會(huì)計(jì)師事務(wù)所在財(cái)務(wù)環(huán)境中扮演著關(guān)鍵的角色，不僅是財(cái)務(wù)報(bào)表的編制者和審核者，也是經(jīng)濟(jì)活動(dòng)中數(shù)據(jù)流動(dòng)的關(guān)鍵節(jié)點(diǎn)，同時(shí)會(huì)計(jì)師事務(wù)所處理和管理著大量的敏感數(shù)據(jù)?？蛻粜畔⒌谋Ｗo(hù)、數(shù)據(jù)泄漏的防止以及業(yè)務(wù)連續(xù)性的保障都對會(huì)計(jì)師事務(wù)所提出了嚴(yán)峻的要求。

《暫行辦法》是會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理的頂層設(shè)計(jì)，旨在全面對接《數(shù)據(jù)安全法》的要求，明確規(guī)定了會(huì)計(jì)師事務(wù)所在數(shù)據(jù)分級(jí)分類管理、數(shù)據(jù)處理、數(shù)據(jù)安全保護(hù)義務(wù)等方面的責(zé)任，為會(huì)計(jì)師事務(wù)所提供了一份詳細(xì)的數(shù)據(jù)安全管理指南。

>> 明確適用范圍，兩類審計(jì)業(yè)務(wù)：《暫行辦法》的適用范圍是在中國境內(nèi)依法設(shè)立并為上市公司以及非上市的國有金融機(jī)構(gòu)、中央企業(yè)等提供審計(jì)服務(wù),或者開展跨境審計(jì)的會(huì)計(jì)師事務(wù)所及其從業(yè)人員。

>> 確定責(zé)任主體和監(jiān)管機(jī)構(gòu)：會(huì)計(jì)師事務(wù)所承擔(dān)本機(jī)構(gòu)的數(shù)據(jù)安全主體責(zé)任。財(cái)政部門和網(wǎng)信部門是會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全的監(jiān)管機(jī)構(gòu)。注冊會(huì)計(jì)師協(xié)會(huì)是會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全的自律管理主體。

>> 要求加強(qiáng)數(shù)據(jù)管理，做好分類分級(jí)：《暫行辦法》要求會(huì)計(jì)師事務(wù)所對數(shù)據(jù)區(qū)分核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)進(jìn)行分級(jí)分類管理?！稌盒修k法》對數(shù)據(jù)傳輸、數(shù)據(jù)加密、數(shù)據(jù)備份等事項(xiàng)作出具體規(guī)定，對數(shù)據(jù)管理技術(shù)手段、數(shù)據(jù)存儲(chǔ)方式、日志管理等提出具體要求。

>> 加強(qiáng)技術(shù)手段，確保數(shù)據(jù)安全合規(guī)：《暫行辦法》第十二條中規(guī)定，會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)明確數(shù)據(jù)傳輸操作規(guī)程。核心數(shù)據(jù)、重要數(shù)據(jù)傳輸過程中應(yīng)當(dāng)采用加密技術(shù)，保護(hù)傳輸安全。第十四條強(qiáng)調(diào)應(yīng)當(dāng)建立數(shù)據(jù)備份制度，第十六條強(qiáng)調(diào)采用網(wǎng)絡(luò)隔離、用戶認(rèn)證、訪問控制、數(shù)據(jù)加密、病毒防范、非法入侵檢測等技術(shù)手段，及時(shí)識(shí)別、阻斷和溯源相關(guān)網(wǎng)絡(luò)攻擊和非法訪問，保障數(shù)據(jù)安全。

>> 重點(diǎn)領(lǐng)域全覆蓋監(jiān)督，特定情況啟動(dòng)網(wǎng)絡(luò)安全審查：對于承接金融、能源、通信、交通、科技、國防科工等重要領(lǐng)域?qū)徲?jì)業(yè)務(wù)較多的會(huì)計(jì)師事務(wù)所，將開展全覆蓋監(jiān)督檢查，并持續(xù)加強(qiáng)日常監(jiān)管。特定情況下，可以啟動(dòng)對會(huì)計(jì)師事務(wù)所的網(wǎng)絡(luò)安全審查機(jī)制。對會(huì)計(jì)師事務(wù)所及其從業(yè)人員違反本辦法規(guī)定，涉及其他部門職責(zé)權(quán)限的，依法移送有關(guān)主管部門處理；構(gòu)成犯罪的，移送司法機(jī)關(guān)依法追究刑事責(zé)任。

