馮森

（大華會計師事務(wù)所（特殊普通合伙）山東分所，山東 濟南 250014）

2019年6月11日,國電電力就網(wǎng)絡(luò)與信息安全大檢查發(fā)現(xiàn)的7類共性問題及300余項安全隱患進行了通報,要求各基層單位加快整改,堵塞信息安全漏洞,切實提升網(wǎng)絡(luò)與信息安全防護水平。更具有警示意義的還是當(dāng)屬中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室2019年5月在中國電子政務(wù)網(wǎng)更新發(fā)布的中網(wǎng)辦發(fā)文【2014】1號《關(guān)于加強黨政機關(guān)網(wǎng)站安全管理的通知》，再次體現(xiàn)出黨、政、軍各機關(guān)應(yīng)對網(wǎng)絡(luò)和信息安全管理的重要性和緊迫性。國企、黨政機關(guān)面對的信息安全環(huán)境如是，對于在艱難的競爭環(huán)境之中無畏成長的中小企業(yè)而言，企業(yè)信息安全管理只有做到未雨綢繆、主動抓起，才能夠滿足企業(yè)長久健康發(fā)展的需要。

一、信息安全保護外部信息技術(shù)及法律環(huán)境的變化

（一）信息技術(shù)的發(fā)展以及信息安全環(huán)境的變化

1、信息技術(shù)迅速發(fā)展。當(dāng)前，以信息技術(shù)為代表的新一輪科技和產(chǎn)業(yè)革命正在興起，成為全球經(jīng)濟社會發(fā)展的新動能，深刻改變著全球經(jīng)濟格局、利益格局、安全格局。近年來，中央關(guān)于網(wǎng)絡(luò)安全和信息化工作、網(wǎng)絡(luò)信息技術(shù)自主創(chuàng)新等方面所作系列指示，強調(diào)必須敏銳抓住信息化發(fā)展的歷史機遇，維護網(wǎng)絡(luò)安全，推動信息領(lǐng)域核心技術(shù)突破，發(fā)揮信息化對經(jīng)濟社會發(fā)展的引領(lǐng)作用。

2、信息安全環(huán)境治理尚未成熟。隨著電子商務(wù)的快速發(fā)展，以及移動互聯(lián)、云計算、下一代互聯(lián)網(wǎng)和大數(shù)據(jù)等新興技術(shù)的運用，企業(yè)數(shù)據(jù)庫成為網(wǎng)絡(luò)攻擊的重點目標(biāo)。信息化發(fā)展使得行業(yè)客戶資料轉(zhuǎn)儲為可被傳播、利用以及共享的電子信息，頻繁發(fā)生的企業(yè)信息泄密事件嚴(yán)重影響企業(yè)的公眾形象以及公信力，其中不乏全球知名企業(yè)如德勤、埃森哲、臉書等。

如何確保企業(yè)資料被安全、合理的授權(quán)使用，數(shù)據(jù)如何防泄漏已經(jīng)成為越來越多企業(yè)所關(guān)注的重點。近年來，隨著新一代信息技術(shù)融合創(chuàng)新，以及移動物聯(lián)網(wǎng)絡(luò)、5G技術(shù)的發(fā)展，不斷的催生全新應(yīng)用場景。技術(shù)與產(chǎn)業(yè)的不斷融合更加凸顯出信息安全的重要性。按照原有的財務(wù)內(nèi)控指導(dǎo)意見勢必會在新技術(shù)的推廣、使用效率方面產(chǎn)生負(fù)面影響，然而如何確保強化信息安全卻不影響企業(yè)工作效率以及自身發(fā)展尚需深入探索。

（二）法律、法規(guī)環(huán)境的變化以及未來立法趨勢。

關(guān)于企業(yè)信息保護方面的法律變化。2019年4月23日，第十三屆全國人民代表大會常務(wù)委員會第十次會議再次對《中華人民共和國反不正當(dāng)競爭法》進行了幾項重要修訂,本次修訂全部集中于商業(yè)秘密相關(guān)條款。

