王碧波

（鄭州工業(yè)應用技術(shù)學院，鄭州 451150）

1 引言

2022年3月5日，在第十三屆全國人民代表大會第五次會議上，李克強總理提出，促進數(shù)字經(jīng)濟發(fā)展，促進產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型。2022 全球數(shù)字經(jīng)濟大會數(shù)字安全峰會暨第十屆互聯(lián)網(wǎng)安全大會（簡稱ISC 2022）開幕式在北京舉行，大會以“護航數(shù)字文明，開創(chuàng)數(shù)字安全新時代”為主題，呼吁行業(yè)凝聚力量，為國家筑牢數(shù)字安全屏障體系，為數(shù)字經(jīng)濟發(fā)展保駕護航。

隨著社會數(shù)字化進程的加速，數(shù)字安全的基礎(chǔ)性作用日益突出，中小微企業(yè)的數(shù)字安全問題不容忽視。中小微企業(yè)數(shù)量占我國企業(yè)數(shù)量的90%以上，稅收貢獻達50%以上。在《2022 中小微企業(yè)數(shù)字安全報告》中提出，85.3%的企業(yè)遇到過數(shù)字安全問題，并且比以前遭受的網(wǎng)絡(luò)攻擊次數(shù)要多；近77.4%的中小微企業(yè)反饋，他們自身并不能有效處置數(shù)字安全問題[1]。

隨著企業(yè)數(shù)字化進程的加快，數(shù)字安全問題備受關(guān)注。中小微企業(yè)與大企業(yè)相比，面臨更多的挑戰(zhàn)和短板。制度的缺失與不完善、員工數(shù)字安全意識薄弱、企業(yè)資金預算不足、基礎(chǔ)設(shè)施不完備、數(shù)字采集及使用流程不規(guī)范、數(shù)字安全未責任到人等潛在問題影響中小微企業(yè)的數(shù)字安全，更制約中小微企業(yè)的長遠發(fā)展。因此，中小微企業(yè)的數(shù)字安全問題成為其數(shù)字化轉(zhuǎn)型的重大挑戰(zhàn)。

2 研究的現(xiàn)實意義

第一，提升中小微企業(yè)的數(shù)字安全水平。

在數(shù)字經(jīng)濟背景下，大數(shù)據(jù)、人工智能等技術(shù)正在改變?nèi)蚪?jīng)濟結(jié)構(gòu)，企業(yè)數(shù)字化轉(zhuǎn)型成為必然所趨，隨之而來的是企業(yè)數(shù)字安全問題成為人們關(guān)注的重點。不同規(guī)模和性質(zhì)的企業(yè)在處理數(shù)字安全問題方面具有不同的能力，中小微企業(yè)規(guī)模小、資金少、處理問題能力弱，面對復雜的信息環(huán)境，針對數(shù)字安全方面的問題，其反應能力、信息獲取能力、處理問題能力有待提升。面對這場嚴峻的挑戰(zhàn)，提升中小微企業(yè)的數(shù)字安全能力迫在眉睫。

第二，為中小微企業(yè)數(shù)字化轉(zhuǎn)型保駕護航。

受數(shù)字經(jīng)濟轉(zhuǎn)型和疫情的影響，各企業(yè)都在加快數(shù)字化轉(zhuǎn)型的步伐。大企業(yè)在規(guī)模、資金、政策支持、平臺等方面有更多的優(yōu)勢，發(fā)展速度較快，中小微企業(yè)的數(shù)字化轉(zhuǎn)型相對大企業(yè)而言，存在較多短板，有效避免數(shù)字安全風險，減少數(shù)字安全問題，可以解決中小微企業(yè)數(shù)字化轉(zhuǎn)型中的關(guān)鍵問題。

第三，為中小微企業(yè)長遠發(fā)展助力。

中小微企業(yè)的數(shù)字化轉(zhuǎn)型利益和風險并存，在數(shù)字化轉(zhuǎn)型初級階段，其數(shù)字安全問題有較大改進空間，本文基于頂層設(shè)計、意識形態(tài)、資金及基礎(chǔ)設(shè)施、數(shù)據(jù)規(guī)范及流程、數(shù)字安全責任等方面，為中小微企業(yè)的數(shù)字安全問題提供落地性強的解決方案。

