企業(yè)信息安全合規(guī)的挑戰(zhàn)和應(yīng)對(duì)

文/葛詩(shī)新，中國(guó)人民大學(xué)

我們經(jīng)常聽(tīng)到或者看到CEO,CFO這樣的頭銜，但我們很少看到CCO這樣的頭銜。CCO首席合規(guī)官。隨著全球化的發(fā)展，尤其是數(shù)字經(jīng)濟(jì)的快速發(fā)展，各個(gè)國(guó)家逐漸加強(qiáng)了對(duì)企業(yè)在信息安全要求。

所謂合規(guī)從字面的意思不難理解是符合規(guī)定。其中的規(guī)定包括的主要是國(guó)家的法律和法規(guī)和相關(guān)的技術(shù)標(biāo)準(zhǔn)以及企業(yè)內(nèi)部的規(guī)章制度。符合當(dāng)?shù)胤珊图夹g(shù)標(biāo)準(zhǔn)成為一個(gè)企業(yè)進(jìn)入當(dāng)?shù)厥袌?chǎng)的必要條件，任何違規(guī)的行為都會(huì)給企業(yè)的市場(chǎng)帶來(lái)沖擊。尤其是一些具有巨大品牌價(jià)值的公司，如果一旦出現(xiàn)不合規(guī)的行為，公司會(huì)受到監(jiān)管部門(mén)的罰款.美國(guó)的NSA,中國(guó)的網(wǎng)絡(luò)安全法和歐盟的GDPR通用數(shù)據(jù)保護(hù)條例的推出，都對(duì)企業(yè)尤其是全球化的企業(yè)提出了合規(guī)的新的挑戰(zhàn)。比如歐盟的通用數(shù)據(jù)保護(hù)條例，如果違反相關(guān)條例將被罰款2000萬(wàn)歐元或者當(dāng)年?duì)I業(yè)額的4%中兩者取最高[1]。不僅市場(chǎng)份額會(huì)受到影響，更重要的是公司的品牌形象和公司聲譽(yù)會(huì)受到嚴(yán)重打擊。

企業(yè)在面對(duì)這些新規(guī)的挑戰(zhàn)時(shí)往往經(jīng)驗(yàn)不足或者心存僥幸。2019年1月，抖音因違反美國(guó)《兒童在線隱私保護(hù)法》被FTC處罰570萬(wàn)美元。2019年1月，CNIL以違反GDPR的同意規(guī)則為由，處罰谷歌5000萬(wàn)歐元。谷歌的主要違法行為是，未向用戶提供透明和清晰的處理個(gè)人數(shù)據(jù)的方式，針對(duì)個(gè)性化廣告未獲得合法同意。國(guó)內(nèi)的相關(guān)報(bào)道：新京報(bào)相關(guān)報(bào)道過(guò)度索取住客信息，華住酒店涉嫌侵犯隱私。華住集團(tuán)旗下有的酒店要求住客使用微信掃碼辦理入住，實(shí)際上卻是將住客變成自己的“會(huì)員”。事實(shí)上

一次的懲罰和曝光對(duì)公司不僅是經(jīng)濟(jì)損失，更重要的是聲譽(yù)的受損。

由于合規(guī)工作在實(shí)際的企業(yè)運(yùn)營(yíng)管理中也會(huì)遭遇到各種各樣的挑戰(zhàn)和問(wèn)題。從筆者的實(shí)際工作經(jīng)驗(yàn)看主要有如下。

1 企業(yè)應(yīng)對(duì)合規(guī)工作的問(wèn)題和挑戰(zhàn)

1.1 法律法規(guī)和技術(shù)標(biāo)準(zhǔn)具有各自區(qū)域的特點(diǎn)

