冀会协【2024】1号
各会计师事务所:
为全面贯彻习近平总书记关于网络强国战略的重要论述思想,落实《中华人民共和国网络安全法》等法律法规制度相关要求,增强注册会计师行业会员法律意识,建立健全行业网络安全责任体系,完善网络安全监督管理机制,切实保障网络和数据安全,从源头防范和遏制网络安全事件,全面提升会计师事务所网络安全防护水平。省注协制定了《关于加强行业网络安全管理建设合法合规网站及数据资源系统的指导意见》。
现将《指导意见》印发给你们,请认真参照执行。
联系人:河北注协信息技术部 张子骞
联系电话:0311—83939381
附件:《关于加强行业网络安全管理建设合法合规网站及数据资源系统的指导意见》
河北省注册会计师协会
2024年1月2日
附件:
关于加强行业网络安全管理
建设合法合规网站及数据资源系统的
指导意见
近年来,国内网络安全事故频繁发生,信息泄漏、破坏性攻击、病毒勒索、数据库篡改等网络安全事件,直接影响到经济安全、社会安全甚至是国家安全。注册会计师行业的审计工作涉及到大量企事业单位和机构组织的财务数据,做好行业网络安全工作,刻不容缓,责任重大。随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《信息安全技术网络安全等级保护基本要求》等一系列网络安全法律法规及网络安全标准的颁布实施,国家持续强化网络安全立法监管,为强化网络治理明确了法律依据和制度准绳。《注册会计师行业信息化建设规划(2021—2025年)》也指出了“坚持安全与发展并重”是“十四五”时期行业信息化建设总体要求的基本原则之一。做好网络安全管理工作,建设合法合规网站及数据资源系统是每个会计师事务所应尽的义务,也是在各业务领域提供稳定可靠服务的重要保障。目前部分会计师事务所已率先按照国家网络安全等级保护的要求和标准规范进行了相应的体系化建设。但由于大部分会计师事务所对国家的各类法律法规政策缺乏了解,对网络安全工作不够重视,致使当前会计师事务所的网站大多没有进行公安备案,开展网络安全等级保护工作的更少,甚至有的会计师事务所网站开通之后放任不管,导致网页被篡改。这些隐患不但使会计师事务所面临网络安全风险、法律风险,严重的甚至可能触及刑事犯罪。为此,特制定以下指导意见。
一、 指导思想、基本原则和工作目标
(一)指导思想
坚持以习近平新时代中国特色社会主义思想为指导,以总体国家安全观为统领,深入实施网络强国和大数据战略,以网络安全法律法规、国家标准为基础,夯实安全压舱石,切实提高会计师事务所网络安全工作水平,为行业的信息化及数字化转型保驾护航,推动行业高质量发展。
(二)基本原则
坚持正确的政治方向,坚持网络安全与信息化发展并重,坚持以法治网源头治理,坚持服务会员为中心,坚持立足于实际和应用,坚持事务所自主防范与协会指导相结合。
(三)工作目标
1.普及网络安全法律法规知识
强化行业网络安全防护合法合规意识,营造行业会员知法、懂法、守法、用法的良好氛围。
2.做好网络安全基础工作
明晰网络建设应履行的各项备案制度以及网络安全等级保护工作等内容。扎实高效推进会计师事务所icp备案、公安备案、网络安全等级保护、网站信息内容生态治理等工作,建立基础强、责任明、管理严的事务所网络安全工作机制。
3.显著提升网络安全管理能力
主体责任明晰、监督管理机制完善、基础设施完备,网络安全技术能力、预警能力、突发网络安全事件应急响应能力、日常安全管理能力显著提升,有效保障网络安全。
二、 网络安全的主体防护责任
会计师事务所建设、运营网络或者通过网络提供服务,应当依照法律法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,履行网络安全保护义务,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和安全性。
网络安全工作主体防护责任应按照“谁主管谁负责、谁建设谁负责、谁使用谁负责”的原则来进行。安全防护责任不随服务外包而转移,无论会计师事务所网络运行是自己管理还是委托给第三方,无论网站和数据资源系统是部署在自建机房还是托管在云平台上,会计师事务所都是网络安全防护的第一责任人。
三、 网络安全的基础工作
做好网络安全基础工作包括: ICP备案、公安备案、网络安全等级保护、信息内容生态治理、日常运维保障措施等。
《指导意见》中的数据资源系统是指会计师事务所接入互联网并自行或委托其他单位运维的办公系统、业务管理系统、审计系统、电子函证系统等。
(一)关于网站ICP备案与网站公安备案
国家对网站实行ICP备案与公安备案双备案制度。
1.网站ICP备案
ICP备案即域名备案,是网站开办者必备的一种资质。会计师事务所的门户网站是利用互联网域名访问的网站,向上网用户无偿提供具有公开性、共享性信息的服务活动,属于非经营性互联网信息服务性质。国家对非经营性互联网信息服务实行备案制度。
省通信管理局通过“工业和信息化部政务服务平台”,采用网上备案方式进行备案管理。ICP备案目前暂不支持自行申请办理,会计师事务所提供备案所需的网站名称、域名、IP地址、主办单位、主要负责人等相关信息,由具有工信部ICP备案资质的接入服务商、服务器提供商帮助办理网站备案手续。
省通信管理局审核通过后将发放服务备案号、备案证书(电子文件)。会计师事务所须在网站开通时,在主页底部的中央位置标明服务备案号,并在服务备案号上链接“工业和信息化部政务服务平台”网址。
2.网站公安备案