3 中小微企業(yè)數(shù)字化轉(zhuǎn)型中數(shù)字安全問題的來源

3.1 頂層設(shè)計方面——制度缺失或不完善

在我國，中小微企業(yè)多數(shù)為初創(chuàng)公司，從企業(yè)性質(zhì)來看，有國企，也有個體、私營企業(yè)。中小微國有企業(yè)多數(shù)為集團的子公司、孫子公司，受企業(yè)性質(zhì)和管理模式的影響，管理層級和部門疊加，制度制定需要逐級審批、層層審核，制度制定與實施滯后于企業(yè)發(fā)展速度，造成企業(yè)管理制度，尤其是數(shù)字安全相關(guān)制度不足以支撐企業(yè)發(fā)展。在個體、私營性質(zhì)的企業(yè)中，家族化管理較為普遍，集權(quán)制的領(lǐng)導模式使企業(yè)管理制度與領(lǐng)導主觀意愿關(guān)聯(lián)性較強，企業(yè)制度的數(shù)量、質(zhì)量有待提升。

我國中小微企業(yè)的組織結(jié)構(gòu)相對簡單，為節(jié)省企業(yè)成本，管理者與經(jīng)營者經(jīng)常合二為一，崗位職責劃分較為模糊。在頂層設(shè)計方面，數(shù)字安全相關(guān)制度的制定沒有明確的主管人員，容易出現(xiàn)互相推諉問題。長此以往，存在相關(guān)制度缺失、制度制定及修改耗時較長的現(xiàn)象。

3.2 意識形態(tài)方面——員工數(shù)字安全意識薄弱

思想決定行為，頭腦指揮行動。現(xiàn)今，我國中小微企業(yè)的信息化程度實現(xiàn)明顯提升，自企業(yè)數(shù)字化轉(zhuǎn)型以來，多數(shù)企業(yè)“上云”，打通了內(nèi)外網(wǎng)，工作效率顯著提高，與此同時，外部數(shù)字安全風險加劇，加之管理部門的管理方法陳舊，人員安全意識薄弱，對企業(yè)重要業(yè)務(wù)數(shù)據(jù)及關(guān)鍵信息保護意識不足，存在被他人竊取和使用的風險。一是員工對個人工作賬號等信息管理不當，容易被第三人惡意竊??；二是工作數(shù)據(jù)傳輸時，由于安全意識不足，無意中將重要信息傳出；三是工作流程不規(guī)范，企業(yè)沒有制定詳細的工作流程，或員工為提高工作效率等，不按工作流程保存自己的數(shù)據(jù)，造成數(shù)字安全隱患。

3.3 資金及基礎(chǔ)設(shè)施方面——預算不足，基礎(chǔ)設(shè)施不完備

現(xiàn)階段，我國中小微企業(yè)的數(shù)字化程度參差不齊，不同地區(qū)、不同行業(yè)的數(shù)字化程度不同，資金投入也不同。北上廣深中小微企業(yè)的數(shù)字化進程較快，資金投入相對較多。從整體情況來看，我國中小微企業(yè)在資金及基礎(chǔ)設(shè)施方面仍有不足。企業(yè)以營利為目的，多數(shù)中小微企業(yè)的管理者認為，要想在行業(yè)發(fā)展中爭取市場份額，不僅需要“開源”，提升企業(yè)核心競爭力，更需要“節(jié)流”，減少不必要的支出。數(shù)字安全投入屬于滯后性額外支出，不能帶來利潤，大多數(shù)中小微企業(yè)用于數(shù)字安全方面的費用不足10 萬元，甚至很多企業(yè)費用為零。資金不足必然導致基礎(chǔ)設(shè)施不完備，而企業(yè)數(shù)字化轉(zhuǎn)型需要以基礎(chǔ)設(shè)備作為安全支撐。因此，中小微企業(yè)面臨較多外部環(huán)境帶來的數(shù)字安全風險。

3.4 數(shù)據(jù)規(guī)范及流程方面——數(shù)據(jù)采集及使用流程不規(guī)范

標準化的數(shù)據(jù)采集是數(shù)據(jù)存儲、交易、加工、使用的提前，保障中小微企業(yè)的數(shù)字安全，必須從數(shù)據(jù)采集源頭進行規(guī)范化、流程化操作。

當前，中小微企業(yè)由于資金、技術(shù)等限制，在采集過程中沒有對數(shù)據(jù)進行分層分類，且存在重復采集的現(xiàn)象。在數(shù)據(jù)使用方面，較多中小微企業(yè)沒有相關(guān)流程規(guī)范，有些企業(yè)雖然有規(guī)范，但是浮于表面，員工對于流程規(guī)范執(zhí)行不到位，企業(yè)監(jiān)督不力，存在較多數(shù)字安全隱患。

3.5 數(shù)字安全責任方面——數(shù)字安全未責任到人

數(shù)字安全問題不是一個部門、一個員工的事情，需要各相關(guān)部門通力合作，全體員工落實到位。每個部門有部門職責，每個員工有崗位職責，數(shù)字安全問題應由一個部門牽頭，其他相關(guān)部門全力配合。

