01 明确适用主体与重点领域

第二条 在中华人民共和国境内依法设立的会计师事务所开展下列审计业务相关数据处理活动的，适用本办法：

（一）为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的；

（二）开展跨境审计业务的。

第四条 会计师事务所承担本机构的数据安全主体责任，履行数据安全保护义务。

第八条 会计师事务所的首席合伙人（主任会计师）是本所数据安全负责人。

第二十六条 对于承接金融、能源、通信、交通、科技、国防科工等重要领域审计业务的会计师事务所，相关部门应当开展全覆盖监督检查，并持续加强日常监管。

第二十八条 承接关系国计民生、重要领域审计业务的会计师事务所开展数据处理活动，影响或者可能影响国家安全的，按照网络安全审查相关机制进行网络安全审查。

02 审计数据及工作底稿本地化

第十一条 会计师事务所的审计工作底稿及相关数据应当存储在境内，不得在境外备份。

会计师事务所应当对审计业务相关的信息系统、数据库、网络设备、网络安全设备等设置并启用访问日志记录功能。日志应当存放境内，其中，日志中的用户登录及访问日志保存期限不得少于十年，其他日志保存期限不得少于六个月。

第十三条 审计工作底稿和相关数据的加密设备应当设置在境内并由境内团队负责运行维护，密钥应当存储在境内。

03  明确审计数据分类分级要求

第九条 会计师事务所应当按照相关法律法规的规定和被审计单位所处行业数据分级分类标准确定核心数据、重要数据和一般数据。

会计师事务所应当通过业务约定书等方式与被审计单位明确审计资料分级分类要求，审计资料分级分类的要求应当与被审计单位相关资料分级分类的要求保持一致。

第十条 针对核心数据，会计师事务所应当建立核心数据保护机制，通过专用服务器或者会计师事务所私有云平台设置内部专门空间存储，使用加密虚拟专用网络等技术手段传输，对核心数据的存储、读取、转移应当建立授权与记录机制并保证有效运行。

针对重要数据，会计师事务所应当制定和执行规范的处理流程，将其存放于和互联网逻辑隔离的信息系统中，并严格控制接触人员范围。

针对一般数据，会计师事务所应当采取基于用户角色的授权访问控制，并且按照最小权限原则授权。

04 数据出境需严格落实涉密敏感信息管控

第十五条 会计师事务所不得在业务约定书或类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。

第十八条 会计师事务所在境内形成的审计工作底稿应当存放在境内。需要出境的，按照国家有关规定办理审批手续。

第十九条 会计师事务所对于审计工作底稿出境事项应当建立逐级复核机制，采取必要措施严格落实审计工作底稿涉密敏感信息管控责任。

05  规范数据访问行为

第二十二条 会计师事务所应当做好信息系统安全管理和技术防护，根据存储、处理数据的级别采取相应的网络物理隔离或者逻辑隔离等措施，设置严格的访问控制策略，防范未经授权的访问行为。

第二十三条 会计师事务所应当拥有其使用的审计业务系统中网络设备、网络安全设备的配置和管理的最高权限，统一管理、维护系统管理员账户和工作人员账户，不得设置不受限制的超级账户。

加入国际网络的会计师事务所使用所在国际网络的信息系统的，应当采取用户隔离和数据隔离等措施。

“会计师事务所”数据安全将迎来挑战