5月10日，财政部、国家网信办联合印发《会计师事务所数据安全管理暂行办法》，自2024年10月1日起施行。《暂行办法》要求，会计师事务所应当建立数据备份制度。会计师事务所审计工作底稿应当按照法律、行政法规和国家有关规定存储在境内。

　　《暂行办法》明确，《暂行办法》主要适用于境内依法设立的会计师事务所开展的审计业务相关数据处理活动，包括为上市公司以及非上市的国有金融机构或中央企业等提供审计服务；为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务；为境内企业境外上市提供审计服务。会计师事务所未从事前述三类业务，但审计业务涉及重要数据或者核心数据，也应根据《暂行办法》进行数据处理活动。

　　《暂行办法》要求，会计师事务所应按照相关法律法规的规定和被审计单位所处行业数据分类分级的标准，确定核心数据、重要数据和一般数据。被审计单位有义务通过业务约定书、确认函等方式告知会计师事务所审计资料中的核心数据和重要数据相关信息。

　　《暂行办法》对核心数据和重要数据的存储、相关日志、传输等作出明确要求。在数据存储上，存储重要数据的信息系统要落实三级及以上网络安全等级保护要求，存储核心数据的信息系统要落实四级网络安全等级保护要求。在日志管理上，要求涉及核心数据的相关日志，留存时间不少于三年，涉及重要数据的相关日志，留存时间不少于一年，其中向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年。涉及一般数据，按照国家相关规定处理，《暂行办法》不作特别要求。

　　截至目前，我国有35家会计师事务所加入或创建了28个国际会计网络，行业对外交流合作日益密切。《暂行办法》规定，会计师事务所审计工作底稿应按相关规定存放在境内。会计师事务所不得在业务约定书或类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。境外监管机构因监管需要确需调取境内审计工作底稿的，应通过相应的跨境监管合作机制依法依规获取，相应审计工作底稿出境应当办理审批手续。

　　《暂行办法》对会计师事务所在建立内部网络安全管理制度、网络管理资源投入、网络安全技术防护、网络管理账户权限等方面作出具体要求，指导会计师事务所为数据安全管理工作提供安全的网络环境。《暂行办法》明确，会计师事务所应当做好信息系统安全管理和技术防护，设置严格的访问控制策略，防范未经授权的访问行为。

　　《暂行办法》要求会计师事务所建立数据备份制度，确保在审计相关应用系统因外部技术原因被停止使用、被限制使用等情况下，仍能访问、调取、使用相关审计工作底稿。加密设备应当设置在境内并由境内团队负责运行维护，密钥应当存储在境内。会计师事务所应当拥有其审计业务系统中网络设备、网络安全设备的自主管理权限，统一设置、维护系统管理员账户和工作人员账户，不得设置不受限制、不受监控的超级账户，不得将管理员账号交由第三方运维机构管理使用。

（文章来源：证券时报）