多數(shù)中小微企業(yè)在制度建設(shè)等方面存在不足，沒有明確的崗位職責，有些企業(yè)雖有明確的崗位職責，但沒有把數(shù)字安全工作納入崗位職責，或沒有納入考核機制，數(shù)字安全責任也無法落實到人。當出現(xiàn)數(shù)字安全風險時，無法做到責任到人，無法較好地處理和避免以后此類事件的發(fā)生，影響企業(yè)數(shù)字安全及長遠發(fā)展。

4 解決問題的方法和措施

4.1 優(yōu)化頂層設(shè)計，構(gòu)建數(shù)字安全管理體系

近年來，我國建立了比較完善的數(shù)據(jù)合規(guī)法律體系。2017年6月正式施行的《網(wǎng)絡(luò)安全法》強調(diào)我國堅持網(wǎng)絡(luò)安全與信息化并重。對企業(yè)而言，不僅要關(guān)注信息安全或內(nèi)容安全，更要關(guān)注網(wǎng)絡(luò)安全，在范圍、管理模式、技術(shù)手段等方面，應建立相應的管理制度。2021年6月，第十三屆全國人民代表大會常務(wù)委員會第二十九次會議通過《數(shù)據(jù)安全法》，自9月1日起施行。新法案對數(shù)據(jù)安全方面作出了全面指導。2022年1月，國務(wù)院發(fā)布《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》，提出著力強化數(shù)字經(jīng)濟安全體系，數(shù)字安全又一次在頂層設(shè)計方面受到高度重視。中小微企業(yè)由于規(guī)模較小、資金不足、員工數(shù)量較少、管理者與經(jīng)營者崗位職責劃分模糊等，制度制定能力相對較弱，時效性較差，因此，更需加強數(shù)字安全體系的建設(shè)，其可以借鑒國家相關(guān)法律，結(jié)合企業(yè)自身情況，加快優(yōu)化頂層設(shè)計，逐步建立數(shù)字安全管理體系，讓企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展有制度保護。

4.2 開展員工培訓，強化員工安全意識

在數(shù)字經(jīng)濟的大背景下，企業(yè)在數(shù)字化轉(zhuǎn)型過程中需要增強數(shù)字安全意識，提高對數(shù)字安全的重視程度。通常情況下，大型企業(yè)的組織結(jié)構(gòu)較為清晰，部門職責明確，每年會制定詳細的培訓計劃，人力資源部門定期舉行公司層面的培訓，各部門也會定期開展部門培訓，包括數(shù)字安全教育培訓。中小微企業(yè)與大型企業(yè)相比，受企業(yè)規(guī)模、組織結(jié)構(gòu)、員工數(shù)量、資金等方面影響，員工在數(shù)字安全方面培訓較少，甚至沒有。員工缺乏數(shù)據(jù)安全意識，容易在工作中出現(xiàn)無意泄露數(shù)據(jù)的情況，對企業(yè)數(shù)字安全造成危害。

解決數(shù)字安全問題的關(guān)鍵在人，根源在人的意識。中小微企業(yè)應制定相應的培訓計劃，定期對不同崗位的員工開展有針對性的數(shù)字安全宣傳教育培訓，根據(jù)經(jīng)費預算及公司實際情況，可以采取線上線下相結(jié)合的方式。

一方面，可以請相關(guān)領(lǐng)域的專家學者到公司開展現(xiàn)場培訓；另一方面，可以通過互聯(lián)網(wǎng)觀看國家與數(shù)字安全相關(guān)的視頻。同時，將防止數(shù)據(jù)泄露的培訓工作納入員工日常管理，增強員工的數(shù)字安全意識，避免因無意或不知道造成數(shù)據(jù)泄露或被第三人惡意竊取。

4.3 強化基礎(chǔ)設(shè)施建設(shè)

中小微企業(yè)規(guī)模雖小，但“五臟俱全”，雖然可能沒有明確劃分職能部門和業(yè)務(wù)部門，但各項業(yè)務(wù)的開展、數(shù)據(jù)的“上云”等都需要運用數(shù)字化手段，數(shù)字化進程的加快如果沒有相應的基礎(chǔ)設(shè)施作為支撐，極易存在較多的數(shù)字安全隱患。

《2022 中小微企業(yè)數(shù)字安全報告》顯示，中小微企業(yè)在2021年遭受的網(wǎng)絡(luò)攻擊次數(shù)呈現(xiàn)明顯上升趨勢。中小微企業(yè)在業(yè)務(wù)開展過程中，能夠意識到存在的數(shù)字安全問題，但由于自身資金、制度等條件的限制，無法有效解決這些問題，此時，政府相關(guān)部門的幫助就顯得尤為重要[2]。

