• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      企業(yè)信息安全合規(guī)的挑戰(zhàn)和應(yīng)對(duì)

      2019-12-22 07:19:41葛詩(shī)新中國(guó)人民大學(xué)
      新商務(wù)周刊 2019年23期
      關(guān)鍵詞:技術(shù)標(biāo)準(zhǔn)合規(guī)流程

      文/葛詩(shī)新,中國(guó)人民大學(xué)

      我們經(jīng)常聽(tīng)到或者看到CEO,CFO這樣的頭銜,但我們很少看到CCO這樣的頭銜。CCO首席合規(guī)官。隨著全球化的發(fā)展,尤其是數(shù)字經(jīng)濟(jì)的快速發(fā)展,各個(gè)國(guó)家逐漸加強(qiáng)了對(duì)企業(yè)在信息安全要求。

      所謂合規(guī)從字面的意思不難理解是符合規(guī)定。其中的規(guī)定包括的主要是國(guó)家的法律和法規(guī)和相關(guān)的技術(shù)標(biāo)準(zhǔn)以及企業(yè)內(nèi)部的規(guī)章制度。符合當(dāng)?shù)胤珊图夹g(shù)標(biāo)準(zhǔn)成為一個(gè)企業(yè)進(jìn)入當(dāng)?shù)厥袌?chǎng)的必要條件,任何違規(guī)的行為都會(huì)給企業(yè)的市場(chǎng)帶來(lái)沖擊。尤其是一些具有巨大品牌價(jià)值的公司,如果一旦出現(xiàn)不合規(guī)的行為,公司會(huì)受到監(jiān)管部門(mén)的罰款.美國(guó)的NSA,中國(guó)的網(wǎng)絡(luò)安全法和歐盟的GDPR通用數(shù)據(jù)保護(hù)條例的推出,都對(duì)企業(yè)尤其是全球化的企業(yè)提出了合規(guī)的新的挑戰(zhàn)。比如歐盟的通用數(shù)據(jù)保護(hù)條例,如果違反相關(guān)條例將被罰款2000萬(wàn)歐元或者當(dāng)年?duì)I業(yè)額的4%中兩者取最高[1]。不僅市場(chǎng)份額會(huì)受到影響,更重要的是公司的品牌形象和公司聲譽(yù)會(huì)受到嚴(yán)重打擊。

      企業(yè)在面對(duì)這些新規(guī)的挑戰(zhàn)時(shí)往往經(jīng)驗(yàn)不足或者心存僥幸。2019年1月,抖音因違反美國(guó)《兒童在線隱私保護(hù)法》被FTC處罰570萬(wàn)美元。2019年1月,CNIL以違反GDPR的同意規(guī)則為由,處罰谷歌5000萬(wàn)歐元。谷歌的主要違法行為是,未向用戶提供透明和清晰的處理個(gè)人數(shù)據(jù)的方式,針對(duì)個(gè)性化廣告未獲得合法同意。國(guó)內(nèi)的相關(guān)報(bào)道:新京報(bào)相關(guān)報(bào)道過(guò)度索取住客信息,華住酒店涉嫌侵犯隱私。華住集團(tuán)旗下有的酒店要求住客使用微信掃碼辦理入住,實(shí)際上卻是將住客變成自己的“會(huì)員”。事實(shí)上

      一次的懲罰和曝光對(duì)公司不僅是經(jīng)濟(jì)損失,更重要的是聲譽(yù)的受損。

      由于合規(guī)工作在實(shí)際的企業(yè)運(yùn)營(yíng)管理中也會(huì)遭遇到各種各樣的挑戰(zhàn)和問(wèn)題。從筆者的實(shí)際工作經(jīng)驗(yàn)看主要有如下。

      1 企業(yè)應(yīng)對(duì)合規(guī)工作的問(wèn)題和挑戰(zhàn)

      1.1 法律法規(guī)和技術(shù)標(biāo)準(zhǔn)具有各自區(qū)域的特點(diǎn)