法律法規(guī)和技術(shù)標(biāo)準(zhǔn)具有各自區(qū)域的特點(diǎn)。這一點(diǎn)不難理解，因?yàn)楦鲊?guó)的法律和政策的目標(biāo)的不一致，所以在相關(guān)的法律和條例以及技術(shù)標(biāo)準(zhǔn)都各有不同和偏重，這就給公司的相關(guān)合規(guī)工作帶來(lái)比較大的難度。從公司管理和運(yùn)營(yíng)成本的角度，公司希望用一套統(tǒng)一方案解決所有問(wèn)題，以降低成本，但在合規(guī)這部分工作卻有其實(shí)際的難度。比如歐盟推出的通用數(shù)據(jù)保護(hù)條例-GDPR,更偏重于對(duì)個(gè)人敏感數(shù)據(jù)和隱私的保護(hù)。而中國(guó)的網(wǎng)絡(luò)安全法，其生效于2017年6月相對(duì)較晚，但所覆蓋的范圍很寬。不僅包括個(gè)人的信息安全保護(hù)，更多的是和現(xiàn)有的大數(shù)據(jù)數(shù)據(jù)，網(wǎng)絡(luò)領(lǐng)域的等級(jí)保護(hù)要求。例如：移動(dòng)網(wǎng)絡(luò)，物聯(lián)網(wǎng)，云計(jì)算以及關(guān)鍵基礎(chǔ)設(shè)施的相關(guān)保護(hù)要求。對(duì)于企業(yè)來(lái)說(shuō)，為了符合相關(guān)的規(guī)定，就需要制定滿足不同的需求，在內(nèi)部評(píng)估的過(guò)程和偏重也不相同。這都給企業(yè)內(nèi)部的管理流程帶來(lái)不小的挑戰(zhàn)。

1.2 公司內(nèi)部對(duì)合規(guī)工作的認(rèn)識(shí)不統(tǒng)一

由于合規(guī)工作相關(guān)的標(biāo)準(zhǔn)和條例與公司的市場(chǎng)需求并不緊密甚至相背，無(wú)論從普通員工還是高級(jí)經(jīng)理都有不重視不理解的情況。例如在大數(shù)據(jù)分析類(lèi)的公司，從監(jiān)管和保護(hù)的角度，個(gè)人數(shù)據(jù)的需要受到保護(hù)而大數(shù)據(jù)公司是希望更多獲取相關(guān)的數(shù)據(jù)。對(duì)于普通的員工來(lái)說(shuō)，相關(guān)的合規(guī)工作可能會(huì)帶來(lái)工作上的繁瑣，影響工作效率和原來(lái)的工作習(xí)慣。比如在高科技的跨國(guó)企業(yè)中，全球化的研發(fā)體系導(dǎo)致很多系統(tǒng)的問(wèn)題需要跨國(guó)家解決，但如美國(guó)國(guó)家安全局(NSA)的要求，很多用戶現(xiàn)場(chǎng)的數(shù)據(jù)是無(wú)法直接分享給一些國(guó)家的工程師分析的，中間需要對(duì)數(shù)據(jù)的關(guān)鍵內(nèi)容進(jìn)行加密加擾并且權(quán)限需要控制。公司內(nèi)部為了應(yīng)對(duì)相關(guān)要求，必須要開(kāi)發(fā)一套內(nèi)部的跨國(guó)數(shù)據(jù)交互的系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行加密和加擾。這無(wú)形中也增加了企業(yè)的運(yùn)行成本和運(yùn)營(yíng)效率。

1.3 相關(guān)合規(guī)檢驗(yàn)標(biāo)準(zhǔn)不明確

由于相關(guān)的法律和條例是支撐相應(yīng)技術(shù)標(biāo)準(zhǔn)的上位法，是技術(shù)標(biāo)準(zhǔn)的制定的主要依據(jù)。技術(shù)和標(biāo)準(zhǔn)的發(fā)展本身就是一個(gè)漸進(jìn)的過(guò)程。很難短時(shí)間之內(nèi)做到面面具備，而且相應(yīng)的技術(shù)標(biāo)準(zhǔn)和測(cè)試規(guī)范也會(huì)受到起草人的水平和認(rèn)知能力影響。而且從具體的執(zhí)行層面看，國(guó)家標(biāo)準(zhǔn)很難照顧到方方面面的行業(yè)需求。如果沒(méi)有行業(yè)標(biāo)準(zhǔn)作為支撐，會(huì)導(dǎo)致企業(yè)在準(zhǔn)備內(nèi)審和外審時(shí)，有時(shí)沒(méi)有明確的要求。

1.4 執(zhí)行時(shí)難與日常管理經(jīng)營(yíng)工作的結(jié)合

由于合規(guī)工作很多情況下是”額外”的任務(wù)或者與公司主要業(yè)務(wù)關(guān)聯(lián)不緊密，但合規(guī)的要求卻是從開(kāi)始到結(jié)束貫穿整個(gè)產(chǎn)品的管理流程，必須在各個(gè)流程的節(jié)點(diǎn)要有相關(guān)的檢查和驗(yàn)證的手段。這都是對(duì)原有流程的影響，以及對(duì)相應(yīng)人員的職責(zé)的擴(kuò)展?？梢哉f(shuō)對(duì)公司原有的日常管理工作的影響比較大，增加相關(guān)人員的工作量，而且管理人員的知識(shí)庫(kù)也需要因此而更新。這些都會(huì)相對(duì)帶來(lái)一些抵觸，畢竟這些變化打破了原有的流程和職責(zé)，改變了原有管理環(huán)境的舒適度。

