中國法規(guī)遵從應(yīng)更具強(qiáng)制性

中國的金融業(yè)正處于飛速發(fā)展階段，同時(shí)也面臨著風(fēng)險(xiǎn)管理和法規(guī)遵從方面的重重壓力。在以信息為中心的時(shí)代，對(duì)信息本身安全性的防護(hù)正在變得越來越重要。

“中國企業(yè)在海外上市，首先需要遵循的是塞班斯法案，雖然不同的地方法規(guī)的內(nèi)容未必一樣，但同樣是對(duì)金融信息的保護(hù)。”近日，RSA法規(guī)遵從解決方案高級(jí)經(jīng)理Dave Howell表示，具備海外業(yè)務(wù)或在海外上市目標(biāo)的企業(yè)，應(yīng)更密切關(guān)注安全控制的問題，了解法規(guī)遵從的內(nèi)容，以及需要做什么，以實(shí)現(xiàn)法規(guī)遵從的要求，隨后再?zèng)Q定如何投資、使用何種技術(shù)手段來實(shí)現(xiàn)法規(guī)管理。

上市企業(yè)應(yīng)加強(qiáng)

內(nèi)部風(fēng)險(xiǎn)管理

“我認(rèn)為中國滯后美國法規(guī)遵從約為6～10年。”Dave Howell認(rèn)為，在6～10年前發(fā)展起來的美國的法規(guī)遵從，在全世界是最嚴(yán)密的，50個(gè)州都有信息保護(hù)法規(guī)?！拔易罱驳絹喼奁渌麌以L問。這其中，印度對(duì)于信息安全標(biāo)準(zhǔn)較為重視; 菲律賓目前正積極推廣信用卡，努力向消費(fèi)者宣傳其在信息安全方面的保護(hù)措施; 泰國目前正在建立合規(guī)性方面的國家標(biāo)準(zhǔn)及立法。

中國企業(yè)在美國上市，往往囿于美國法規(guī)遵從的要求，經(jīng)歷了很多波折。對(duì)此Dave Howell表示，中國上市企業(yè)應(yīng)該加強(qiáng)企業(yè)內(nèi)部信息風(fēng)險(xiǎn)管理、分析，如在為業(yè)務(wù)合作伙伴提供源代碼時(shí)，應(yīng)避免源代碼的泄漏，以及對(duì)于個(gè)人信用卡等重要信息的高度保存，看哪些信息重要并進(jìn)行重點(diǎn)分析。

而對(duì)于所有金融來說，看重的不僅僅應(yīng)是一些法規(guī)遵從協(xié)議，還有數(shù)據(jù)保護(hù)、對(duì)于個(gè)人信息的全局保護(hù)，以及未來可能要遵從、但還沒有實(shí)施的法規(guī)。“比方說，在美國上市的企業(yè)，涉及到信用卡交易的，至少必須符合3～4項(xiàng)法規(guī)，第一項(xiàng)是塞班斯法案，要求對(duì)金融信息進(jìn)行監(jiān)控; 第二項(xiàng)是PCI DSS（支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)），要求對(duì)信用卡交易信息進(jìn)行保存; 第三項(xiàng)是美國每個(gè)州政府的本地法規(guī)?！盌ave Howell說。

盡管如此，Dave Howell認(rèn)為，中國企業(yè)在實(shí)施法規(guī)遵從方面依然具備先天優(yōu)勢(shì)。“例如，美國的有些客戶原來的日志管理產(chǎn)品不夠靈活，不能適應(yīng)新的法規(guī)，需要選擇新的法規(guī)遵從工具，最終在合規(guī)性方面就花費(fèi)了兩倍的投資。而中國客戶則能夠在一開始就正確選擇法規(guī)遵從工具，通過合理的投資獲得法規(guī)遵從效益最大化。”

最小投資

換取最大收益

那么，中國企業(yè)在實(shí)施法規(guī)遵從時(shí)，應(yīng)采取哪些步驟呢？

Dave Howell指出，企業(yè)首先應(yīng)對(duì)現(xiàn)有狀態(tài)進(jìn)行分析。即企業(yè)目前面臨的風(fēng)險(xiǎn)范圍、現(xiàn)有數(shù)據(jù)敏感程度以及現(xiàn)有安全措施，以及對(duì)不同數(shù)據(jù)的風(fēng)險(xiǎn)承受程度。然后是差異分析，企業(yè)未來希望達(dá)到的安全程度，認(rèn)識(shí)到現(xiàn)有措施與未來法規(guī)間的差距。最重要的是，企業(yè)應(yīng)該持續(xù)分析、不斷監(jiān)控。企業(yè)應(yīng)該從長遠(yuǎn)戰(zhàn)略角度著手，建議業(yè)界組織或供應(yīng)商與政府合作，提供這方面的培訓(xùn)，告知企業(yè)不遵從法規(guī)的后果及成本損失。

“中國在海外上市的企業(yè)，必須遵循游戲規(guī)則，付出相應(yīng)的成本，我們建議其選擇最成熟的解決方案，以實(shí)現(xiàn)法規(guī)遵從方面的最小投資以及最大收益。”Dave Howell表示。

事實(shí)上，RSA產(chǎn)品自進(jìn)入中國以來，一直受到較高關(guān)注。其中，RSA envision更是幫助企業(yè)進(jìn)行安全管理與實(shí)現(xiàn)遵從性的安全管理平臺(tái)。envision產(chǎn)品前身是專門做法規(guī)遵從的一家企業(yè)，在處理日志方面極為高效，且在世界各地不需加裝代理軟件。不會(huì)因?yàn)樵O(shè)備負(fù)載過重、宕機(jī)等造成客戶系統(tǒng)癱瘓、數(shù)據(jù)丟失。