      法律法規(guī)和技術(shù)標(biāo)準(zhǔn)具有各自區(qū)域的特點(diǎn)。這一點(diǎn)不難理解,因?yàn)楦鲊?guó)的法律和政策的目標(biāo)的不一致,所以在相關(guān)的法律和條例以及技術(shù)標(biāo)準(zhǔn)都各有不同和偏重,這就給公司的相關(guān)合規(guī)工作帶來(lái)比較大的難度。從公司管理和運(yùn)營(yíng)成本的角度,公司希望用一套統(tǒng)一方案解決所有問(wèn)題,以降低成本,但在合規(guī)這部分工作卻有其實(shí)際的難度。比如歐盟推出的通用數(shù)據(jù)保護(hù)條例-GDPR,更偏重于對(duì)個(gè)人敏感數(shù)據(jù)和隱私的保護(hù)。而中國(guó)的網(wǎng)絡(luò)安全法,其生效于2017年6月相對(duì)較晚,但所覆蓋的范圍很寬。不僅包括個(gè)人的信息安全保護(hù),更多的是和現(xiàn)有的大數(shù)據(jù)數(shù)據(jù),網(wǎng)絡(luò)領(lǐng)域的等級(jí)保護(hù)要求。例如:移動(dòng)網(wǎng)絡(luò),物聯(lián)網(wǎng),云計(jì)算以及關(guān)鍵基礎(chǔ)設(shè)施的相關(guān)保護(hù)要求。對(duì)于企業(yè)來(lái)說(shuō),為了符合相關(guān)的規(guī)定,就需要制定滿足不同的需求,在內(nèi)部評(píng)估的過(guò)程和偏重也不相同。這都給企業(yè)內(nèi)部的管理流程帶來(lái)不小的挑戰(zhàn)。

      1.2 公司內(nèi)部對(duì)合規(guī)工作的認(rèn)識(shí)不統(tǒng)一

      由于合規(guī)工作相關(guān)的標(biāo)準(zhǔn)和條例與公司的市場(chǎng)需求并不緊密甚至相背,無(wú)論從普通員工還是高級(jí)經(jīng)理都有不重視不理解的情況。例如在大數(shù)據(jù)分析類(lèi)的公司,從監(jiān)管和保護(hù)的角度,個(gè)人數(shù)據(jù)的需要受到保護(hù)而大數(shù)據(jù)公司是希望更多獲取相關(guān)的數(shù)據(jù)。對(duì)于普通的員工來(lái)說(shuō),相關(guān)的合規(guī)工作可能會(huì)帶來(lái)工作上的繁瑣,影響工作效率和原來(lái)的工作習(xí)慣。比如在高科技的跨國(guó)企業(yè)中,全球化的研發(fā)體系導(dǎo)致很多系統(tǒng)的問(wèn)題需要跨國(guó)家解決,但如美國(guó)國(guó)家安全局(NSA)的要求,很多用戶現(xiàn)場(chǎng)的數(shù)據(jù)是無(wú)法直接分享給一些國(guó)家的工程師分析的,中間需要對(duì)數(shù)據(jù)的關(guān)鍵內(nèi)容進(jìn)行加密加擾并且權(quán)限需要控制。公司內(nèi)部為了應(yīng)對(duì)相關(guān)要求,必須要開(kāi)發(fā)一套內(nèi)部的跨國(guó)數(shù)據(jù)交互的系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行加密和加擾。這無(wú)形中也增加了企業(yè)的運(yùn)行成本和運(yùn)營(yíng)效率。

