会计师事务所在财务环境中扮演着关键的角色，不仅是财务报表的编制者和审核者，也是经济活动中数据流动的关键节点，同时会计师事务所处理和管理着大量的敏感数据。客户信息的保护、数据泄漏的防止以及业务连续性的保障都对会计师事务所提出了严峻的要求。

《暂行办法》是会计师事务所数据安全管理的顶层设计，旨在全面对接《数据安全法》的要求，明确规定了会计师事务所在数据分级分类管理、数据处理、数据安全保护义务等方面的责任，为会计师事务所提供了一份详细的数据安全管理指南。

>> 明确适用范围，两类审计业务：《暂行办法》的适用范围是在中国境内依法设立并为上市公司以及非上市的国有金融机构、中央企业等提供审计服务,或者开展跨境审计的会计师事务所及其从业人员。

>> 确定责任主体和监管机构：会计师事务所承担本机构的数据安全主体责任。财政部门和网信部门是会计师事务所数据安全的监管机构。注册会计师协会是会计师事务所数据安全的自律管理主体。

>> 要求加强数据管理，做好分类分级：《暂行办法》要求会计师事务所对数据区分核心数据、重要数据、一般数据进行分级分类管理。《暂行办法》对数据传输、数据加密、数据备份等事项作出具体规定，对数据管理技术手段、数据存储方式、日志管理等提出具体要求。

>> 加强技术手段，确保数据安全合规：《暂行办法》第十二条中规定，会计师事务所应当明确数据传输操作规程。核心数据、重要数据传输过程中应当采用加密技术，保护传输安全。第十四条强调应当建立数据备份制度，第十六条强调采用网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测等技术手段，及时识别、阻断和溯源相关网络攻击和非法访问，保障数据安全。

>> 重点领域全覆盖监督，特定情况启动网络安全审查：对于承接金融、能源、通信、交通、科技、国防科工等重要领域审计业务较多的会计师事务所，将开展全覆盖监督检查，并持续加强日常监管。特定情况下，可以启动对会计师事务所的网络安全审查机制。对会计师事务所及其从业人员违反本办法规定，涉及其他部门职责权限的，依法移送有关主管部门处理；构成犯罪的，移送司法机关依法追究刑事责任。

>> 加强数据安全内部防护

1、对内部经营和非经营的数据进行分类分级，梳理数据资产，了解企业中有哪些机密数据，并且按照保密等级进行分类，严格把控数据使用权限。

2、对企业内部所有重要数据进行强制、主动加密，保证数据全生命周期都在加密状态下得到保护，防止数据被非正常获取与使用。确保重要数据主动备份，以应对突发事件。

3、对外发数据进行严格管控，经过相关领导审批后内部文件才能摆脱密文状态，进行查看和编辑。对于通信、科技、国防科工等重点领域，应当设置多级审批流程，保障国家机密安全。

4、对外提供的文件打上水印，记录操作人员信息，在安全事故发生后第一时间锁定泄密源头，启动应急措施。

>> 完善数据安全管理制度

1、根据《网络安全法》、《数据安全法》等相关规定，对数据进行分类分级，梳理数据资产，按照“最小必要”原则收集数据，遵循合法、正当、必要原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围。

2、承接重要领域企业业务时，在协议中应当清楚载明相关的数据安全要求，包括但不限于在合作中需遵循的合规、内控及风险管理要求，服务质量考核评价，安全保密等内容；

3、对数据交互过程进行持续监控，制定和落实网络和信息安全管理措施，尽可能降低过程中的网络和信息安全风险；

4、建立数据安全事件应急处理机制，并定期进行事故处置演练。开展员工数据安全意识培训，了解最新的数据安全国家政策和行业规范，强化员工数据安全意识，明确数据泄密后企业和个人将会承担的法律后果。

《暂行办法》的发布，对于相关领域的企业来说是一个信号，意味着在主体单位处理数据全生命周期的过程中将面临更加细化的监管要求。技术标准是安全建设的“尺子”，相信这些标准与要求也会在技术和制度层面将我国的数据安全建设推上新的台阶。