1、對“商業(yè)秘密”進行了重新定義。本次修訂將商業(yè)秘密范圍突破“技術(shù)信息、經(jīng)營信息”，擴大為包括技術(shù)信息、經(jīng)營信息等在內(nèi)的商業(yè)信息，這不僅僅是立法技術(shù)的進步，使得商業(yè)秘密的概念更趨科學(xué)，也是現(xiàn)實發(fā)展的需要，因為隨著社會經(jīng)濟的發(fā)展，必定會出現(xiàn)技術(shù)信息、經(jīng)營信息以外的其他具有商業(yè)價值且需依法保護的信息。

2、加大了對商業(yè)秘密違法行為的懲處力度。一方面是提高了侵害商業(yè)秘密的懲罰性賠償，另一方面則加大了對侵害行為的行政處罰力度。對惡意侵犯商業(yè)秘密的民事?lián)p害賠償責(zé)任，情節(jié)嚴(yán)重最高可處罰五百萬元。

3、首次規(guī)定侵犯商業(yè)秘密案件的舉證責(zé)任倒置原則。本次修訂規(guī)定在侵犯商業(yè)秘密案件審理中實行舉證責(zé)任倒置，權(quán)利人只要有初步證據(jù)證明其對所主張的商業(yè)秘密采取了保密措施，且合理表明商業(yè)秘密被侵犯，涉嫌侵權(quán)人應(yīng)當(dāng)證明權(quán)利人所主張的商業(yè)秘密不屬于《反不正當(dāng)競爭法》規(guī)定的商業(yè)秘密或者自己不存在侵權(quán)事實，此處修訂更有利于提高權(quán)利人的維權(quán)積極性及維權(quán)效率。

《反不正當(dāng)競爭法》與商業(yè)秘密相關(guān)條款從2017年11月第一次修訂，到2019年4月第二次修訂，可以說是創(chuàng)下了新中國修法時間密度的新紀(jì)錄。這也從一方面反映出來我國企業(yè)信息安全所面臨的嚴(yán)峻挑戰(zhàn)。

放眼未來，假如我國以華為、大疆為代表的技術(shù)全球領(lǐng)先企業(yè)的技術(shù)資料、研發(fā)成果等因為信息泄露，會使得我們國家在特定行業(yè)上的技術(shù)優(yōu)勢化為烏有。隨著全球經(jīng)濟格局的巨大變化，我國在未來也極有可能會倒逼經(jīng)濟信息立法領(lǐng)域做出更多的跟進。法律是為違法分子準(zhǔn)備的，如何防患于未然才是財務(wù)人員謹(jǐn)慎性原則的體現(xiàn)。

二、企業(yè)對于涉及企業(yè)信息保護現(xiàn)狀及常見泄露方式

（一）信息安全保護意識淡薄。內(nèi)部風(fēng)險控制體系不健全，對商業(yè)秘密保護沒有形成完備、有效的制度和流程。

（二）商業(yè)秘密案件目前在民事領(lǐng)域、行政領(lǐng)域、刑事領(lǐng)域都相對較少。據(jù)統(tǒng)計在民事領(lǐng)域作為原告勝訴率只有17%左右，究其原因有兩個方面，一是商業(yè)秘密取證困難，大量的取證需要借助公權(quán)力機關(guān)，而通過刑事立案的門檻很高，而公安機關(guān)為了提高門檻，往往要求對商業(yè)秘密進行鑒定，而鑒定報告基本上是刑事立案不可缺少的材料。辦理一個普通的商業(yè)秘密案件，訴訟費、律師費、商業(yè)秘密的價值評估、商業(yè)秘密鑒定等費用較大且耗時長。即便是通過訴訟方式能夠挽回部分損失，但是商業(yè)秘密泄露的后果或許已然使得企業(yè)陷入到極度困難之中。