      1.3 相關(guān)合規(guī)檢驗(yàn)標(biāo)準(zhǔn)不明確

      由于相關(guān)的法律和條例是支撐相應(yīng)技術(shù)標(biāo)準(zhǔn)的上位法,是技術(shù)標(biāo)準(zhǔn)的制定的主要依據(jù)。技術(shù)和標(biāo)準(zhǔn)的發(fā)展本身就是一個(gè)漸進(jìn)的過(guò)程。很難短時(shí)間之內(nèi)做到面面具備,而且相應(yīng)的技術(shù)標(biāo)準(zhǔn)和測(cè)試規(guī)范也會(huì)受到起草人的水平和認(rèn)知能力影響。而且從具體的執(zhí)行層面看,國(guó)家標(biāo)準(zhǔn)很難照顧到方方面面的行業(yè)需求。如果沒(méi)有行業(yè)標(biāo)準(zhǔn)作為支撐,會(huì)導(dǎo)致企業(yè)在準(zhǔn)備內(nèi)審和外審時(shí),有時(shí)沒(méi)有明確的要求。

      1.4 執(zhí)行時(shí)難與日常管理經(jīng)營(yíng)工作的結(jié)合

      由于合規(guī)工作很多情況下是”額外”的任務(wù)或者與公司主要業(yè)務(wù)關(guān)聯(lián)不緊密,但合規(guī)的要求卻是從開(kāi)始到結(jié)束貫穿整個(gè)產(chǎn)品的管理流程,必須在各個(gè)流程的節(jié)點(diǎn)要有相關(guān)的檢查和驗(yàn)證的手段。這都是對(duì)原有流程的影響,以及對(duì)相應(yīng)人員的職責(zé)的擴(kuò)展??梢哉f(shuō)對(duì)公司原有的日常管理工作的影響比較大,增加相關(guān)人員的工作量,而且管理人員的知識(shí)庫(kù)也需要因此而更新。這些都會(huì)相對(duì)帶來(lái)一些抵觸,畢竟這些變化打破了原有的流程和職責(zé),改變了原有管理環(huán)境的舒適度。

      2 靈活與統(tǒng)一的應(yīng)對(duì)合規(guī)管理方案

      針對(duì)上述的問(wèn)題其實(shí)也有多種方式來(lái)化解相應(yīng)的問(wèn)題。我在這里根據(jù)實(shí)踐的經(jīng)驗(yàn)介紹一些方法,為企業(yè)的相關(guān)管理工作提供參考。

      2.1 建立公司內(nèi)部的統(tǒng)一合規(guī)標(biāo)準(zhǔn)

      合規(guī)工作的內(nèi)容和側(cè)重雖有不同,但世界上各個(gè)國(guó)家針對(duì)安全,尤其是信息和數(shù)據(jù)安全還是有很多通用和相似的地方。這就要求企業(yè)內(nèi)能夠根據(jù)所在國(guó)家和地區(qū)的要求整理一份公司內(nèi)部統(tǒng)一的安全基線。從產(chǎn)品的設(shè)計(jì)開(kāi)發(fā)開(kāi)始,就要嚴(yán)格遵循公司內(nèi)部的統(tǒng)一安全基線。同時(shí)剝離出各個(gè)區(qū)域不同的要求做一些特殊要求。主要是在相關(guān)產(chǎn)品需要在其中銷(xiāo)售的時(shí)候能夠符合當(dāng)?shù)匾?。這部分的評(píng)估工作可以作為統(tǒng)一安全標(biāo)準(zhǔn)的一個(gè)補(bǔ)充,只在所受影響的區(qū)域進(jìn)行。另外從技術(shù)標(biāo)準(zhǔn)的角度看,世界范圍內(nèi)也有很多和安全合規(guī)相關(guān)的國(guó)際標(biāo)準(zhǔn)組織或行業(yè)標(biāo)準(zhǔn)組織。標(biāo)準(zhǔn)組織的主要目標(biāo)一般都是消除差異,為企業(yè)的技術(shù)需求和管理體系提供統(tǒng)一的基線。在建立公司內(nèi)部的統(tǒng)一標(biāo)準(zhǔn)的時(shí)候,盡量滿足相關(guān)的國(guó)際標(biāo)準(zhǔn)也是一種省時(shí)省力的方法。比如在安全領(lǐng)域可以參考ISO,ITU等相關(guān)標(biāo)準(zhǔn)。

