安全資訊

文 | 北京工商大學(xué)商學(xué)院教授、北京工商大學(xué)注冊會(huì )計師行業(yè)研究院院長(cháng) 王鵬程

財政部和國家網(wǎng)信辦近日聯(lián)合印發(fā)《會(huì )計師事務(wù)所數據安全管理暫行辦法》（以下簡(jiǎn)稱(chēng)《暫行辦法》）?！稌盒修k法》規范了會(huì )計師事務(wù)所數據處理活動(dòng)，有助于注冊會(huì )計師行業(yè)加強數據安全管理工作，具有十分重要的意義。

落實(shí)法律要求 完善行業(yè)制度

黨的二十大報告提出“以新安全格局保障新發(fā)展格局”，體現了統籌發(fā)展和安全的根本要求，明確了構建新安全格局的戰略任務(wù)。習近平總書(shū)記在主持召開(kāi)中央全面深化改革委員會(huì )第二十六次會(huì )議時(shí)強調，數據基礎制度建設事關(guān)國家發(fā)展和安全大局，要維護國家數據安全，保護個(gè)人信息和商業(yè)秘密，促進(jìn)數據高效流通使用、賦能實(shí)體經(jīng)濟，統籌推進(jìn)數據產(chǎn)權、流通交易、收益分配、安全治理，加快構建數據基礎制度體系。

2017年6月1日，《中華人民共和國網(wǎng)絡(luò )安全法》正式施行。之后，我國相繼頒布《中華人民共和國數據安全法》和《中華人民共和國個(gè)人信息保護法》等法律法規。國務(wù)院也在2021年發(fā)布的《國務(wù)院辦公廳關(guān)于進(jìn)一步規范財務(wù)審計秩序 促進(jìn)注冊會(huì )計師行業(yè)健康發(fā)展的意見(jiàn)》（國辦發(fā)〔2021〕30號）中強調要加快推進(jìn)注冊會(huì )計師行業(yè)法律和基礎制度建設，及時(shí)跟進(jìn)健全相關(guān)制度規定。

會(huì )計師事務(wù)所是數字經(jīng)濟發(fā)展中非常特殊的一類(lèi)機構。由于其業(yè)務(wù)的特點(diǎn)，會(huì )在工作過(guò)程中接觸到包括金融、能源、電信、交通、科技、國防科工等重要領(lǐng)域在內的各行各業(yè)的數據，而且會(huì )計師事務(wù)所通常具有較強的數據分析能力，因此亟需行業(yè)規范其數據處理活動(dòng)?！稌盒修k法》是對前述法律、法規和文件要求的全面落實(shí)，是在注冊會(huì )計師行業(yè)對國家網(wǎng)絡(luò )和數據安全管理相關(guān)規定的細化，將有力推動(dòng)注冊會(huì )計師行業(yè)數據安全管理工作制度化、規范化，同時(shí)順應數字經(jīng)濟發(fā)展趨勢，為會(huì )計師事務(wù)所依法合規開(kāi)展數據處理活動(dòng)提供了依據，有利于保障會(huì )計師事務(wù)所的數據安全。

進(jìn)行頂層設計 規范重點(diǎn)內容

《暫行辦法》是會(huì )計師事務(wù)所數據安全管理的頂層設計藍圖。一是全面對接《中華人民共和國數據安全法》等法律法規要求。在注冊會(huì )計師行業(yè)對國家數據安全管理制度進(jìn)行細化，明確落實(shí)數據分級分類(lèi)管理制度、各類(lèi)數據處理要求、數據安全保護義務(wù)等法律規定，為行業(yè)數據安全監管提供制度保障；二是明確數據管理要求。根據注冊會(huì )計師行業(yè)的實(shí)際情況，明確了會(huì )計師事務(wù)所數據管理的主要內容、責任人員、管理要求、網(wǎng)絡(luò )防護等要求，指導行業(yè)健全數據安全管理和技術(shù)保護措施，履行保護義務(wù)；三是構建注冊會(huì )計師行業(yè)數據安全監管體系。明確財政部、國家網(wǎng)信辦、地方財政部門(mén)、地方網(wǎng)信部門(mén)和注冊會(huì )計師協(xié)會(huì )，以及公安機關(guān)、國家安全機關(guān)等各方面的職責范圍，建立了權責一致的工作機制。確保有效銜接，加強信息共享，推動(dòng)實(shí)現跨地區、跨部門(mén)、跨層級協(xié)同監管。

