第七条　会计师事务所应当在下列方面履行本所数据安全管理责任：

    （一）建立健全数据全生命周期安全管理制度，完善数据运营和管控机制；

    （二）健全数据安全管理组织架构，明确数据安全管理权责机制；

    （三）实施与业务特点相适应的数据分类分级管理；

    （四）建立数据权限管理策略，按照最小授权原则设置数据访问和处理权限，定期复核并按有关规定保留数据访问记录；

    （五）组织开展数据安全教育培训；

    （六）法律法规规定的其他事项。

第八条　会计师事务所的首席合伙人（主任会计师）是本所数据安全负责人。

第九条　会计师事务所应当按照法律、行政法规的规定和被审计单位所处行业数据分类分级标准确定核心数据、重要数据和一般数据。

    会计师事务所和被审计单位应当通过业务约定书、确认函等方式明确审计资料中核心数据和重要数据的性质、内容和范围等。

第十条　会计师事务所对核心数据、重要数据的存储处理，应当符合国家相关规定。

    存储核心数据的信息系统要落实四级网络安全等级保护要求。存储重要数据的信息系统要落实三级及以上网络安全等级保护要求。

    数据汇聚、关联后属于国家秘密事项的，应当依照有关保守国家秘密的法律、行政法规规定处理。

第十一条　会计师事务所应当对审计业务相关的信息系统、数据库、网络设备、网络安全设备等设置并启用访问日志记录功能。

    涉及核心数据的，相关日志留存时间不少于三年。涉及重要数据的，相关日志留存时间不少于一年；涉及向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年。

第十二条　会计师事务所应当明确数据传输操作规程。核心数据、重要数据传输过程中应当采用加密技术，保护传输安全。

第十三条　审计工作底稿应当按照法律、行政法规和国家有关规定存储在境内。相关加密设备应当设置在境内并由境内团队负责运行维护，密钥应当存储在境内。

第十四条　会计师事务所应当建立数据备份制度。会计师事务所应当确保在审计相关应用系统因外部技术原因被停止使用、被限制使用等情况下，仍能访问、调取、使用相关审计工作底稿。

第十五条　会计师事务所不得在业务约定书或者类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。

第十六条　会计师事务所应当采用网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测等技术手段，及时识别、阻断和溯源相关网络攻击和非法访问，保障数据安全。

第十七条　会计师事务所应当建立数据安全应急处置机制，加强数据安全风险监测。发现数据外泄、安全漏洞等风险的，应当立即采取补救、处置措施。发生重大数据安全事件，导致核心数据或者重要数据泄露、丢失或者被窃取、篡改的，应当及时向有关主管部门报告。

第十八条　会计师事务所向境外提供其在境内运营中收集和产生的个人信息和重要数据的，应当遵守国家数据出境管理有关规定。

第十九条　会计师事务所对于审计工作底稿出境事项应当建立逐级复核机制，采取必要措施严格落实数据安全管控责任。对于需要出境的审计工作底稿，按照国家有关规定办理审批手续。