      2.2 加強(qiáng)合規(guī)相關(guān)的培訓(xùn),統(tǒng)一內(nèi)部認(rèn)識(shí)

      針對(duì)公司內(nèi)部對(duì)合規(guī)工作的認(rèn)識(shí)不統(tǒng)一。我建議從以下三點(diǎn)入手:

      2.2.1 相關(guān)的培訓(xùn)。

      2.2.2 違規(guī)后的風(fēng)險(xiǎn)警示。

      2.2.3 高層領(lǐng)導(dǎo)的重視和推動(dòng)。

      不重視源于對(duì)合規(guī)問(wèn)題的危害估計(jì)不足或者心存僥幸心理,但從最近幾年各國(guó)政府對(duì)安全問(wèn)題的監(jiān)管態(tài)度上都是日趨嚴(yán)厲。中國(guó)政府現(xiàn)在倡導(dǎo)的一帶一路建設(shè)的總體思路是好事,但也引來(lái)不少其他的猜忌,在這種情形下中資企業(yè)在走出去的同時(shí),合規(guī)就顯得的特別重要。

      針對(duì)這些問(wèn)題,相關(guān)的培訓(xùn)是必不可少的。無(wú)論是風(fēng)險(xiǎn)相關(guān)的培訓(xùn),還是與合規(guī)流程相關(guān)的培訓(xùn),對(duì)全員和新員工都要進(jìn)行系統(tǒng)的培訓(xùn)。

      對(duì)于高層領(lǐng)導(dǎo),相關(guān)的工作人員應(yīng)該把其中的風(fēng)險(xiǎn)和厲害關(guān)系充分分享給相關(guān)領(lǐng)導(dǎo)。我相信在這樣的大是大非的問(wèn)題上,一個(gè)有職業(yè)素養(yǎng)的領(lǐng)導(dǎo)人是不會(huì)心存僥幸的。

      2.3 積極參與標(biāo)準(zhǔn)制定,明確相關(guān)合規(guī)標(biāo)準(zhǔn)

      作為有能力的企業(yè)要積極參與到標(biāo)準(zhǔn)的制訂中。合規(guī)工作的一個(gè)主要任務(wù)是符合相關(guān)機(jī)構(gòu)的合規(guī)審查或者合規(guī)檢測(cè)。如果所處領(lǐng)域相關(guān)的標(biāo)準(zhǔn)和規(guī)范不是很健全,公司積極參與相關(guān)標(biāo)準(zhǔn)的制作工作。俗話說(shuō)的好,一流的企業(yè)做標(biāo)準(zhǔn)。積極參與到標(biāo)準(zhǔn)撰寫(xiě)的工作中有兩個(gè)好處。一來(lái)企業(yè)可以更深入了解相關(guān)的要求和測(cè)試標(biāo)準(zhǔn),二來(lái)可以提前介入合規(guī)要求,為公司相關(guān)的合規(guī)的審查和檢測(cè)提供前瞻性支持。

      2.4 靈活的組織架構(gòu)和統(tǒng)一的處理流程,有助于合規(guī)工作落地

      2.4.1 人員和組織結(jié)構(gòu)及流程

      專(zhuān)職團(tuán)隊(duì)和虛擬團(tuán)隊(duì)相結(jié)合構(gòu)建虛實(shí)相結(jié)合的組織結(jié)構(gòu)。

