會計師事務所在財務環(huán)境中扮演著關鍵的角色，不僅是財務報表的編制者和審核者，也是經(jīng)濟活動中數(shù)據(jù)流動的關鍵節(jié)點，同時會計師事務所處理和管理著大量的敏感數(shù)據(jù)?？蛻粜畔⒌谋Ｗo、數(shù)據(jù)泄漏的防止以及業(yè)務連續(xù)性的保障都對會計師事務所提出了嚴峻的要求。

《暫行辦法》是會計師事務所數(shù)據(jù)安全管理的頂層設計，旨在全面對接《數(shù)據(jù)安全法》的要求，明確規(guī)定了會計師事務所在數(shù)據(jù)分級分類管理、數(shù)據(jù)處理、數(shù)據(jù)安全保護義務等方面的責任，為會計師事務所提供了一份詳細的數(shù)據(jù)安全管理指南。

>> 明確適用范圍，兩類審計業(yè)務：《暫行辦法》的適用范圍是在中國境內(nèi)依法設立并為上市公司以及非上市的國有金融機構、中央企業(yè)等提供審計服務,或者開展跨境審計的會計師事務所及其從業(yè)人員。

>> 確定責任主體和監(jiān)管機構：會計師事務所承擔本機構的數(shù)據(jù)安全主體責任。財政部門和網(wǎng)信部門是會計師事務所數(shù)據(jù)安全的監(jiān)管機構。注冊會計師協(xié)會是會計師事務所數(shù)據(jù)安全的自律管理主體。

>> 要求加強數(shù)據(jù)管理，做好分類分級：《暫行辦法》要求會計師事務所對數(shù)據(jù)區(qū)分核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)進行分級分類管理。《暫行辦法》對數(shù)據(jù)傳輸、數(shù)據(jù)加密、數(shù)據(jù)備份等事項作出具體規(guī)定，對數(shù)據(jù)管理技術手段、數(shù)據(jù)存儲方式、日志管理等提出具體要求。

>> 加強技術手段，確保數(shù)據(jù)安全合規(guī)：《暫行辦法》第十二條中規(guī)定，會計師事務所應當明確數(shù)據(jù)傳輸操作規(guī)程。核心數(shù)據(jù)、重要數(shù)據(jù)傳輸過程中應當采用加密技術，保護傳輸安全。第十四條強調(diào)應當建立數(shù)據(jù)備份制度，第十六條強調(diào)采用網(wǎng)絡隔離、用戶認證、訪問控制、數(shù)據(jù)加密、病毒防范、非法入侵檢測等技術手段，及時識別、阻斷和溯源相關網(wǎng)絡攻擊和非法訪問，保障數(shù)據(jù)安全。

>> 重點領域全覆蓋監(jiān)督，特定情況啟動網(wǎng)絡安全審查：對于承接金融、能源、通信、交通、科技、國防科工等重要領域?qū)徲嫎I(yè)務較多的會計師事務所，將開展全覆蓋監(jiān)督檢查，并持續(xù)加強日常監(jiān)管。特定情況下，可以啟動對會計師事務所的網(wǎng)絡安全審查機制。對會計師事務所及其從業(yè)人員違反本辦法規(guī)定，涉及其他部門職責權限的，依法移送有關主管部門處理；構成犯罪的，移送司法機關依法追究刑事責任。

>> 加強數(shù)據(jù)安全內(nèi)部防護

1、對內(nèi)部經(jīng)營和非經(jīng)營的數(shù)據(jù)進行分類分級，梳理數(shù)據(jù)資產(chǎn)，了解企業(yè)中有哪些機密數(shù)據(jù)，并且按照保密等級進行分類，嚴格把控數(shù)據(jù)使用權限。

2、對企業(yè)內(nèi)部所有重要數(shù)據(jù)進行強制、主動加密，保證數(shù)據(jù)全生命周期都在加密狀態(tài)下得到保護，防止數(shù)據(jù)被非正常獲取與使用。確保重要數(shù)據(jù)主動備份，以應對突發(fā)事件。

3、對外發(fā)數(shù)據(jù)進行嚴格管控，經(jīng)過相關領導審批后內(nèi)部文件才能擺脫密文狀態(tài)，進行查看和編輯。對于通信、科技、國防科工等重點領域，應當設置多級審批流程，保障國家機密安全。

4、對外提供的文件打上水印，記錄操作人員信息，在安全事故發(fā)生后第一時間鎖定泄密源頭，啟動應急措施。

>> 完善數(shù)據(jù)安全管理制度

1、根據(jù)《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》等相關規(guī)定，對數(shù)據(jù)進行分類分級，梳理數(shù)據(jù)資產(chǎn)，按照“最小必要”原則收集數(shù)據(jù)，遵循合法、正當、必要原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍。

2、承接重要領域企業(yè)業(yè)務時，在協(xié)議中應當清楚載明相關的數(shù)據(jù)安全要求，包括但不限于在合作中需遵循的合規(guī)、內(nèi)控及風險管理要求，服務質(zhì)量考核評價，安全保密等內(nèi)容；

3、對數(shù)據(jù)交互過程進行持續(xù)監(jiān)控，制定和落實網(wǎng)絡和信息安全管理措施，盡可能降低過程中的網(wǎng)絡和信息安全風險；

4、建立數(shù)據(jù)安全事件應急處理機制，并定期進行事故處置演練。開展員工數(shù)據(jù)安全意識培訓，了解最新的數(shù)據(jù)安全國家政策和行業(yè)規(guī)范，強化員工數(shù)據(jù)安全意識，明確數(shù)據(jù)泄密后企業(yè)和個人將會承擔的法律后果。

《暫行辦法》的發(fā)布，對于相關領域的企業(yè)來說是一個信號，意味著在主體單位處理數(shù)據(jù)全生命周期的過程中將面臨更加細化的監(jiān)管要求。技術標準是安全建設的“尺子”，相信這些標準與要求也會在技術和制度層面將我國的數(shù)據(jù)安全建設推上新的臺階。