对中小企业信息安全保护的探讨
——基于财务视角

冯森

（大华会计师事务所（特殊普通合伙）山东分所，山东 济南 250014）

2019年6月11日,国电电力就网络与信息安全大检查发现的7类共性问题及300余项安全隐患进行了通报,要求各基层单位加快整改,堵塞信息安全漏洞,切实提升网络与信息安全防护水平。更具有警示意义的还是当属中央网络安全和信息化领导小组办公室2019年5月在中国电子政务网更新发布的中网办发文【2014】1号《关于加强党政机关网站安全管理的通知》，再次体现出党、政、军各机关应对网络和信息安全管理的重要性和紧迫性。国企、党政机关面对的信息安全环境如是，对于在艰难的竞争环境之中无畏成长的中小企业而言，企业信息安全管理只有做到未雨绸缪、主动抓起，才能够满足企业长久健康发展的需要。

一、信息安全保护外部信息技术及法律环境的变化

（一）信息技术的发展以及信息安全环境的变化

1、信息技术迅速发展。当前，以信息技术为代表的新一轮科技和产业革命正在兴起，成为全球经济社会发展的新动能，深刻改变着全球经济格局、利益格局、安全格局。近年来，中央关于网络安全和信息化工作、网络信息技术自主创新等方面所作系列指示，强调必须敏锐抓住信息化发展的历史机遇，维护网络安全，推动信息领域核心技术突破，发挥信息化对经济社会发展的引领作用。

2、信息安全环境治理尚未成熟。随着电子商务的快速发展，以及移动互联、云计算、下一代互联网和大数据等新兴技术的运用，企业数据库成为网络攻击的重点目标。信息化发展使得行业客户资料转储为可被传播、利用以及共享的电子信息，频繁发生的企业信息泄密事件严重影响企业的公众形象以及公信力，其中不乏全球知名企业如德勤、埃森哲、脸书等。

如何确保企业资料被安全、合理的授权使用，数据如何防泄漏已经成为越来越多企业所关注的重点。近年来，随着新一代信息技术融合创新，以及移动物联网络、5G技术的发展，不断的催生全新应用场景。技术与产业的不断融合更加凸显出信息安全的重要性。按照原有的财务内控指导意见势必会在新技术的推广、使用效率方面产生负面影响，然而如何确保强化信息安全却不影响企业工作效率以及自身发展尚需深入探索。

（二）法律、法规环境的变化以及未来立法趋势。

关于企业信息保护方面的法律变化。2019年4月23日，第十三届全国人民代表大会常务委员会第十次会议再次对《中华人民共和国反不正当竞争法》进行了几项重要修订,本次修订全部集中于商业秘密相关条款。

1、对“商业秘密”进行了重新定义。本次修订将商业秘密范围突破“技术信息、经营信息”，扩大为包括技术信息、经营信息等在内的商业信息，这不仅仅是立法技术的进步，使得商业秘密的概念更趋科学，也是现实发展的需要，因为随着社会经济的发展，必定会出现技术信息、经营信息以外的其他具有商业价值且需依法保护的信息。

2、加大了对商业秘密违法行为的惩处力度。一方面是提高了侵害商业秘密的惩罚性赔偿，另一方面则加大了对侵害行为的行政处罚力度。对恶意侵犯商业秘密的民事损害赔偿责任，情节严重最高可处罚五百万元。

3、首次规定侵犯商业秘密案件的举证责任倒置原则。本次修订规定在侵犯商业秘密案件审理中实行举证责任倒置，权利人只要有初步证据证明其对所主张的商业秘密采取了保密措施，且合理表明商业秘密被侵犯，涉嫌侵权人应当证明权利人所主张的商业秘密不属于《反不正当竞争法》规定的商业秘密或者自己不存在侵权事实，此处修订更有利于提高权利人的维权积极性及维权效率。

《反不正当竞争法》与商业秘密相关条款从2017年11月第一次修订，到2019年4月第二次修订，可以说是创下了新中国修法时间密度的新纪录。这也从一方面反映出来我国企业信息安全所面临的严峻挑战。