      由于合規(guī)工作需要覆蓋公司所有相關(guān)業(yè)務(wù)及起全部的生命周期。所以每個(gè)組織都要有相關(guān)的人員參與,但出于成本考慮,公司往往不愿意招募更多的全職人員支持合規(guī)的相關(guān)工作。根據(jù)個(gè)人的實(shí)踐經(jīng)驗(yàn),采用虛擬化的團(tuán)隊(duì)來(lái)執(zhí)行具體的合規(guī)工作也是明智的選擇。虛擬化團(tuán)隊(duì)的最大好處是可以快速建立并響應(yīng)將問(wèn)題傳遞到公司相關(guān)部門(mén)。對(duì)于全球化的公司一個(gè)中心的合規(guī)團(tuán)隊(duì)還是必不可少的。專(zhuān)職的人員中包括開(kāi)始提到的首席執(zhí)行官,而且首席執(zhí)行官必須能向公司的最高領(lǐng)導(dǎo)直接匯報(bào)。合規(guī)工作的推動(dòng)離不開(kāi)高層管理者的推動(dòng)和支持。

      2.4.2 流程的調(diào)整。

      合規(guī)工作落地難,其中一個(gè)主要原因和公司管理流程中的控制相關(guān)。合規(guī)工作中有很多是對(duì)管理和流程的要求,因?yàn)槠髽I(yè)的不同,相應(yīng)的合規(guī)流程也不盡相同,但企業(yè)內(nèi)部應(yīng)結(jié)合自身原有的管理流程適應(yīng)合規(guī)中的相關(guān)要求。并在流程的關(guān)鍵節(jié)點(diǎn)加入合規(guī)內(nèi)容的驗(yàn)證和評(píng)估。對(duì)一些重要內(nèi)容應(yīng)行使一票否決的權(quán)利。在加入的流程中,無(wú)論是評(píng)估報(bào)告還是風(fēng)險(xiǎn)分析,最關(guān)鍵的是這些相關(guān)的結(jié)果可驗(yàn)證,并能為將來(lái)的合規(guī)審查提供證據(jù)。

      3 結(jié)束語(yǔ)

      企業(yè)的合規(guī)運(yùn)營(yíng)已經(jīng)變成企業(yè)管理中的一塊基石。合規(guī)工作的開(kāi)展可以說(shuō)和企業(yè)的管理緊密相連,甚至企業(yè)自身的管理也是合規(guī)管理的一部分。在當(dāng)今監(jiān)管日趨嚴(yán)格,法律法規(guī)日漸完善的情況,企業(yè)不要在心存僥幸,不然很容易給企業(yè)的市場(chǎng)和品牌的價(jià)值帶來(lái)無(wú)可挽回的損失。合規(guī)工作也不是為了應(yīng)付監(jiān)管和審查,而是企業(yè)真正落實(shí)企業(yè)自身的社會(huì)責(zé)任,使企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中走的更穩(wěn)。

      猜你喜歡
      技術(shù)標(biāo)準(zhǔn)合規(guī)流程
      淺析科技成果轉(zhuǎn)化為技術(shù)標(biāo)準(zhǔn)
      吃水果有套“清洗流程”
      深海采礦船技術(shù)標(biāo)準(zhǔn)的研究與制訂
      對(duì)企業(yè)合規(guī)風(fēng)險(xiǎn)管理的思考
      對(duì)特高壩抗震設(shè)計(jì)及相關(guān)技術(shù)標(biāo)準(zhǔn)的探討
      外貿(mào)企業(yè)海關(guān)合規(guī)重點(diǎn)提示
      GDPR實(shí)施下的企業(yè)合規(guī)管理
      網(wǎng)絡(luò)文學(xué)IP化的“技術(shù)標(biāo)準(zhǔn)”——以《瑯琊榜》為例
      違反流程 致命誤判
      本刊審稿流程
      格尔木市| 钦州市| 云林县| 会泽县| 辽宁省| 金川县| 西平县| 寿阳县| 纳雍县| 手游| 密云县| 黎平县| 大关县| 杭州市| 钟山县| 双柏县| 阆中市| 古浪县| 平原县| 中宁县| 临桂县| 织金县| 辽阳县| 岱山县| 隆子县| 桓台县| 红桥区| 缙云县| 上高县| 茂名市| 乌拉特前旗| 玛曲县| 岚皋县| 文登市| 大厂| 拉孜县| 定远县| 汽车| 武乡县| 什邡市| 安岳县|