對(duì)中小企業(yè)信息安全保護(hù)的探討
——基于財(cái)務(wù)視角

馮森

（大華會(huì)計(jì)師事務(wù)所（特殊普通合伙）山東分所，山東 濟(jì)南 250014）

2019年6月11日,國(guó)電電力就網(wǎng)絡(luò)與信息安全大檢查發(fā)現(xiàn)的7類共性問(wèn)題及300余項(xiàng)安全隱患進(jìn)行了通報(bào),要求各基層單位加快整改,堵塞信息安全漏洞,切實(shí)提升網(wǎng)絡(luò)與信息安全防護(hù)水平。更具有警示意義的還是當(dāng)屬中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室2019年5月在中國(guó)電子政務(wù)網(wǎng)更新發(fā)布的中網(wǎng)辦發(fā)文【2014】1號(hào)《關(guān)于加強(qiáng)黨政機(jī)關(guān)網(wǎng)站安全管理的通知》，再次體現(xiàn)出黨、政、軍各機(jī)關(guān)應(yīng)對(duì)網(wǎng)絡(luò)和信息安全管理的重要性和緊迫性。國(guó)企、黨政機(jī)關(guān)面對(duì)的信息安全環(huán)境如是，對(duì)于在艱難的競(jìng)爭(zhēng)環(huán)境之中無(wú)畏成長(zhǎng)的中小企業(yè)而言，企業(yè)信息安全管理只有做到未雨綢繆、主動(dòng)抓起，才能夠滿足企業(yè)長(zhǎng)久健康發(fā)展的需要。

一、信息安全保護(hù)外部信息技術(shù)及法律環(huán)境的變化

（一）信息技術(shù)的發(fā)展以及信息安全環(huán)境的變化

1、信息技術(shù)迅速發(fā)展。當(dāng)前，以信息技術(shù)為代表的新一輪科技和產(chǎn)業(yè)革命正在興起，成為全球經(jīng)濟(jì)社會(huì)發(fā)展的新動(dòng)能，深刻改變著全球經(jīng)濟(jì)格局、利益格局、安全格局。近年來(lái)，中央關(guān)于網(wǎng)絡(luò)安全和信息化工作、網(wǎng)絡(luò)信息技術(shù)自主創(chuàng)新等方面所作系列指示，強(qiáng)調(diào)必須敏銳抓住信息化發(fā)展的歷史機(jī)遇，維護(hù)網(wǎng)絡(luò)安全，推動(dòng)信息領(lǐng)域核心技術(shù)突破，發(fā)揮信息化對(duì)經(jīng)濟(jì)社會(huì)發(fā)展的引領(lǐng)作用。

2、信息安全環(huán)境治理尚未成熟。隨著電子商務(wù)的快速發(fā)展，以及移動(dòng)互聯(lián)、云計(jì)算、下一代互聯(lián)網(wǎng)和大數(shù)據(jù)等新興技術(shù)的運(yùn)用，企業(yè)數(shù)據(jù)庫(kù)成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。信息化發(fā)展使得行業(yè)客戶資料轉(zhuǎn)儲(chǔ)為可被傳播、利用以及共享的電子信息，頻繁發(fā)生的企業(yè)信息泄密事件嚴(yán)重影響企業(yè)的公眾形象以及公信力，其中不乏全球知名企業(yè)如德勤、埃森哲、臉書等。

如何確保企業(yè)資料被安全、合理的授權(quán)使用，數(shù)據(jù)如何防泄漏已經(jīng)成為越來(lái)越多企業(yè)所關(guān)注的重點(diǎn)。近年來(lái)，隨著新一代信息技術(shù)融合創(chuàng)新，以及移動(dòng)物聯(lián)網(wǎng)絡(luò)、5G技術(shù)的發(fā)展，不斷的催生全新應(yīng)用場(chǎng)景。技術(shù)與產(chǎn)業(yè)的不斷融合更加凸顯出信息安全的重要性。按照原有的財(cái)務(wù)內(nèi)控指導(dǎo)意見(jiàn)勢(shì)必會(huì)在新技術(shù)的推廣、使用效率方面產(chǎn)生負(fù)面影響，然而如何確保強(qiáng)化信息安全卻不影響企業(yè)工作效率以及自身發(fā)展尚需深入探索。

（二）法律、法規(guī)環(huán)境的變化以及未來(lái)立法趨勢(shì)。

關(guān)于企業(yè)信息保護(hù)方面的法律變化。2019年4月23日，第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十次會(huì)議再次對(duì)《中華人民共和國(guó)反不正當(dāng)競(jìng)爭(zhēng)法》進(jìn)行了幾項(xiàng)重要修訂,本次修訂全部集中于商業(yè)秘密相關(guān)條款。

