李煜华最近有点烦,时光已不复往日那般美好,国外的客户越来越苛刻,除了价格、质量、交货速度这以往的三板斧以外,客户还开始要求其证明具有合乎国际规范的信息安全管理系统。在中国,李煜华的尴尬只是众多企业的一个缩影,越来越多的电子代工企业发现他们正在陷入类似的困境。
李煜华的解决方案是,通过赛门铁克公司帮助建立符合国际标准的信息安全管理体系(ISMS),并通过该领域的BS7799信息安全管理体系标准的权威认证。他希望借此举来提高自身业务安全管理水平的同时,也赢得更多的企业信誉和客户信心。这也是他第一次深入接触“IT法规遵从(ITCompliance)”这样的概念。
内部和外部的挑战
如果您是一家大中型企业的IT主管或者IT已经构成了您公司的核心竞争力,如果您觉得“法规遵从”不过是IT行业新的华而不实的口号,那么请注意无论您是否希望,“法规遵从”已经来到了您的身边。想想2001年的美国的安然公司事件,以及2002年的世界通信公司事件吧。这些历史上最为严重的财务欺诈案无不揭示了漠视IT规范的危险所在。
另一个方面,企业和组织的另外压力来自于数字时代的网络环境。企业越来越强烈地依赖于利用信息技术创造数据信息,数字信息资产的数量和价值正以前所未有的速度增长。如何积极处理信息的创建、存储、传递、快速检索和使用以及安全,已成为提升企业竞争力的利器之一。
然而,今天的IT应用已经非常复杂,从胶片到语音邮件的多种存储介质,从移动电话到虚拟网络的多样接入终端,IT管理人员面临着用户管理规范上的挑战。某一名员工不适当的从网络上下载并安装软件可能会招来诉讼,而在酒店里面使用商务中心的计算机登入企业内部网络,则可能给病毒攻击打开了方便之门。
这就是千千万万个意欲开拓海外市场的企业高层所面临的主要挑战:“法规遵从”———打造符合外部法律和内部规范要求的IT体系。
何谓“IT法规遵从”?
虽然迄今为止并未有明确的定义,但是不少专家认为,从狭义上讲,法规遵从是对数据、信息的安全性、存储的合理性加以要求;从广义上看,由于国际和国内的相关法律已经影响到企业IT架构的规划,并将对包括业务连续性、数据容灾等内容在内的各种信息化手段产生连带影响。“法规遵从”要求公司对全局视图和终端进行管理,并注意对终端“法规遵从”实施检查的力度;此外,还要注意“法规遵从”方案的执行力。即一旦发现问题所在,是否可以通过强制性的隔离或者修复来防止威胁。
“三分靠技术、七分靠管理”。遵循诸如针对电子行业的BS7799这样的标准,用户可能很容易梳理出针对常见安全目标的策略,标准、流程、指南等,但是如何将这些纸面上的东西落实于行动?企业既要制定出正确的政策,但也要确保快速见效,这种双重任务有可能互相冲突,CIO为此左右为难。
中国企业必须深入了解、遵从国际上的法律法规,建立合法的信息管理体系,以规避不必要的运营风险。目前,虽然美国上市的70余家中国公司与其他在美国上市的海外公司一样,被宽限至2006年7月15日起开始执行《萨宾斯•奥克斯利法案》,但任务仍然艰巨。此外,不但是美国,上海证券交易所和香港联交所,都已经先后公布了与《萨宾斯•奥克斯利法案》类似的法规,对上市公司建立内部稽核制度和信息披露要求进行了探讨,也对与财务报告相关的IT控制提出了要求。
事实上,在遵从法规的基础上建立有效的信息管理体系,除了可以帮助企业规避经营风险,规避法律诉讼造成的不必要的运营成本,还有利于创造提高生产率的最优信息管理基础设施,从而促进企业逐步实现最佳管理实践。