《暫行辦法》主要適用于境內依法設立的會(huì )計師事務(wù)所開(kāi)展的審計業(yè)務(wù)相關(guān)數據處理活動(dòng)?！稌盒修k法》所指數據，包括會(huì )計師事務(wù)所執行審計業(yè)務(wù)過(guò)程中從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。

《暫行辦法》要求會(huì )計師事務(wù)所應按照相關(guān)法律法規的規定和被審計單位所處行業(yè)數據分類(lèi)分級的標準，確定核心數據、重要數據和一般數據，并對核心數據和重要數據的存儲、相關(guān)日志、傳輸等作出明確要求。

《暫行辦法》要求會(huì )計師事務(wù)所審計工作底稿應按相關(guān)規定存放在境內，不得在業(yè)務(wù)約定書(shū)或類(lèi)似合同中約定向境外監管機構提供境內項目資料數據等類(lèi)似條款?！稌盒修k法》對審計工作底稿出境事項亦明確了相關(guān)要求。

《暫行辦法》對會(huì )計師事務(wù)所在建立內部網(wǎng)絡(luò )安全管理制度、網(wǎng)絡(luò )管理資源投入、網(wǎng)絡(luò )安全技術(shù)防護、網(wǎng)絡(luò )管理賬戶(hù)權限等方面做出具體要求，指導會(huì )計事務(wù)所為數據安全管理工作提供安全的的網(wǎng)絡(luò )環(huán)境。

《暫行辦法》要求會(huì )計師事務(wù)所建立數據備份制度，確保在審計相關(guān)應用系統因外部技術(shù)原因被停止使用、被限制使用等情況下，仍能訪(fǎng)問(wèn)、調取、使用相關(guān)審計工作底稿。加密設備應當設置在境內并由境內團隊負責運行維護，密鑰應當存儲在境內。

《暫行辦法》要求會(huì )計師事務(wù)所擁有其審計業(yè)務(wù)系統中網(wǎng)絡(luò )設備、網(wǎng)絡(luò )安全設備的自主管理權限，統一設置、維護系統管理員賬戶(hù)和工作人員賬戶(hù)，不得設置不受限制、不受監控的超級賬戶(hù)，不得將管理員賬號交由第三方運維機構管理使用。截至目前，我國有35家會(huì )計師事務(wù)所加入或創(chuàng )建了28個(gè)國際會(huì )計網(wǎng)絡(luò )，行業(yè)對外交流合作日益密切。

《暫行辦法》規定，加入國際網(wǎng)絡(luò )的會(huì )計師事務(wù)所使用所在國際網(wǎng)絡(luò )的信息系統的，應當采取必要措施，使其符合國家數據安全法律、行政法規和本辦法的規定，確保本所數據安全。

落實(shí)辦法要求 筑牢安全防線(xiàn)

《暫行辦法》明確規定會(huì )計師事務(wù)所的首席合伙人（主任會(huì )計師）是本所數據安全負責人，并要求會(huì )計師事務(wù)所應當按照業(yè)務(wù)活動(dòng)規模及復雜程度配置具備相應職業(yè)技能水平的網(wǎng)絡(luò )管理技術(shù)人員，確保合理的網(wǎng)絡(luò )資源投入和資金投入。建議會(huì )計師事務(wù)所將數據安全管理納入經(jīng)營(yíng)管理的頂層政策進(jìn)行考慮。對此，可從以下幾方面著(zhù)手建設：