1、對(duì)“商業(yè)秘密”進(jìn)行了重新定義。本次修訂將商業(yè)秘密范圍突破“技術(shù)信息、經(jīng)營(yíng)信息”，擴(kuò)大為包括技術(shù)信息、經(jīng)營(yíng)信息等在內(nèi)的商業(yè)信息，這不僅僅是立法技術(shù)的進(jìn)步，使得商業(yè)秘密的概念更趨科學(xué)，也是現(xiàn)實(shí)發(fā)展的需要，因?yàn)殡S著社會(huì)經(jīng)濟(jì)的發(fā)展，必定會(huì)出現(xiàn)技術(shù)信息、經(jīng)營(yíng)信息以外的其他具有商業(yè)價(jià)值且需依法保護(hù)的信息。

2、加大了對(duì)商業(yè)秘密違法行為的懲處力度。一方面是提高了侵害商業(yè)秘密的懲罰性賠償，另一方面則加大了對(duì)侵害行為的行政處罰力度。對(duì)惡意侵犯商業(yè)秘密的民事?lián)p害賠償責(zé)任，情節(jié)嚴(yán)重最高可處罰五百萬(wàn)元。

3、首次規(guī)定侵犯商業(yè)秘密案件的舉證責(zé)任倒置原則。本次修訂規(guī)定在侵犯商業(yè)秘密案件審理中實(shí)行舉證責(zé)任倒置，權(quán)利人只要有初步證據(jù)證明其對(duì)所主張的商業(yè)秘密采取了保密措施，且合理表明商業(yè)秘密被侵犯，涉嫌侵權(quán)人應(yīng)當(dāng)證明權(quán)利人所主張的商業(yè)秘密不屬于《反不正當(dāng)競(jìng)爭(zhēng)法》規(guī)定的商業(yè)秘密或者自己不存在侵權(quán)事實(shí)，此處修訂更有利于提高權(quán)利人的維權(quán)積極性及維權(quán)效率。

《反不正當(dāng)競(jìng)爭(zhēng)法》與商業(yè)秘密相關(guān)條款從2017年11月第一次修訂，到2019年4月第二次修訂，可以說(shuō)是創(chuàng)下了新中國(guó)修法時(shí)間密度的新紀(jì)錄。這也從一方面反映出來(lái)我國(guó)企業(yè)信息安全所面臨的嚴(yán)峻挑戰(zhàn)。

放眼未來(lái)，假如我國(guó)以華為、大疆為代表的技術(shù)全球領(lǐng)先企業(yè)的技術(shù)資料、研發(fā)成果等因?yàn)樾畔⑿孤叮瑫?huì)使得我們國(guó)家在特定行業(yè)上的技術(shù)優(yōu)勢(shì)化為烏有。隨著全球經(jīng)濟(jì)格局的巨大變化，我國(guó)在未來(lái)也極有可能會(huì)倒逼經(jīng)濟(jì)信息立法領(lǐng)域做出更多的跟進(jìn)。法律是為違法分子準(zhǔn)備的，如何防患于未然才是財(cái)務(wù)人員謹(jǐn)慎性原則的體現(xiàn)。

二、企業(yè)對(duì)于涉及企業(yè)信息保護(hù)現(xiàn)狀及常見(jiàn)泄露方式

（一）信息安全保護(hù)意識(shí)淡薄。內(nèi)部風(fēng)險(xiǎn)控制體系不健全，對(duì)商業(yè)秘密保護(hù)沒(méi)有形成完備、有效的制度和流程。

（二）商業(yè)秘密案件目前在民事領(lǐng)域、行政領(lǐng)域、刑事領(lǐng)域都相對(duì)較少。據(jù)統(tǒng)計(jì)在民事領(lǐng)域作為原告勝訴率只有17%左右，究其原因有兩個(gè)方面，一是商業(yè)秘密取證困難，大量的取證需要借助公權(quán)力機(jī)關(guān)，而通過(guò)刑事立案的門檻很高，而公安機(jī)關(guān)為了提高門檻，往往要求對(duì)商業(yè)秘密進(jìn)行鑒定，而鑒定報(bào)告基本上是刑事立案不可缺少的材料。辦理一個(gè)普通的商業(yè)秘密案件，訴訟費(fèi)、律師費(fèi)、商業(yè)秘密的價(jià)值評(píng)估、商業(yè)秘密鑒定等費(fèi)用較大且耗時(shí)長(zhǎng)。即便是通過(guò)訴訟方式能夠挽回部分損失，但是商業(yè)秘密泄露的后果或許已然使得企業(yè)陷入到極度困難之中。