放眼未来，假如我国以华为、大疆为代表的技术全球领先企业的技术资料、研发成果等因为信息泄露，会使得我们国家在特定行业上的技术优势化为乌有。随着全球经济格局的巨大变化，我国在未来也极有可能会倒逼经济信息立法领域做出更多的跟进。法律是为违法分子准备的，如何防患于未然才是财务人员谨慎性原则的体现。

二、企业对于涉及企业信息保护现状及常见泄露方式

（一）信息安全保护意识淡薄。内部风险控制体系不健全，对商业秘密保护没有形成完备、有效的制度和流程。

（二）商业秘密案件目前在民事领域、行政领域、刑事领域都相对较少。据统计在民事领域作为原告胜诉率只有17%左右，究其原因有两个方面，一是商业秘密取证困难，大量的取证需要借助公权力机关，而通过刑事立案的门槛很高，而公安机关为了提高门槛，往往要求对商业秘密进行鉴定，而鉴定报告基本上是刑事立案不可缺少的材料。办理一个普通的商业秘密案件，诉讼费、律师费、商业秘密的价值评估、商业秘密鉴定等费用较大且耗时长。即便是通过诉讼方式能够挽回部分损失，但是商业秘密泄露的后果或许已然使得企业陷入到极度困难之中。

（三）商业秘密泄露途径。通常分为内部人员泄漏和外部人员泄露，根据现有已发案件的统计，大多数属于核心骨干跳槽，高管离职创业，当也存在合作伙伴、竞争对手以合作交易为名来窃取。相比较之下，现在更新形式的如商业间谍、间谍软件等等使得风险更高。

三、企业对于信息安全保护内部控制重点

（一）对拟合作外部中介机构进行优选。会计师作为最了解公司业及财务状况的外部机构，选择适合企业自身需求的会计师事务所及项目团队，需要考虑的不仅是其资质、执业经验、服务意识，道德水准、团队的稳定性方面的问题也需要重点考虑。类似还有其他诸如公司聘请的评估、法律顾问、其他专业咨询等机构。

（二）企业自身强化信息风险管理的具体措施。强化公司治理水平、完善的内控体系，对外部中介机构以及政府监管部门可以拥有充分的理由减少其相关证据的获取，从而减少企业信息流出量。对于企业信息安全保护，通常要在以下几种方式下建立相应的制度：

1、源头控制。对信息进行分类管理，设立秘密等级，不同等级的信息，对应的权限不同。比如说客户档案，报价信息，技术资料，工艺配方，供应商资料，设备档案等这些涉及到营销、技术、生产、采购、设备等的核心内容，保密等级要高，并且要防范高等级的信息传递给不相干人员。

2、传播途径管理。电脑、复印机、碎纸机、垃圾篓等均要管理，如对企业合同要进行加密，对商业秘密相关的报废文件务必彻底销毁。

3、建立健全企业信息保护制度。在员工招聘时签署保密协议、应聘人员商业秘密调查表；就职和岗位调动时签署岗位保密协议，离职保密承诺书、岗位宣誓书；离职的时候签署离职员保密表，离职员工资料清退单等；日常则通过对员工进行保守商业秘密的道德和法律教育，提高员工的保密意识，防止商业秘密意外泄漏。

4、通信限制。对公司内部通信工具的使用做出限制，尤其是对外发送文档、语音等资料的途径。必要时锁定办公电脑USB接口、建立公司内部局域网或虚拟网络等方式，未经授权的企业信息不得与外界网络直接相连或者存留下操作日志。

（三）强化公司治理、完善内部控制制度是公司治理层、管理层一项持续性的工作，最为行之有效的方式还是将信息安全意识融入到企业文化之中，唯有如此才能高效地实现企业信息保护目的。

四、总结

企业加快推进信息化建设的同时，需要重视移动互联、云计算和大数据环境下的网络与信息安全防护，避免自身成为信息安全堡垒的“洼地”。除了实现信息化过程中软、硬件的提升之外，对于相关人员的信息安全保护意识、法律普及等方面需要引起足够的重视。希望通过这一系列的努力为我国中小企业在信息安全方面内部控制制度的完善发挥一定的作用。