财政部和国家网信办近日联合印发《会计师事务所数据安全管理暂行办法》(以下简称《暂行办法》)。《暂行办法》规范了会计师事务所数据处理活动,有助于注册会计师行业加强数据安全管理工作,具有十分重要的意义。

落实法律要求 完善行业制度

党的二十大报告提出“以新安全格局保障新发展格局”,体现了统筹发展和安全的根本要求,明确了构建新安全格局的战略任务。习近平总书记在主持召开中央全面深化改革委员会第二十六次会议时强调,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。

2017年6月1日,《中华人民共和国网络安全法》正式施行。之后,我国相继颁布《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等法律法规。国务院也在2021年发布的《国务院办公厅关于进一步规范财务审计秩序 促进注册会计师行业健康发展的意见》(国办发〔2021〕30号)中强调要加快推进注册会计师行业法律和基础制度建设,及时跟进健全相关制度规定。

会计师事务所是数字经济发展中非常特殊的一类机构。由于其业务的特点,会在工作过程中接触到包括金融、能源、电信、交通、科技、国防科工等重要领域在内的各行各业的数据,而且会计师事务所通常具有较强的数据分析能力,因此亟需行业规范其数据处理活动。《暂行办法》是对前述法律、法规和文件要求的全面落实,是在注册会计师行业对国家网络和数据安全管理相关规定的细化,将有力推动注册会计师行业数据安全管理工作制度化、规范化,同时顺应数字经济发展趋势,为会计师事务所依法合规开展数据处理活动提供了依据,有利于保障会计师事务所的数据安全。

进行顶层设计 规范重点内容

《暂行办法》是会计师事务所数据安全管理的顶层设计蓝图。一是全面对接《中华人民共和国数据安全法》等法律法规要求。在注册会计师行业对国家数据安全管理制度进行细化,明确落实数据分级分类管理制度、各类数据处理要求、数据安全保护义务等法律规定,为行业数据安全监管提供制度保障;二是明确数据管理要求。根据注册会计师行业的实际情况,明确了会计师事务所数据管理的主要内容、责任人员、管理要求、网络防护等要求,指导行业健全数据安全管理和技术保护措施,履行保护义务;三是构建注册会计师行业数据安全监管体系。明确财政部、国家网信办、地方财政部门、地方网信部门和注册会计师协会,以及公安机关、国家安全机关等各方面的职责范围,建立了权责一致的工作机制。确保有效衔接,加强信息共享,推动实现跨地区、跨部门、跨层级协同监管。

《暂行办法》主要适用于境内依法设立的会计师事务所开展的审计业务相关数据处理活动。《暂行办法》所指数据,包括会计师事务所执行审计业务过程中从外部获取和内部生成的任何以电子或者其他方式对信息的记录。

《暂行办法》要求会计师事务所应按照相关法律法规的规定和被审计单位所处行业数据分类分级的标准,确定核心数据、重要数据和一般数据,并对核心数据和重要数据的存储、相关日志、传输等作出明确要求。

《暂行办法》要求会计师事务所审计工作底稿应按相关规定存放在境内,不得在业务约定书或类似合同中约定向境外监管机构提供境内项目资料数据等类似条款。《暂行办法》对审计工作底稿出境事项亦明确了相关要求。

《暂行办法》对会计师事务所在建立内部网络安全管理制度、网络管理资源投入、网络安全技术防护、网络管理账户权限等方面做出具体要求,指导会计事务所为数据安全管理工作提供安全的的网络环境。

《暂行办法》要求会计师事务所建立数据备份制度,确保在审计相关应用系统因外部技术原因被停止使用、被限制使用等情况下,仍能访问、调取、使用相关审计工作底稿。加密设备应当设置在境内并由境内团队负责运行维护,密钥应当存储在境内。

《暂行办法》要求会计师事务所拥有其审计业务系统中网络设备、网络安全设备的自主管理权限,统一设置、维护系统管理员账户和工作人员账户,不得设置不受限制、不受监控的超级账户,不得将管理员账号交由第三方运维机构管理使用。

截至目前,我国有35家会计师事务所加入或创建了28个国际会计网络,行业对外交流合作日益密切。《暂行办法》规定,加入国际网络的会计师事务所使用所在国际网络的信息系统的,应当采取必要措施,使其符合国家数据安全法律、行政法规和本办法的规定,确保本所数据安全。

落实办法要求 筑牢安全防线

《暂行办法》明确规定会计师事务所的首席合伙人(主任会计师)是本所数据安全负责人,并要求会计师事务所应当按照业务活动规模及复杂程度配置具备相应职业技能水平的网络管理技术人员,确保合理的网络资源投入和资金投入。建议会计师事务所将数据安全管理纳入经营管理的顶层政策进行考虑。对此,可从以下几方面着手建设:

一是健全数据安全治理结构。会计师事务所应健全本所的数据安全管理组织架构,明确数据安全管理权责机制,实施与业务特点相适应的数据分类分级管理制度。

二是建立数据全生命周期安全管理体系。数据安全贯穿数据生命周期的各个环节,即数据的收集、存储、使用、加工、传输、提供、公开、删除等。数据安全有赖于每个环节的安全管理要求和技术保障能力,且数据安全风险具有快速隐蔽的特点。会计师事务所应提高数据管理的精准度,实行智能化管理,对已收集的数据进行自动化分析、智能化分级,在降低数据管理成本的同时,实现数据的精准高效管理。

三是提升数据安全事件应急处理能力。会计师事务所应当建立数据安全应急处置机制,加强数据安全风险监测。一旦发现数据外泄、安全漏洞等风险的,应当立即采取补救、处置措施。发生重大数据安全事件,导致核心数据或者重要数据泄露、丢失或者被窃取、篡改的,应当及时向有关主管部门报告。

四是加强数据安全人才队伍建设。会计师事务所应组建一支数字化素养良好、数据安全管控意识强、数据管理基础扎实的数据安全管理核心队伍,通过事前预防、事中监控、事后追踪的方式,密切关注注册会计师行业数据安全重点领域、重点时空节点,维护本所数据安全。

五是提高数据安全风险防范意识。随着各类数字化技术在会计师事务所的广泛应用,信息系统中的数据量不断增多且新型网络攻击层出不穷。会计师事务所在加大信息系统安全防护能力的同时,必须加强全员安全防范意识。要营造全所的数据安全保护氛围。会计师事务所可充分利用国家网络安全宣传周等契机,发挥线上线下多渠道宣传优势,通过事务所网站、微信公众号、宣传展板以及网络数据安全体验展、知识竞答、专题讲座等方式,普及数据安全保护相关的法律知识,提升员工网络风险意识、安全意识和责任意识,形成全所上下共同维护数据安全的良好环境。

加大监管力度 强化协同配合

《暂行办法》构建了横向协同、纵向联动的行业数据安全监管机制,明确财政部门、网信部门、公安机关、国家安全机关等各方职责。在对会计师事务所进行监督检查的过程中,各部门应确保有效衔接,加强信息共享,推动实现跨地区、跨部门、跨层级协同监管。

数据安全是注册会计师行业的“生命线“,推动其数据安全保护体系的构建,不仅有助于加强会计师事务所的数据安全,而且也能够切实保障各行各业的数据安全和国家的数据主权。

(作者系北京工商大学商学院教授、北京工商大学注册会计师行业研究院院长)

声明:本文来自中国会计报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。