犹记得今年5月财政部、国务院国资委、证监会联合印发的《国有企业、上市公司选聘会计师事务所管理办法》中,信息安全管理被列为选聘会计师事务所的评价要素之一。明确要求国有企业、上市公司在选聘时要加强对会计师事务所信息安全管理能力的审查,在选聘合同中应设置单独条款明确信息安全保护责任和要求,在向会计师事务所提供文件资料时加强对涉密敏感信息的管控,有效防范信息泄露风险。会计师事务所应履行信息安全保护义务,依法依规依合同规范信息数据处理活动。
如果说上述办法是以选聘机制着手从客户方反向驱动会计师事务所提升安全管理能力,遏制行业恶性竞争;那么,此次《办法》的出台,则进一步直接从正面明确规定了会计师事务所在开展日常业务时的数据安全保障义务。
具体而言,《办法》将影响在中国境内依法设立的会计师事务所开展审计业务和跨境审计业务涉及的相关数据处理活动,具体包括:为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的;开展跨境审计业务的。
《办法》聚焦的“数据”,是指会计师事务所执行审计业务过程中,从外部获取和内部生成的任何以电子或者其他方式对信息的记录。
《办法》明确,会计师事务所的首席合伙人(主任会计师)是本所数据安全负责人。主要强调三方面的义务:
1、数据本地化
存储地点:会计师事务所的审计工作底稿及相关数据应当存储在境内,不得在境外备份。
存储期限相关的信息系统、数据库、网络设备、网络安全设备等设置并启用访问日志记录功能。日志应当存放境内,其中,日志中的用户登录及访问日志保存期限不得少于十年,其他日志保存期限不得少于六个月。
存储运维:审计工作底稿和相关数据的加密设备应当设置在境内并由境内团队负责运行维护,密钥应当存储在境内。
2、数据分类分级
会计师事务所应当通过业务约定书等方式与被审计单位明确审计资料分级分类要求,审计资料分级分类的要求应当与被审计单位相关资料分级分类的要求保持一致。
● 核心数据:会计师事务所应当建立核心数据保护机制,通过专用服务器或者会计师事务所私有云平台设置内部专门空间存储,使用加密虚拟专用网络等技术手段传输,对核心数据的存储、读取、转移应当建立授权与记录机制并保证有效运行。
● 重要数据:会计师事务所应当制定和执行规范的处理流程,将其存放于和互联网逻辑隔离的信息系统中,并严格控制接触人员范围。
● 一般数据:会计师事务所应当采取基于用户角色的授权访问控制,并且按照最小权限原则授权。
3、数据出境
在境内形成的审计工作底稿应当存放在境内。需要出境的,按照国家有关规定办理审批手续。
不得在业务约定书或类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。