>> 加強(qiáng)數(shù)據(jù)安全內(nèi)部防護(hù)

1、對內(nèi)部經(jīng)營和非經(jīng)營的數(shù)據(jù)進(jìn)行分類分級(jí)，梳理數(shù)據(jù)資產(chǎn)，了解企業(yè)中有哪些機(jī)密數(shù)據(jù)，并且按照保密等級(jí)進(jìn)行分類，嚴(yán)格把控?cái)?shù)據(jù)使用權(quán)限。

2、對企業(yè)內(nèi)部所有重要數(shù)據(jù)進(jìn)行強(qiáng)制、主動(dòng)加密，保證數(shù)據(jù)全生命周期都在加密狀態(tài)下得到保護(hù)，防止數(shù)據(jù)被非正常獲取與使用。確保重要數(shù)據(jù)主動(dòng)備份，以應(yīng)對突發(fā)事件。

3、對外發(fā)數(shù)據(jù)進(jìn)行嚴(yán)格管控，經(jīng)過相關(guān)領(lǐng)導(dǎo)審批后內(nèi)部文件才能擺脫密文狀態(tài)，進(jìn)行查看和編輯。對于通信、科技、國防科工等重點(diǎn)領(lǐng)域，應(yīng)當(dāng)設(shè)置多級(jí)審批流程，保障國家機(jī)密安全。

4、對外提供的文件打上水印，記錄操作人員信息，在安全事故發(fā)生后第一時(shí)間鎖定泄密源頭，啟動(dòng)應(yīng)急措施。

>> 完善數(shù)據(jù)安全管理制度

1、根據(jù)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等相關(guān)規(guī)定，對數(shù)據(jù)進(jìn)行分類分級(jí)，梳理數(shù)據(jù)資產(chǎn)，按照“最小必要”原則收集數(shù)據(jù)，遵循合法、正當(dāng)、必要原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍。

2、承接重要領(lǐng)域企業(yè)業(yè)務(wù)時(shí)，在協(xié)議中應(yīng)當(dāng)清楚載明相關(guān)的數(shù)據(jù)安全要求，包括但不限于在合作中需遵循的合規(guī)、內(nèi)控及風(fēng)險(xiǎn)管理要求，服務(wù)質(zhì)量考核評價(jià)，安全保密等內(nèi)容；

3、對數(shù)據(jù)交互過程進(jìn)行持續(xù)監(jiān)控，制定和落實(shí)網(wǎng)絡(luò)和信息安全管理措施，盡可能降低過程中的網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn)；

4、建立數(shù)據(jù)安全事件應(yīng)急處理機(jī)制，并定期進(jìn)行事故處置演練。開展員工數(shù)據(jù)安全意識(shí)培訓(xùn)，了解最新的數(shù)據(jù)安全國家政策和行業(yè)規(guī)范，強(qiáng)化員工數(shù)據(jù)安全意識(shí)，明確數(shù)據(jù)泄密后企業(yè)和個(gè)人將會(huì)承擔(dān)的法律后果。

《暫行辦法》的發(fā)布，對于相關(guān)領(lǐng)域的企業(yè)來說是一個(gè)信號(hào)，意味著在主體單位處理數(shù)據(jù)全生命周期的過程中將面臨更加細(xì)化的監(jiān)管要求。技術(shù)標(biāo)準(zhǔn)是安全建設(shè)的“尺子”，相信這些標(biāo)準(zhǔn)與要求也會(huì)在技術(shù)和制度層面將我國的數(shù)據(jù)安全建設(shè)推上新的臺(tái)階。