（三）商業(yè)秘密泄露途徑。通常分為內(nèi)部人員泄漏和外部人員泄露，根據(jù)現(xiàn)有已發(fā)案件的統(tǒng)計，大多數(shù)屬于核心骨干跳槽，高管離職創(chuàng)業(yè)，當(dāng)也存在合作伙伴、競爭對手以合作交易為名來竊取。相比較之下，現(xiàn)在更新形式的如商業(yè)間諜、間諜軟件等等使得風(fēng)險更高。

三、企業(yè)對于信息安全保護內(nèi)部控制重點

（一）對擬合作外部中介機構(gòu)進行優(yōu)選。會計師作為最了解公司業(yè)及財務(wù)狀況的外部機構(gòu)，選擇適合企業(yè)自身需求的會計師事務(wù)所及項目團隊，需要考慮的不僅是其資質(zhì)、執(zhí)業(yè)經(jīng)驗、服務(wù)意識，道德水準(zhǔn)、團隊的穩(wěn)定性方面的問題也需要重點考慮。類似還有其他諸如公司聘請的評估、法律顧問、其他專業(yè)咨詢等機構(gòu)。

（二）企業(yè)自身強化信息風(fēng)險管理的具體措施。強化公司治理水平、完善的內(nèi)控體系，對外部中介機構(gòu)以及政府監(jiān)管部門可以擁有充分的理由減少其相關(guān)證據(jù)的獲取，從而減少企業(yè)信息流出量。對于企業(yè)信息安全保護，通常要在以下幾種方式下建立相應(yīng)的制度：

1、源頭控制。對信息進行分類管理，設(shè)立秘密等級，不同等級的信息，對應(yīng)的權(quán)限不同。比如說客戶檔案，報價信息，技術(shù)資料，工藝配方，供應(yīng)商資料，設(shè)備檔案等這些涉及到營銷、技術(shù)、生產(chǎn)、采購、設(shè)備等的核心內(nèi)容，保密等級要高，并且要防范高等級的信息傳遞給不相干人員。

2、傳播途徑管理。電腦、復(fù)印機、碎紙機、垃圾簍等均要管理，如對企業(yè)合同要進行加密，對商業(yè)秘密相關(guān)的報廢文件務(wù)必徹底銷毀。

3、建立健全企業(yè)信息保護制度。在員工招聘時簽署保密協(xié)議、應(yīng)聘人員商業(yè)秘密調(diào)查表；就職和崗位調(diào)動時簽署崗位保密協(xié)議，離職保密承諾書、崗位宣誓書；離職的時候簽署離職員保密表，離職員工資料清退單等；日常則通過對員工進行保守商業(yè)秘密的道德和法律教育，提高員工的保密意識，防止商業(yè)秘密意外泄漏。

4、通信限制。對公司內(nèi)部通信工具的使用做出限制，尤其是對外發(fā)送文檔、語音等資料的途徑。必要時鎖定辦公電腦USB接口、建立公司內(nèi)部局域網(wǎng)或虛擬網(wǎng)絡(luò)等方式，未經(jīng)授權(quán)的企業(yè)信息不得與外界網(wǎng)絡(luò)直接相連或者存留下操作日志。

（三）強化公司治理、完善內(nèi)部控制制度是公司治理層、管理層一項持續(xù)性的工作，最為行之有效的方式還是將信息安全意識融入到企業(yè)文化之中，唯有如此才能高效地實現(xiàn)企業(yè)信息保護目的。

四、總結(jié)

企業(yè)加快推進信息化建設(shè)的同時，需要重視移動互聯(lián)、云計算和大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)與信息安全防護，避免自身成為信息安全堡壘的“洼地”。除了實現(xiàn)信息化過程中軟、硬件的提升之外，對于相關(guān)人員的信息安全保護意識、法律普及等方面需要引起足夠的重視。希望通過這一系列的努力為我國中小企業(yè)在信息安全方面內(nèi)部控制制度的完善發(fā)揮一定的作用。