一是健全數據安全治理結構。會(huì )計師事務(wù)所應健全本所的數據安全管理組織架構，明確數據安全管理權責機制，實(shí)施與業(yè)務(wù)特點(diǎn)相適應的數據分類(lèi)分級管理制度。
二是建立數據全生命周期安全管理體系。數據安全貫穿數據生命周期的各個(gè)環(huán)節，即數據的收集、存儲、使用、加工、傳輸、提供、公開(kāi)、刪除等。數據安全有賴(lài)于每個(gè)環(huán)節的安全管理要求和技術(shù)保障能力，且數據安全風(fēng)險具有快速隱蔽的特點(diǎn)。會(huì )計師事務(wù)所應提高數據管理的精準度，實(shí)行智能化管理，對已收集的數據進(jìn)行自動(dòng)化分析、智能化分級，在降低數據管理成本的同時(shí)，實(shí)現數據的精準高效管理。
三是提升數據安全事件應急處理能力。會(huì )計師事務(wù)所應當建立數據安全應急處置機制，加強數據安全風(fēng)險監測。一旦發(fā)現數據外泄、安全漏洞等風(fēng)險的，應當立即采取補救、處置措施。發(fā)生重大數據安全事件，導致核心數據或者重要數據泄露、丟失或者被竊取、篡改的，應當及時(shí)向有關(guān)主管部門(mén)報告。
四是加強數據安全人才隊伍建設。會(huì )計師事務(wù)所應組建一支數字化素養良好、數據安全管控意識強、數據管理基礎扎實(shí)的數據安全管理核心隊伍，通過(guò)事前預防、事中監控、事后追蹤的方式，密切關(guān)注注冊會(huì )計師行業(yè)數據安全重點(diǎn)領(lǐng)域、重點(diǎn)時(shí)空節點(diǎn)，維護本所數據安全。
五是提高數據安全風(fēng)險防范意識。隨著(zhù)各類(lèi)數字化技術(shù)在會(huì )計師事務(wù)所的廣泛應用，信息系統中的數據量不斷增多且新型網(wǎng)絡(luò )攻擊層出不窮。會(huì )計師事務(wù)所在加大信息系統安全防護能力的同時(shí)，必須加強全員安全防范意識。要營(yíng)造全所的數據安全保護氛圍。會(huì )計師事務(wù)所可充分利用國家網(wǎng)絡(luò )安全宣傳周等契機，發(fā)揮線(xiàn)上線(xiàn)下多渠道宣傳優(yōu)勢，通過(guò)事務(wù)所網(wǎng)站、微信公眾號、宣傳展板以及網(wǎng)絡(luò )數據安全體驗展、知識競答、專(zhuān)題講座等方式，普及數據安全保護相關(guān)的法律知識，提升員工網(wǎng)絡(luò )風(fēng)險意識、安全意識和責任意識，形成全所上下共同維護數據安全的良好環(huán)境。

加大監管力度 強化協(xié)同配合

《暫行辦法》構建了橫向協(xié)同、縱向聯(lián)動(dòng)的行業(yè)數據安全監管機制,明確財政部門(mén)、網(wǎng)信部門(mén)、公安機關(guān)、國家安全機關(guān)等各方職責。在對會(huì )計師事務(wù)所進(jìn)行監督檢查的過(guò)程中，各部門(mén)應確保有效銜接，加強信息共享，推動(dòng)實(shí)現跨地區、跨部門(mén)、跨層級協(xié)同監管。

數據安全是注冊會(huì )計師行業(yè)的“生命線(xiàn)“，推動(dòng)其數據安全保護體系的構建，不僅有助于加強會(huì )計師事務(wù)所的數據安全，而且也能夠切實(shí)保障各行各業(yè)的數據安全和國家的數據主權。

（來(lái)源：中國會(huì )計報）