文/吴音颖

数字化时代，国家信息安全是一个国家的发展和安全的重中之重。国家的重要数据，包括政府机构、企业、个人等敏感信息，如果这些数据遭到泄露、损坏或被盗取，将会对国家造成重大损失和危害，比如国家安全将受到威胁、经济利益受损、社会稳定受到影响等。

包括普华永道(PWC)、安永(EY)、德勤(DTT)、毕马威(KPMG)在内的国际咨询公司，常年在中国市场份额中占据半壁江山，仅2023年第一季度，“四大”至少中标了13个国企的审计或咨询项目，其中包括中国铁塔、中国银行、中信银行、中国太平保险等大型央企、金融机构等。但是以“四大”为代表的国际咨询公司，在实际工作中仍存在以下信息安全方面的问题：

一、工作底稿不会销毁，服务器自动保存涉密信息。某大型国际咨询公司法务在与企业客户签订咨询服务合同时明确标示：“本所后台服务器会自动保存部分保密信息，该等信息将无法删除或销毁，但是日后将会被新保存的信息覆盖同时我们可以确保信息的安全。”“基于服务成果形成的工作底稿文件的所有权归本所所有，将不会被归还或销毁，其中涉及的保密信息将会按照公司内部的工作文件保密政策保存以支持本所提供的意见或报告。”

二、追求利益至上，可能存在隐性不正当竞争行为。以“四大”为代表的国际咨询公司的强项实则是提供咨询服务，其核心力量以金融财会专业人士为主，以往待其完成服务输出咨询成果后，企业客户将会根据咨询结果寻找适合的技术服务商进行项目实施。但近年来，国际咨询公司为谋求更高的利润，纷纷开始自己组建IT团队，试图占据其并不擅长的领域的市场份额，但无论是IT管理抑或是技术积累皆有所欠缺，因此往往会结合其咨询服务出现一些隐性的不正当竞争行为，无法给客户带来真正的优质服务。

三、信息项目交付存在安全瑕疵，不尊重知识产权约定。某大型国际咨询公司之前为国内某大型银行进行IT项目实施，服务合同中明确了知识产权归银行所有。但咨询公司技术总监在项目交付后将原班人马集合起来又重新还原了系统(不排除是否通过特殊手段获取源代码的可能性)，将在为银行实施过程中完成的研发，包装成了咨询公司自研产品，又将该系统产品有偿实施交付给了另一金融机构。甚至其所交付的成果物可能存在“留后门”的风险。

为此，建议如下：

一、建立咨询服务业工作底稿的信息安全机制，明确管理方式。基于我国数据安全法等信息安全相关法律法规，参照中国证监会等部门对规范审计工作底稿安全管理的方式，确定或成立行业主管部门，完善相关规定，对咨询服务工作底稿信息安全管理提出明确要求，进一步落实咨询服务业信息安全的主体责任，同时为企业和咨询服务公司依法依规保管和处理涉密敏感信息提供更加细化和可执行的指引，助力咨询行业在满足信息安全要求的前提下做好底稿编制工作，并依法保护相关信息安全。

二、明确咨询行业监管、审查机制，定期进行咨询公司信息安全审计。参照财会审计制度，由国家授权或接受委托的专职机构和人员，依照国家法规、信息安全审计准则和理论(需完善)，运用专门的方法，对被审计单位的信息安全情况及其相关资料的真实性、正确性、合规性、合法性、效益性进行审查和监督，评价责任，鉴证业务，实施监督活动。

三、推进信息安全示范工程建设，率先试点国企，促进本土咨询行业发展。重点培养和支持一批咨询服务行业接受信息安全审计的示范项目，通过规范化工程建设树立行业样板，打造精品工程，推动咨询行业信息安全审计的应用，促进企业良好发展，为我国咨询服务行业的信息安全保障打下坚实的基础。建议在国有企业率先示范，要求开展定期接受信息安全审计的落地工作，并将这一工作纳入国有企业负责人综合绩效考核，同时赋予足够的试错容错空间。

本文观点供交流参考