo、數(shù)據(jù)泄漏的防止以及業(yè)務(wù)連續(xù)性的保障都對會計師事務(wù)所提出了嚴峻的要求。

《暫行辦法》是會計師事務(wù)所數(shù)據(jù)安全管理的頂層設(shè)計，旨在全面對接《數(shù)據(jù)安全法》的要求，明確規(guī)定了會計師事務(wù)所在數(shù)據(jù)分級分類管理、數(shù)據(jù)處理、數(shù)據(jù)安全保護義務(wù)等方面的責(zé)任，為會計師事務(wù)所提供了一份詳細的數(shù)據(jù)安全管理指南。

>> 明確適用范圍，兩類審計業(yè)務(wù)：《暫行辦法》的適用范圍是在中國境內(nèi)依法設(shè)立并為上市公司以及非上市的國有金融機構(gòu)、中央企業(yè)等提供審計服務(wù),或者開展跨境審計的會計師事務(wù)所及其從業(yè)人員。

>> 確定責(zé)任主體和監(jiān)管機構(gòu)：會計師事務(wù)所承擔(dān)本機構(gòu)的數(shù)據(jù)安全主體責(zé)任。財政部門和網(wǎng)信部門是會計師事務(wù)所數(shù)據(jù)安全的監(jiān)管機構(gòu)。注冊會計師協(xié)會是會計師事務(wù)所數(shù)據(jù)安全的自律管理主體。

>> 要求加強數(shù)據(jù)管理，做好分類分級：《暫行辦法》要求會計師事務(wù)所對數(shù)據(jù)區(qū)分核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)進行分級分類管理?！稌盒修k法》對數(shù)據(jù)傳輸、數(shù)據(jù)加密、數(shù)據(jù)備份等事項作出具體規(guī)定，對數(shù)據(jù)管理技術(shù)手段、數(shù)據(jù)存儲方式、日志管理等提出具體要求。

>> 加強技術(shù)手段，確保數(shù)據(jù)安全合規(guī)：《暫行辦法》第十二條中規(guī)定，會計師事務(wù)所應(yīng)當(dāng)明確數(shù)據(jù)傳輸操作規(guī)程。核心數(shù)據(jù)、重要數(shù)據(jù)傳輸過程中應(yīng)當(dāng)采用加密技術(shù)，保護傳輸安全。第十四條強調(diào)應(yīng)當(dāng)建立數(shù)據(jù)備份制度，第十六條強調(diào)采用網(wǎng)絡(luò)隔離、用戶認證、訪問控制、數(shù)據(jù)加密、病毒防范、非法入侵檢測等技術(shù)手段，及時識別、阻斷和溯源相關(guān)網(wǎng)絡(luò)攻擊和非法訪問，保障數(shù)據(jù)安全。

>> 重點領(lǐng)域全覆蓋監(jiān)督，特定情況啟動網(wǎng)絡(luò)安全審查：對于承接金融、能源、通信、交通、科技、國防科工等重要領(lǐng)域?qū)徲嫎I(yè)務(wù)較多的會計師事務(wù)所，將開展全覆蓋監(jiān)督檢查，并持續(xù)加強日常監(jiān)管。特定情況下，可以啟動對會計師事務(wù)所的網(wǎng)絡(luò)安全審查機制。對會計師事務(wù)所及其從業(yè)人員違反本辦法規(guī)定，涉及其他部門職責(zé)權(quán)限的，依法移送有關(guān)主管部門處理；構(gòu)成犯罪的，移送司法機關(guān)依法追究刑事責(zé)任。

>> 加強數(shù)據(jù)安全內(nèi)部防護

1、對內(nèi)部經(jīng)營和非經(jīng)營的數(shù)據(jù)進行分類分級，梳理數(shù)據(jù)資產(chǎn)，了解企業(yè)中有哪些機密數(shù)據(jù)，并且按照保密等級進行分類，嚴格把控數(shù)據(jù)使用權(quán)限。

2、對企業(yè)內(nèi)部所有重要數(shù)據(jù)進行強制、主動加密，保證數(shù)據(jù)全生命周期都在加密狀態(tài)下得到保護，防止數(shù)據(jù)被非正常獲取與使用。確保重要數(shù)據(jù)主動備份，以應(yīng)對突發(fā)事件。

3、對外發(fā)數(shù)據(jù)進行嚴格管控，經(jīng)過相關(guān)領(lǐng)導(dǎo)審批后內(nèi)部文件才能擺脫密文狀態(tài)，進行查看和編輯。對于通信、科技、國防科工等重點領(lǐng)域，應(yīng)當(dāng)設(shè)置多級審批流程，保障國家機密安全。

4、對外提供的文件打上水印，記錄操作人員信息，在安全事故發(fā)生后第一時間鎖定泄密源頭，啟動應(yīng)急措施。

>> 完善數(shù)據(jù)安全管理制度

1、根據(jù)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等相關(guān)規(guī)定，對數(shù)據(jù)進行分類分級，梳理數(shù)據(jù)資產(chǎn)，按照“最小必要”原則收集數(shù)據(jù)，遵循合法、正當(dāng)、必要原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍。

2、承接重要領(lǐng)域企業(yè)業(yè)務(wù)時，在協(xié)議中應(yīng)當(dāng)清楚載明相關(guān)的數(shù)據(jù)安全要求，包括但不限于在合作中需遵循的合規(guī)、內(nèi)控及風(fēng)險管理要求，服務(wù)質(zhì)量考核評價，安全保密等內(nèi)容；

3、對數(shù)據(jù)交互過程進行持續(xù)監(jiān)控，制定和落實網(wǎng)絡(luò)和信息安全管理措施，盡可能降低過程中的網(wǎng)絡(luò)和信息安全風(fēng)險；

4、建立數(shù)據(jù)安全事件應(yīng)急處理機制，并定期進行事故處置演練。開展員工數(shù)據(jù)安全意識培訓(xùn)，了解最新的數(shù)據(jù)安全國家政策和行業(yè)規(guī)范，強化員工數(shù)據(jù)安全意識，明確數(shù)據(jù)泄密后企業(yè)和個人將會承擔(dān)的法律后果。

《暫行辦法》的發(fā)布，對于相關(guān)領(lǐng)域的企業(yè)來說是一個信號，意味著在主體單位處理數(shù)據(jù)全生命周期的過程中將面臨更加細化的監(jiān)管要求。技術(shù)標(biāo)準(zhǔn)是安全建設(shè)的“尺子”，相信這些標(biāo)準(zhǔn)與要求也會在技術(shù)和制度層面將我國的數(shù)據(jù)安全建設(shè)推上新的臺階。