一是基礎(chǔ)設(shè)施建設(shè)的費用對中小微企業(yè)來說是一筆較大的開支。

二是企業(yè)數(shù)字安全維護不是一次性投入，更需要長期維護和持續(xù)性投入。在業(yè)務(wù)開展過程中，需要安排相關(guān)專業(yè)運維人員實時監(jiān)控，持續(xù)跟進數(shù)據(jù)流轉(zhuǎn)。相對前期的基礎(chǔ)設(shè)施建設(shè)費用，后續(xù)的持續(xù)性數(shù)據(jù)維護費用也是一筆較大的支出。

此時，政府相關(guān)部門的幫助能夠有效解決這些問題。

2021年3月31日，北京金控集團牽頭發(fā)起成立北京國際大數(shù)據(jù)交易所（以下簡稱“北數(shù)所”），旨在打造國內(nèi)領(lǐng)先的數(shù)據(jù)交易基礎(chǔ)設(shè)施和國際重要的數(shù)據(jù)跨境流通樞紐[3]，致力于建立規(guī)范的數(shù)據(jù)要素交易市場，緩解數(shù)據(jù)交易亂象。北數(shù)所將從技術(shù)、模式、規(guī)則、生態(tài)等方面展開全新設(shè)計，采用“云上賦能”的模式，保障企業(yè)數(shù)字安全，增加靈活性和定制化服務(wù)。中小微企業(yè)也應積極響應，將有限資源運用到需求迫切的數(shù)字安全能力建設(shè)上，有效開展數(shù)字安全基礎(chǔ)設(shè)施建設(shè)。

4.4 規(guī)范數(shù)據(jù)采集和使用流程

數(shù)據(jù)采集是指從待檢測設(shè)備中提取相關(guān)數(shù)據(jù)信息，傳輸?shù)街鳈C器，并對其數(shù)據(jù)進行分析。數(shù)據(jù)采集關(guān)乎企業(yè)、政府、運用企業(yè)等多個主體，企業(yè)數(shù)字化程度越高，潛在的安全風險越大，數(shù)字安全等級越需提升。在數(shù)據(jù)采集過程中，應嚴格采取標準化、流程化的數(shù)據(jù)采集模式，充分利用“沉睡”的數(shù)據(jù)資源，將數(shù)據(jù)價值最大化，減少數(shù)據(jù)采集中的重復操作和安全隱患。同時，要根據(jù)不同行業(yè)、不同業(yè)務(wù)內(nèi)容將數(shù)據(jù)分層管理。例如，天氣、醫(yī)療、保險等各行業(yè)生產(chǎn)的數(shù)據(jù)具有不同的特點，在數(shù)據(jù)采集過程中要嚴格按照標準對數(shù)據(jù)進行分類，根據(jù)數(shù)據(jù)質(zhì)量及等級劃分不同層級，對數(shù)據(jù)進行貼簽分類、分層采集。

4.5 數(shù)字安全責任到人

當企業(yè)數(shù)字安全問題被提到重要戰(zhàn)略地位，責任劃分也應更加清晰。明確員工崗位職責可以最大限度地實現(xiàn)員工價值的科學配置，規(guī)范員工行為，提高工作質(zhì)量，防止因崗位職責不清晰而出現(xiàn)工作互相推諉。

當前，部分中小微企業(yè)的組織結(jié)構(gòu)、崗位職責等不完善，可以梳理崗位職責，優(yōu)化資源配置，將合適的人放到合適的位置，真正做到人崗匹配，不僅能使員工價值最大化，還能明確責任主體。結(jié)合現(xiàn)有企業(yè)數(shù)字安全情況和業(yè)務(wù)情況，從實際出發(fā)，制定落地性強的方案，從整體布局考慮，完善規(guī)章制度，為中小微企業(yè)數(shù)字化轉(zhuǎn)型中數(shù)字安全健康發(fā)展提供制度保障。

5 結(jié)語

在數(shù)字經(jīng)濟背景下，多數(shù)大型企業(yè)已進入數(shù)字化轉(zhuǎn)型的快車道，充足的人才、資金、技術(shù)支持為數(shù)字安全提供了更多保障，為企業(yè)高質(zhì)量發(fā)展提供了支持。中小微企業(yè)因其“小、少、靈”的特點，需要更多的政策、資金、人才支持。本文從頂層設(shè)計、意識形態(tài)、資金及基礎(chǔ)設(shè)施、數(shù)據(jù)規(guī)范及流程、數(shù)字安全責任這5 個方面分析了中小微企業(yè)數(shù)字化轉(zhuǎn)型中數(shù)字安全問題的來源，據(jù)此提出了針對性的解決方法和措施，以期為中小微企業(yè)的數(shù)字安全保駕護航。