最近,在各种媒体上频频出现一个词,“法规遵从性”。英文名为“Compliance”。其含义就是企业和组织在业务运作中,不仅要遵守自己的各项规章而且要遵守政府和行业制定的各项法律、法规及各种规章,同时又能证实自己确实做到了相关的要求。
多少年来,多数企业和组织都在努力做到法规遵从,但是,随着经济与贸易的全球化,信息技术的广泛采用,在经济高速增长的形势下,企业和组织不应仅仅考虑经济指标增长的问题,同时应当关注是否做到了法规遵从。
如何确保法规遵从性呢?假如我们从IT的角度去审阅的话,会发现在法规遵从的过程中,有三个基本的目标:第一个目标是确保信息的完整性;第二个目标是维护信息的保密性;第三个目标是确保信息能够在适当的时间以适当的格式访问。完整性、保密性和可存取性这三项贯穿于全部治理法规要求。
例如,美国的Sarbanes-Oxley法案明确规定了各公司对信息保存的要求:
(1) 对信息保护的能力。要求公司运用“细致入微”的存取控制和保护手段,防止非授权或因疏忽而更改、毁坏或破坏业务记录和财务信息。这就是维护信息的保密性。
(2) 对信息准确跟踪的能力. 要求公司能够提供审计人员与保存要害记录和信息的系统之间所有交互行动的“审计轨迹”。信息和记录以及文档治理软件、硬件和安全存储环境形成了要害的“内部控制”,它确保各公司其财务和业务信息是准确和可靠的。这就是信息完整性的要求。
(3) 对信息长期保存的能力。要求公司确保用于保留要求记录的存档和存储系统和介质将支持长期可靠存取。对某些特定信息要求保存长达七年的时间.这就是可存取性的要求。
另外,在实践法规遵从性的过程中,有三个重要的环节和内容:
第一个环节和内容是人员。定义好每个相关人员的角色、职责和任务,并按照规范化的流程成功地实施既定的策略;第二个环节和内容是过程,该过程是让业务规则得到可预知结果并且得到高效的贯彻执行;第三个环节和内容是技术,技术的采用是作为一种手段,加强,保留和保护好数据和信息。
人员,流程和技术是做好法规遵从性的要害,它涉及到公司的各个层面和许多环节。没有一种固定的模式去执行。一定要结合到客户的现状,目标和具体环境去实践。但我们可以将其结如下:
1)信息和纪录治理政策和程序。企业和组织应当对其信息和记录治理政策和做法加以定期审查,使所记录的信息和数据能够反映该企业和组织当前的运营结构、法律和法规环境、诉讼历史以及业务目标。
2) 领导支持和组织架构。企业和组织高层主管应当熟悉到信息和记录治理的重要性,而且在很大程度上是通过高层治理人员的直接参与来实现的,他们在开发、治理和推动整个公司的各项计划中能够发挥积极的作用。此外,高层治理人员必须经常向所有员工和雇员明确信息和记录治理的策略和内部的规定。并且配备必要的治理和监督人员。
3) 技术环境。从大量的案例来看,许多信息和记录治理的失败源于企业和组织在业务记录创建、保存和治理所用信息技术方面的不当投资和治理。随着企业和组织对电子信息和数据的依靠逐步提高,象电子邮件和其他形式的电子信息等的存储和处理应当引起企业和组织的认真对待,以便确保这些以电子形式存在的记录能够象纸质信息那样得到同等的照顾和关注。
在技术的采用,过程的执行和人员的协调中,业务记录是其核心和焦点。业务记录是有生命的。 每一条信息和每一份业务文档都有一个生命周期,从创建或捕捉起,历经多次修改、转发和批准,接触许多不同的应用程序,直至最后被处置掉。经历了一个生命周期的过程。因而,协调人员、过程和技术来实现法规遵从性的第一步是理解业务记录的生命周期,并对所有的业务记录按照其重要性和价值进行很好的分类。然后按照业务流程中所制定的各项策略选择业务记录的存储环境,确保在做到法规遵从性的同时,降低业务记录的存储和治理的费用和成本。
这就是以信息生命周期治理的策略来强化法规遵从的一个重要目的。为了帮助客户实现这一目标,EMC将信息的完整性、保密性和可存取性与信息生命周期治理相联系,构建了业务记录生命周期治理平台。该平台分成五个层面: (1)分层网络存储;(2) 灵活的保护和恢复;(3)动态数据迁移;(4) 主动的信息治理;(5) 业务过程/应用程序。 EMC的许多客户应用这一分层次的信息生命周期治理平台到法规遵从的实践中,取得了极其显著的成效。
在经济和技术快速发展的今天,要做好法规遵从性,确实是一个巨大的挑战。但是,假如我们将将这一挑战看作是一次构建提供信息完整性、保密性和可存取性的基础设施的机会,必定会为适应未来出现的任何治理法规奠定坚实的基础。