《中国会计报》：网络安全建设保障数据安全和业务持续运行

《注册会计师行业信息化建设规划（2021—2025年）》系列报道之四 

（中国会计报  高歌）

《注册会计师行业信息化建设规划（2021—2025年）》（下称《信息化规划》）围绕“会计师事务所信息化、行业管理服务信息化、协会办公信息化”总体布局和“标准化、数字化、网络化、智能化”战略布局，从4个方面明确18项信息化建设任务。

其中，强化网络安全建设是加快信息化基础研究与建设的任务之一。《信息化规划》对此提出健全网络安全制度规范，建立网络安全监控体系，保证会计审计资料数据安全；建立信息化应急管理机制，确保数据安全及业务的持续运行；促进开展网络安全等级保护测评，提升网络安全防护能力，确保应用系统和数据资产安全等多项措施。

重要性凸显

“强化注册会计师行业网络安全建设的必要性和重要性不言而喻，意义重大。”立信会计师事务所高级合伙人蔡晓丽表示，注册会计师行业的审计工作涉及大量数据和程序，基于工作特性，行业掌握大量企业和组织的财务数据，对市场交易主体有重要作用。

她进一步表示，网络安全直接影响经济安全、社会安全甚至是国家安全。从国家“十三五”规划中的网络经济到国家“十四五”规划纲要中的数字经济，我国已从以互联网为依托的网络经济迈入以海量数据、算力和算法为基础的数字经济时代。在数字技术加快社会经济以及行业发展的同时，网络安全事故频繁发生，信息泄漏、破坏性攻击、金融资产盗窃、病毒勒索、数据库篡改等网络安全威胁，将会给社会组织、机构的公信力和商誉带来一定负面影响和经济损失。这凸显出强化网络安全建设的必要性。

 近年来，国家已经出台《中华人民共和国网络安全法》《中华人民共和国数据安全法》《信息安全等级保护管理办法》等一系列法律法规，为网络安全建设提供制度依据。

“加强网络安全建设既是对接网络强国战略的重要一环，也是履行《网络安全法》要求的重要表现。”绿盟科技集团股份有限公司高级安全顾问刘欢表示，注册会计师行业协会、会计师事务所开展相关工作时，会涉及重要单位的重要数据，需要行业按照《网络安全法》的相关要求，切实履行好网络安全运营者的责任和义务。同时，强化网络安全建设是保障各个会计师事务所在各自业务领域提供安全可靠服务的必要条件。

刘欢进一步表示，需要从法律法规监管要求和服务对象的安全需求两个角度出发，健全相关安全保障体系，加强网络安全监测预警能力，保障网络和数据安全。

“强化网络安全建设，将促进注册会计师行业加快建设行业数据库、数据湖等数据资源平台，全面提高数据支撑业务能力，以数字技术赋能行业高质量发展，服务国家数字经济发展。”蔡晓丽说。

在探索中前行

近年来，注册会计师行业已结合自身实际在强化网络安全建设领域开展相关探索，并取得一些成效。

在采访中记者了解到，通过开展网络信息安全现状梳理与诊断、设备安全域划分、网络结构改造优化等阶段工作，中注协行业信息系统已经达到国家安全等级保护三级标准。

刘欢告诉记者：“中注协和部分大型会计师事务所已率先按照国家网络安全等级保护要求和相关标准规范进行与网络安全相关的体系化建设，并参考国内金融等行业和国外同行先进做法，在数据安全领域开展具体技术性探索。”

 蔡晓丽进一步表示，为强化网络安全管理，规模以上会计师事务所已经普遍制定内部网络安全管理制度和操作规范流程，设置网络安全负责人岗位，落实网络安全保护责任，对违反规定者予以追责。同时，持续完善网络建设，投入资源进行网络安全的软硬件、制度以及人员建设等工作，采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施，针对信息管理系统和网络终端排查漏洞，及时安装补丁，有效提升保护水平。

“此外，规模以上会计师事务所采取集中观看网络安全教育视频、组织网络与信息安全知识讲座和论坛等多种方式开展网络安全教育和培训，营造提高网络安全防范意识和技能的氛围，规范个人网络行为。”蔡晓丽说。

 刘欢也表示,行业从业人员信息安全意识的持续提高，以及所服务客户对行业网络安全的更高要求，将间接提升全行业网络安全能力，使其更加适应行业发展的需要。相信随着《信息化规划》的实施，行业对网络安全的监管力度、全行业网络安全建设的规范程度都会逐步提高，特别是大中型会计师事务所的数据安全保障能力会进一步提高。

多举措强化网络安全保障

多数专家在接受记者采访时普遍表示，为进一步加强行业网络安全建设，行业各类信息化建设主体要做好相关工作。

刘欢认为，进一步强化行业网络安全建设至少需要做到两点。一是以问题为导向，结合行业实际进行分类指导。二是以数据安全保障为核心，构建与各个单位业务发展相适应的安全保障能力，灵活应用领先的体系架构，围绕系统安全、数据安全和终端安全等方面开展安全建设。此外，可考虑引入外包的安全服务，帮助行业协会、大型会计师事务所等各类行业信息化建设主体快速建立网络安全监控预警体系，整体提升预警管理、应急处置等能力。

“以‘人’为本是强化网络安全建设的核心，无论外部攻击还是内部威胁、网络安全技术研发还是威胁应急响应，人都是核心因素。”蔡晓丽表示，可以通过加强讲解网络安全执法案例，宣贯网络安全在金融和财务领域的重要性，促进行业人员学习网络安全法律法规、了解网络安全的基本概念、熟悉常见网络安全风险、进一步提升网络安全意识。同时，推动行业与相关高校、企业开展网络安全合作，通过网络安全认证培训、进修等方式加强网络安全人才培养，补齐网络安全人才短板。

 对于网络安全体系建设，蔡晓丽认为，参照零信任安全体系架构，可以采用确立目标、先行规划、分步建设的方式落实网络安全建设工作，逐步使网络安全体系具备可信识别、无边界的访问控制、持续信任评估以及安全可视化能力，基于场景进行端到端的风险分析和方案设计，梳理业务数字资产，确定重点保护目标；梳理业务流程路径，确定访问暴露面；梳理身份权限，确定访问安全策略；梳理网络安全实施方案，确定网络安全建设步骤。

“目前，国内具有自主知识产权的网络安全产品已经覆盖终端安全、边界安全、网站安全、系统漏洞挖掘、业务流安全等领域，建议加大采购国内自主知识产权的网络安全产品的力度。”蔡晓丽说。