在我国互联网管理体系下,所有网站都必须将网站名称、域名、服务器地址等信息报给公安机关登记备案,未经备案的网站被视为非法,会被处罚或关闭。
会计师事务所接入互联网的网站,应在网络正式联通之日起30日内办理公安备案手续。办理流程为:登录全国互联网安全管理服务平台,提交真实合法信息。公安部门审核通过后,会计师事务所下载网站备案编号及备案图标,将“备案编号HTML代码”粘贴到网页源代码中的底部位置(备案编号图标显示于备案编号之前)。
(二)网络安全等级保护
1.关于网络安全等级保护制度
国家实行网络安全等级保护制度。会计师事务所应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
网络安全等级保护对象包括网站、数据资源系统等。
2.网络安全等级保护的分级及防护要求
根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络共分为五个安全保护等级。
会计师事务所网络定级一般定为第二级、第三级。其中第二级防护能力要求为:能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。第三级安全防护能力要求为:能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
3.网络安全等级保护工作的主要步骤
会计师事务所应在网络建设和运营过程中,同步规划、同步建设、同步使用有关网络安全保护措施。
(1)网络定级。在规划设计阶段确定网络的安全保护等级。
(2)定级评审。第二级以上的网络应当组织专家进行定级评审。
(3)定级备案。到公安机关进行定级备案,并取得《信息系统安全等级保护备案证明》及证书编号。
(4)上线检测。新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试(具体以当地公安部门实际执行为准)。新建的第三级以上网络上线运行前应当委托符合国家有关规定的等级测评机构,按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。
(5)等级测评。第三级以上网络应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并及时将报告提交受理备案的公安机关。第二级网络每两年进行一次等级测评(具体要求以当地公安部门实际执行为准)。
(6)自查工作。网络安全等级保护制度和网络安全落实情况每年应至少开展一次自查,并将自查及整改情况向备案的公安机关报告。
4.达到安全等级保护要求所需安全系统组合
为达到等级测评的安全技术要求,应为网络配置安全系统组合。以华为云网络安全等级第三级安全系统组合为例,主要但不限于使用以下关键安全系统:云堡垒机(设备集中运维管理)、Anti-DDoS流量清洗(异常流量监控、防护)、云Web应用防火墙服务(Web应用防护)、企业主机安全(主机安全防护)、数据库安全服务(数据库日志集中收集、分析)、云日志服务(日志集中收集、分析)、VPC安全组服务(安全防护)、态势感知(网络安全监测)等。
(三)网站信息内容
会计师事务所门户网站信息内容应以展示事务所动态、宣传自身文化、拓展业务等为主,不应发布新闻类信息。新闻类信息包括有关政治、经济、军事、外交等社会公共事务的报道、评论,以及有关社会突发事件的报道、评论。
会计师事务所门户网站应当加强网站信息内容生态治理,遵守宪法法律,遵循公序良俗,培育积极健康、向上向善的网络文化,不得损害国家利益、公共利益,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
四、网络安全运维保障措施
(一)会计师事务所应设置网络安全领导小组,确定网络安全负责人,落实网络安全保护责任,将网络安全责任层层分解,落实到具体部门、具体岗位和具体人员。
(二)会计师事务所应按照网络系统建设及应用与网络安全同步规划、同步建设、同步使用的工作要求,落实各项安全保护措施,保障网站和数据资源系统的安全稳定运行。
(三)会计师事务所应按照“安全第一,预防为主”的方针,制定内部安全管理制度和操作规程,并由网络安全领导小组定期检查落实情况。
(四)会计师事务所应定期开展自查整改和技术检测,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,对薄弱环节和潜在威胁采取有力措施进行整改,避免和消除各类网络安全风险。
(五)会计师事务所应建立信息内容发布管理制度,加强对网站发布内容的审核管理。
(六)会计师事务所应强化实时监测,采取技术和人工监测相结合的方式,不间断的监测、记录网站及数据资源系统的运行状态,并按照规定留存相关的网络日志,确保及时发现隐患并进行应急处理。
(七)会计师事务所应对重要数据和系统,采取分类、备份和加密等措施,应对突发事件的发生。
(八)会计师事务所应制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
(九)会计师事务所对于相关部门依法实施的网络安全检查,应予以配合,提供符合要求的相关资料和工作便利,不得拒绝、拖延、阻挠。
五、工作要求
各会计师事务所应高度重视网络安全防护工作,切实落实《指导意见》相关内容,做好自查自纠,尽快补齐网络安全短板。同时,应建立健全事务所网络安全工作机制,强化工作部署,制定防护方案,提升网络安全防护水平,筑牢网络安全堤坝,开创行业网络安全工作新局面。