2 靈活與統(tǒng)一的應(yīng)對(duì)合規(guī)管理方案

針對(duì)上述的問(wèn)題其實(shí)也有多種方式來(lái)化解相應(yīng)的問(wèn)題。我在這里根據(jù)實(shí)踐的經(jīng)驗(yàn)介紹一些方法，為企業(yè)的相關(guān)管理工作提供參考。

2.1 建立公司內(nèi)部的統(tǒng)一合規(guī)標(biāo)準(zhǔn)

合規(guī)工作的內(nèi)容和側(cè)重雖有不同，但世界上各個(gè)國(guó)家針對(duì)安全，尤其是信息和數(shù)據(jù)安全還是有很多通用和相似的地方。這就要求企業(yè)內(nèi)能夠根據(jù)所在國(guó)家和地區(qū)的要求整理一份公司內(nèi)部統(tǒng)一的安全基線。從產(chǎn)品的設(shè)計(jì)開(kāi)發(fā)開(kāi)始，就要嚴(yán)格遵循公司內(nèi)部的統(tǒng)一安全基線。同時(shí)剝離出各個(gè)區(qū)域不同的要求做一些特殊要求。主要是在相關(guān)產(chǎn)品需要在其中銷(xiāo)售的時(shí)候能夠符合當(dāng)?shù)匾?。這部分的評(píng)估工作可以作為統(tǒng)一安全標(biāo)準(zhǔn)的一個(gè)補(bǔ)充，只在所受影響的區(qū)域進(jìn)行。另外從技術(shù)標(biāo)準(zhǔn)的角度看，世界范圍內(nèi)也有很多和安全合規(guī)相關(guān)的國(guó)際標(biāo)準(zhǔn)組織或行業(yè)標(biāo)準(zhǔn)組織。標(biāo)準(zhǔn)組織的主要目標(biāo)一般都是消除差異，為企業(yè)的技術(shù)需求和管理體系提供統(tǒng)一的基線。在建立公司內(nèi)部的統(tǒng)一標(biāo)準(zhǔn)的時(shí)候，盡量滿足相關(guān)的國(guó)際標(biāo)準(zhǔn)也是一種省時(shí)省力的方法。比如在安全領(lǐng)域可以參考ISO,ITU等相關(guān)標(biāo)準(zhǔn)。

2.2 加強(qiáng)合規(guī)相關(guān)的培訓(xùn)，統(tǒng)一內(nèi)部認(rèn)識(shí)

針對(duì)公司內(nèi)部對(duì)合規(guī)工作的認(rèn)識(shí)不統(tǒng)一。我建議從以下三點(diǎn)入手：

2.2.1 相關(guān)的培訓(xùn)。

2.2.2 違規(guī)后的風(fēng)險(xiǎn)警示。

2.2.3 高層領(lǐng)導(dǎo)的重視和推動(dòng)。

不重視源于對(duì)合規(guī)問(wèn)題的危害估計(jì)不足或者心存僥幸心理，但從最近幾年各國(guó)政府對(duì)安全問(wèn)題的監(jiān)管態(tài)度上都是日趨嚴(yán)厲。中國(guó)政府現(xiàn)在倡導(dǎo)的一帶一路建設(shè)的總體思路是好事，但也引來(lái)不少其他的猜忌,在這種情形下中資企業(yè)在走出去的同時(shí)，合規(guī)就顯得的特別重要。

針對(duì)這些問(wèn)題，相關(guān)的培訓(xùn)是必不可少的。無(wú)論是風(fēng)險(xiǎn)相關(guān)的培訓(xùn)，還是與合規(guī)流程相關(guān)的培訓(xùn)，對(duì)全員和新員工都要進(jìn)行系統(tǒng)的培訓(xùn)。

對(duì)于高層領(lǐng)導(dǎo)，相關(guān)的工作人員應(yīng)該把其中的風(fēng)險(xiǎn)和厲害關(guān)系充分分享給相關(guān)領(lǐng)導(dǎo)。我相信在這樣的大是大非的問(wèn)題上，一個(gè)有職業(yè)素養(yǎng)的領(lǐng)導(dǎo)人是不會(huì)心存僥幸的。

