ccidnet????

出版日期:2005-04-11 总期号:1402 本年期号:25

本期导读
要闻综合
中国信息化
网络与通信
产品与应用
渠道与市场
华东专刊
华南专刊
西南专刊
 电子签名法推法规遵从一把

文 EMC中国区市场部产品及解决方案经理 罗建

  2005年4月1日,《电子签名法》正式施行。网络交易使用的电子签名、电子单据、电子印章等同样具备法律效力。这标志着我国在信息化法规建设方面又迈出了新的一步。在经济和技术快速发展的今天,实现法规遵从确是一个巨大挑战。它促使企业认真思考和审视当前信息管理的策略及各项工作,这样才能把信息技术用得更好。

  最近,在各媒体上频频出现一个词——法规遵从性(Compliance)。其含义是,企业和组织在业务运作中,不仅要遵守企业自身的各项规章,还要遵守政府和行业制定的各项法律、法规及规章,同时又能证明自己确实做到了相关的要求。

  近年来,不管是发达国家还是发展中国家,为了在新的经济、贸易、技术等环境下维护正常的市场经济秩序,都在不断制定新的法律、法规。对那些在境外上市或从事贸易和经营活动的企业来说,就多了一项法规遵从的任务,即在遵从本国法律和法规的同时,也必须遵守从事经贸活动所在国或地区的法律和法规,以免带来许多法律纠纷,造成巨大的经济损失。对那些未在境外上市或从事经贸活动的企业来说,法规遵从也是要认真对待的问题。今天,市场竞争已逐步从技术和销售的层面发展到标准的制定和采用、法律和法规的制定以及遵从性等更高的层面。

  安全第一

  大多数企业和组织都遵纪守法,都在努力做到法规遵从性。然而,在经济与贸易全球化、信息技术得到普遍应用的今天,企业不应仅考虑经济指标的增长,同时还应关注是否做到了法规遵从性。其中,信息安全性尤为突出。

  从信息技术的角度去审视法规遵从性,我们会发现,在法规遵从的过程中,有三个基本要求:第一,确保信息的完整性;第二,维护信息的保密性;第三,确保信息能够在适当的时间以适当的格式访问。完整性、保密性和可存取性这三项贯穿全部管理法规要求。例如,受到大家普遍关注的美国萨班斯-奥克斯莱法案(Sarbanes-Oxley)明确规定了各公司对信息保存的要求:对信息保护的能力——要求公司运用细致入微的存取控制和保护手段,防止非授权或因疏忽而更改、毁坏或破坏业务记录和财务信息,维护信息的保密性;对信息准确跟踪的能力——要求公司能够提供审计人员与保存关键记录和信息的系统之间所有交互行动的审计轨迹,确保各公司财务和业务信息是准确和可靠的,这就是对信息完整性的要求;对信息长期保存的能力——要求公司确保用于保留记录的存档、存储系统和介质支持长期可靠的存取,对某些特定信息要求保存7年,这是可存取性的要求。

  为了满足客户在法规遵从性中对信息存储的要求,EMC公司为其基于对象的存储系统Centera增加了一个法规遵从性模块 (Centera Compliance Edition)。当客户选择了该模块,就可以为所存储的信息设定保留期限。在所设定的期限内,使用人员无法对所存储的数据进行任意修改或删除,因此可确保信息的完整性。

  管理要跟得上

  在法规遵从实践中,企业和组织的高层负责人起到了重要作用。法规遵从涉及到企业和组织的业务目标、策略和政策,也涉及到人员、过程等这些高层的管理问题。从信息技术的角度去审视法规遵从性,人员、流程和技术是三个重要环节。在人员这一环节,要定义好每个相关人员的角色、职责和任务,并按照规范化的操作程序认真执行。在流程这一环节,要让业务规则和程序得到可预知结果,并且得到高效的贯彻执行。在技术这一环节,要确保信息的完整性、保密性和可存取性,保留和保护好数据和信息。这三个环节一定要与企业或组织的业务目标和管理政策相结合。

  三者结合的情况可归结为以下三方面:

  1.信息和记录管理政策和程序。

  企业和组织应当对信息和记录管理政策定期审查,使记录的信息和数据能够反映该企业和组织当前的运营结构、法律和法规环境、诉讼历史以及业务目标。

  2.领导支持和组织架构。

  企业和组织高层主管应当认识到信息和记录管理的重要性。此外,高层管理人员必须经常向所有员工强调信息和记录管理的策略以及内部规定的重要性。企业要配备必要的管理和监督人员。

  3.技术环境。

  从大量的案例来看,许多信息和记录管理的失败源于企业在业务记录创建、保存和管理过程中所用技术不当或缺乏管理。随着企业对电子信息和数据的依赖性逐步增强,像电子邮件和其他形式的电子信息的存储和处理应当引起企业的重视。

  结合ILM

  在技术的应用、过程的执行和人员的协调中,业务记录是核心。业务记录是有生命的。 每一条信息和每一份业务文档都有一个生命周期——从创建或捕获起,历经多次修改、转发和批准,接触许多不同的应用程序,直至最后被处理掉。因此,实现法规遵从性的第一步是理解业务记录的生命周期,并对所有的业务记录按照重要性和价值进行分类。然后,按照业务流程中制定的各项策略,选择业务记录的存储环境,确保在实现法规遵从性的同时,降低业务记录的存储和管理成本。这就是以信息生命周期管理(ILM)的策略来强化法规遵从。

  为了帮助客户实现这一目标,EMC将信息的完整性、保密性和可存取性与ILM相联系,构建了业务记录生命周期管理平台。此平台分成五个层面,即分层网络存储、灵活的保护和恢复、动态数据迁移、主动的信息管理、业务过程和应用程序。EMC的许多客户将分层次的信息生命周期管理平台应用到法规遵从的实践中,取得了很好的效果。 (E5)


  信息生命周期管理的六个阶段