原标题:《会计师事务所数据安全管理暂行办法》发布,数据安全管理迎来新挑战
《办法》共 5 章 36 条。共分为总则、数据管理、网络管理、监督检查、附则五个部分。
《办法》明确适合使用的范围,包含两类审计业务;明确责任主体和监督管理的机构,并对重点领域全覆盖监督,特定情况启动网络安全审查。
第二条 在中华人民共和国境内依法设立的会计师事务所开展下列审计业务相关数据处理活动的,适用本办法:
第四条 会计师事务所承担本机构的数据安全主体责任,履行数据安全保护义务。
等重要领域审计业务的会计师事务所,有关部门应当开展全覆盖监督检查,并持续加强日常监管。
第二十八条 承接关系国计民生、重要领域审计业务的会计师事务所开展数据处理活动,影响或者可能会影响国家安全的,按照网络安全审查相关机制进行网络安全审查。
《办法》对审计数据的存储地点、存储期限相关系统的功能和存储运维等方面提出了明确的本地化要求。
《办法》明确要求,建立核心数据保护机制,对重要数据逻辑隔离并严控接触人员范围,对一般数据的授权访问控制实施最小授权原则授权。
第九条 会计师事务所应当按照有关规定法律法规的规定和被审计单位所处行业数据分级分类标准确定
会计师事务所应当通过业务约定书等方式与被审计单位明确审计资料分级分类要求,审计资料分级分类的要求应当与被审计单位有关的资料分级分类的
,通过专用服务器或者会计师事务所私有云平台设置内部专门空间存储,使用加密虚拟专用网络等技术方法传输,对核心数据的存储、读取、转移应当建立授权与记录机制并保证有效运行。
,会计师事务所应当制定和执行规范的处理流程,将其存放于和互联网逻辑隔离的信息系统中,并严控接触人员范围。
,会计师事务所应当采取基于用户角色的授权访问控制,并且按照最小权限原则授权。
《办法》要求,应建立数据出境逐级复核机制,对涉密信息、敏感信息严格落实管控责任。
《办法》要求对于数据访问行为的授权策略、访问控制策略,数据访问账户中的权限管理、超级账户问题进行明确要求。
第二十二条 会计师事务所应当做好信息系统安全管理和技术防护,根据存储、处理数据的级别采取对应的网络物理隔离或者逻辑隔离等措施,设置严格的访问控制策略,防范没有经过授权的访问行为。
第二十三条 会计师事务所应当拥有其使用的审计业务系统中网络设备、网络安全设备的配置和管理的最高权限,统一管理、维护系统管理员账户和工作人员账户,不可以设置不受限制的超级账户。
加入国际网络的会计师事务所使用所在国际网络的信息系统的,应当采取用户隔离和数据隔离等措施。
今年7月,北京注册会计师协会公布的一份调研报告中显示,北京地区136家会计师事务所整体信息化发展程度较好, 但仍然有9.56%的会计师事务所在观望。大多数会计师事务所近三年相关支出不足5万元;建立数据安全制度规范的仅为24家,占17.65%,甚至有2家认为没有必要。
《办法》的推出在全面对接《数据安全法》的要求以外,也对会计师事务所在数据分类分级管理、数据访问行为控制、数据安全管理制度等提供了指南。基于此,原点安全建议,统筹自身信息化推进投入与数据安全保护力度,以服务化产品为优先选择降低人员与财务成本。其次,从一体化的思路开展数据安全管理工作,兼顾当前数据安全保护要求与未来的持续合规能力。第三,要规避单点建设容易造成的兼容拓展性差、成本高、难维护的问题。返回搜狐,查看更加多