2.3 積極參與標(biāo)準(zhǔn)制定，明確相關(guān)合規(guī)標(biāo)準(zhǔn)

作為有能力的企業(yè)要積極參與到標(biāo)準(zhǔn)的制訂中。合規(guī)工作的一個(gè)主要任務(wù)是符合相關(guān)機(jī)構(gòu)的合規(guī)審查或者合規(guī)檢測(cè)。如果所處領(lǐng)域相關(guān)的標(biāo)準(zhǔn)和規(guī)范不是很健全，公司積極參與相關(guān)標(biāo)準(zhǔn)的制作工作。俗話說(shuō)的好，一流的企業(yè)做標(biāo)準(zhǔn)。積極參與到標(biāo)準(zhǔn)撰寫(xiě)的工作中有兩個(gè)好處。一來(lái)企業(yè)可以更深入了解相關(guān)的要求和測(cè)試標(biāo)準(zhǔn)，二來(lái)可以提前介入合規(guī)要求，為公司相關(guān)的合規(guī)的審查和檢測(cè)提供前瞻性支持。

2.4 靈活的組織架構(gòu)和統(tǒng)一的處理流程，有助于合規(guī)工作落地

2.4.1 人員和組織結(jié)構(gòu)及流程

專(zhuān)職團(tuán)隊(duì)和虛擬團(tuán)隊(duì)相結(jié)合構(gòu)建虛實(shí)相結(jié)合的組織結(jié)構(gòu)。

由于合規(guī)工作需要覆蓋公司所有相關(guān)業(yè)務(wù)及起全部的生命周期。所以每個(gè)組織都要有相關(guān)的人員參與，但出于成本考慮，公司往往不愿意招募更多的全職人員支持合規(guī)的相關(guān)工作。根據(jù)個(gè)人的實(shí)踐經(jīng)驗(yàn)，采用虛擬化的團(tuán)隊(duì)來(lái)執(zhí)行具體的合規(guī)工作也是明智的選擇。虛擬化團(tuán)隊(duì)的最大好處是可以快速建立并響應(yīng)將問(wèn)題傳遞到公司相關(guān)部門(mén)。對(duì)于全球化的公司一個(gè)中心的合規(guī)團(tuán)隊(duì)還是必不可少的。專(zhuān)職的人員中包括開(kāi)始提到的首席執(zhí)行官，而且首席執(zhí)行官必須能向公司的最高領(lǐng)導(dǎo)直接匯報(bào)。合規(guī)工作的推動(dòng)離不開(kāi)高層管理者的推動(dòng)和支持。

2.4.2 流程的調(diào)整。

合規(guī)工作落地難，其中一個(gè)主要原因和公司管理流程中的控制相關(guān)。合規(guī)工作中有很多是對(duì)管理和流程的要求，因?yàn)槠髽I(yè)的不同，相應(yīng)的合規(guī)流程也不盡相同，但企業(yè)內(nèi)部應(yīng)結(jié)合自身原有的管理流程適應(yīng)合規(guī)中的相關(guān)要求。并在流程的關(guān)鍵節(jié)點(diǎn)加入合規(guī)內(nèi)容的驗(yàn)證和評(píng)估。對(duì)一些重要內(nèi)容應(yīng)行使一票否決的權(quán)利。在加入的流程中，無(wú)論是評(píng)估報(bào)告還是風(fēng)險(xiǎn)分析，最關(guān)鍵的是這些相關(guān)的結(jié)果可驗(yàn)證，并能為將來(lái)的合規(guī)審查提供證據(jù)。

3 結(jié)束語(yǔ)

企業(yè)的合規(guī)運(yùn)營(yíng)已經(jīng)變成企業(yè)管理中的一塊基石。合規(guī)工作的開(kāi)展可以說(shuō)和企業(yè)的管理緊密相連，甚至企業(yè)自身的管理也是合規(guī)管理的一部分。在當(dāng)今監(jiān)管日趨嚴(yán)格，法律法規(guī)日漸完善的情況，企業(yè)不要在心存僥幸，不然很容易給企業(yè)的市場(chǎng)和品牌的價(jià)值帶來(lái)無(wú)可挽回的損失。合規(guī)工作也不是為了應(yīng)付監(jiān)管和審查，而是企業(yè)真正落實(shí)企業(yè)自身的社會(huì)責(zé)任，使企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中走的更穩(wěn)。