（三）商業(yè)秘密泄露途徑。通常分為內(nèi)部人員泄漏和外部人員泄露，根據(jù)現(xiàn)有已發(fā)案件的統(tǒng)計(jì)，大多數(shù)屬于核心骨干跳槽，高管離職創(chuàng)業(yè)，當(dāng)也存在合作伙伴、競(jìng)爭(zhēng)對(duì)手以合作交易為名來(lái)竊取。相比較之下，現(xiàn)在更新形式的如商業(yè)間諜、間諜軟件等等使得風(fēng)險(xiǎn)更高。

三、企業(yè)對(duì)于信息安全保護(hù)內(nèi)部控制重點(diǎn)

（一）對(duì)擬合作外部中介機(jī)構(gòu)進(jìn)行優(yōu)選。會(huì)計(jì)師作為最了解公司業(yè)及財(cái)務(wù)狀況的外部機(jī)構(gòu)，選擇適合企業(yè)自身需求的會(huì)計(jì)師事務(wù)所及項(xiàng)目團(tuán)隊(duì)，需要考慮的不僅是其資質(zhì)、執(zhí)業(yè)經(jīng)驗(yàn)、服務(wù)意識(shí)，道德水準(zhǔn)、團(tuán)隊(duì)的穩(wěn)定性方面的問(wèn)題也需要重點(diǎn)考慮。類似還有其他諸如公司聘請(qǐng)的評(píng)估、法律顧問(wèn)、其他專業(yè)咨詢等機(jī)構(gòu)。

（二）企業(yè)自身強(qiáng)化信息風(fēng)險(xiǎn)管理的具體措施。強(qiáng)化公司治理水平、完善的內(nèi)控體系，對(duì)外部中介機(jī)構(gòu)以及政府監(jiān)管部門可以擁有充分的理由減少其相關(guān)證據(jù)的獲取，從而減少企業(yè)信息流出量。對(duì)于企業(yè)信息安全保護(hù)，通常要在以下幾種方式下建立相應(yīng)的制度：

1、源頭控制。對(duì)信息進(jìn)行分類管理，設(shè)立秘密等級(jí)，不同等級(jí)的信息，對(duì)應(yīng)的權(quán)限不同。比如說(shuō)客戶檔案，報(bào)價(jià)信息，技術(shù)資料，工藝配方，供應(yīng)商資料，設(shè)備檔案等這些涉及到營(yíng)銷、技術(shù)、生產(chǎn)、采購(gòu)、設(shè)備等的核心內(nèi)容，保密等級(jí)要高，并且要防范高等級(jí)的信息傳遞給不相干人員。

2、傳播途徑管理。電腦、復(fù)印機(jī)、碎紙機(jī)、垃圾簍等均要管理，如對(duì)企業(yè)合同要進(jìn)行加密，對(duì)商業(yè)秘密相關(guān)的報(bào)廢文件務(wù)必徹底銷毀。

3、建立健全企業(yè)信息保護(hù)制度。在員工招聘時(shí)簽署保密協(xié)議、應(yīng)聘人員商業(yè)秘密調(diào)查表；就職和崗位調(diào)動(dòng)時(shí)簽署崗位保密協(xié)議，離職保密承諾書、崗位宣誓書；離職的時(shí)候簽署離職員保密表，離職員工資料清退單等；日常則通過(guò)對(duì)員工進(jìn)行保守商業(yè)秘密的道德和法律教育，提高員工的保密意識(shí)，防止商業(yè)秘密意外泄漏。

4、通信限制。對(duì)公司內(nèi)部通信工具的使用做出限制，尤其是對(duì)外發(fā)送文檔、語(yǔ)音等資料的途徑。必要時(shí)鎖定辦公電腦USB接口、建立公司內(nèi)部局域網(wǎng)或虛擬網(wǎng)絡(luò)等方式，未經(jīng)授權(quán)的企業(yè)信息不得與外界網(wǎng)絡(luò)直接相連或者存留下操作日志。

（三）強(qiáng)化公司治理、完善內(nèi)部控制制度是公司治理層、管理層一項(xiàng)持續(xù)性的工作，最為行之有效的方式還是將信息安全意識(shí)融入到企業(yè)文化之中，唯有如此才能高效地實(shí)現(xiàn)企業(yè)信息保護(hù)目的。

四、總結(jié)

企業(yè)加快推進(jìn)信息化建設(shè)的同時(shí)，需要重視移動(dòng)互聯(lián)、云計(jì)算和大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)與信息安全防護(hù)，避免自身成為信息安全堡壘的“洼地”。除了實(shí)現(xiàn)信息化過(guò)程中軟、硬件的提升之外，對(duì)于相關(guān)人員的信息安全保護(hù)意識(shí)、法律普及等方面需要引起足夠的重視。希望通過(guò)這一系列的努力為我國(guó)中小企業(yè)在信息安全方面內(nèi)部控制制度的完善發(fā)揮一定的作用。