１．何為遵從性

　　遵從（Ｃｏｍｐｌｉａｎｃｅ）在詞典里的含義是遵照正式或官方的規(guī)定。目前ＩＴ領(lǐng)域被廣泛研究和談?wù)摰姆ㄒ?guī)遵從性（Ａｃｔ Ｃｏｍｐｌｉａｎｃｅ）則將這種遵照的標(biāo)準(zhǔn)鎖定到了相關(guān)的正式法律和法規(guī)上。〔1 〕這種遵照行為具有多重含義：

　　正式或官方規(guī)定的強(qiáng)制性；遵守正式規(guī)定所能帶給遵從者的利益和機(jī)會(huì)；選擇違反、忽視或放棄相關(guān)規(guī)定可能導(dǎo)致的政策、法律及連帶經(jīng)濟(jì)風(fēng)險(xiǎn)；遵從者的出發(fā)點(diǎn)、意圖與策略；遵從者的行動(dòng)過(guò)程及獲得的結(jié)果比對(duì)正式規(guī)定的符合度；符合性報(bào)告對(duì)遵從者未來(lái)行為與過(guò)程的改進(jìn)作用；遵從者為此的投入與付出。

　　ＩＴ法規(guī)遵從性從系統(tǒng)工程的角度，迫使企業(yè)重新檢查他們的ＩＴ系統(tǒng)，并要求企業(yè)認(rèn)真做好信息生命周期管理的每一個(gè)步驟。〔２ 〕相關(guān)法規(guī)和方案直接規(guī)定或間接關(guān)聯(lián)了若干與遵從性相關(guān)的關(guān)鍵能力項(xiàng)。保護(hù)系統(tǒng)和網(wǎng)絡(luò)需要有效的ＩＴ策略。在很多情況下，擁有周密的安全策略不僅僅是一個(gè)明智的選擇，有時(shí)也是法律要求。相關(guān)管理規(guī)章和法規(guī)（如《Ｓａｒｂａｎｅｓ－Ｏｘｌｅｙ法案》和《醫(yī)療保險(xiǎn)信息交換與保密法案》）都為數(shù)據(jù)保護(hù)、保留和隱私制定了嚴(yán)格的標(biāo)準(zhǔn)。

　　保持遵從的關(guān)鍵在于能夠統(tǒng)一監(jiān)控并實(shí)施可使企業(yè)時(shí)刻受到保護(hù)的策略。

　　２．相關(guān)的法規(guī)、方案與要求

　　目前企業(yè)在生產(chǎn)經(jīng)營(yíng)中經(jīng)常會(huì)涉及的國(guó)外法規(guī)包括《薩班斯－奧克斯萊法案（Ｓａｒｂａｎｅｓ－Ｏｘｌｅｙ）》、《健康保險(xiǎn)可攜性和可糾責(zé)性法案（ＨＩＰＡＡ）》、《格雷姆－里奇－比利雷法（ＧＬＢＡ）》、《加利福尼亞州參議院第１３８６號(hào)議案》、《歐洲共同體數(shù)據(jù)保密指令》美國(guó)食品和藥品管理局（ＦＤＡ）制藥規(guī)定２１ＣＦＲ第１１篇等。近兩年我國(guó)頒布實(shí)施的《電子簽名法》、《中國(guó)信息安全產(chǎn)業(yè)反不正當(dāng)競(jìng)爭(zhēng)公約》以及有關(guān)信息安全方面的一系列標(biāo)準(zhǔn)，都是企業(yè)在生產(chǎn)經(jīng)營(yíng)過(guò)程中需要遵循的內(nèi)容。〔３ 〕

　　就目前來(lái)說(shuō)，中國(guó)企業(yè)法規(guī)遵從的主要問(wèn)題集中在信息安全與信息披露等方面，尤其是國(guó)外相關(guān)管理部門(mén)制定的一系列信息安全規(guī)定。對(duì)于企業(yè)的ＣＥＯ、ＣＦＯ、ＣＩＯ以及眾多高層管理人員來(lái)說(shuō)，法規(guī)遵從已經(jīng)是他們不可回避的問(wèn)題。要滿足這些法規(guī)遵從方面的要求，企業(yè)一方面在業(yè)務(wù)流程上要依據(jù)法規(guī)要求，做出相應(yīng)的調(diào)整，另一方面由于現(xiàn)代企業(yè)中ＩＴ與業(yè)務(wù)的息息相關(guān)，因此，企業(yè)的ＩＴ系統(tǒng)也不可避免地需要進(jìn)行相對(duì)應(yīng)的改變。

　　以美國(guó)證券交易委員會(huì)ＳＥＣ（Ｓｅｃｕｒｉｔｉｅｓ ＆ Ｅｘｃｈａｎｇｅ Ｃｏｍｍｉｓｓｉｏｎ）中對(duì)交易記錄保存所作規(guī)定為例。其中規(guī)定，如果會(huì)員單位、經(jīng)紀(jì)人或經(jīng)銷(xiāo)商使用電子存儲(chǔ)介質(zhì)，則對(duì)電子記錄有以下要求：只能以不可改寫(xiě)、不可擦除的格式保存記錄；自動(dòng)驗(yàn)證存儲(chǔ)介質(zhì)記錄過(guò)程的質(zhì)量和準(zhǔn)確性；將原存儲(chǔ)介質(zhì)和其副本單元（如果合適）以及此電子存儲(chǔ)介質(zhì)上存儲(chǔ)的信息的保留期的日期和時(shí)間序列化；有能力應(yīng)交易委員會(huì)或自律機(jī)構(gòu)的要求隨時(shí)下載電子存儲(chǔ)介質(zhì)上保存的索引和記錄；對(duì)電子記錄所做出的以不可改寫(xiě)、不可擦除的格式保存的要求是要確保信息的完整性。

　　驗(yàn)證信息質(zhì)量和準(zhǔn)確性實(shí)際上也是對(duì)信息完整性的要求，在ＳＥＣ所規(guī)定的“能夠及時(shí)下載保存在電子存儲(chǔ)介質(zhì)上的索引和記錄”，是對(duì)電子記錄的可存取性的具體規(guī)定。當(dāng)然，保密性對(duì)所有經(jīng)濟(jì)運(yùn)營(yíng)來(lái)說(shuō)也是一個(gè)重要考慮事項(xiàng)。

　　從上述舉例中，我們可以看到其中對(duì)電子記錄有三個(gè)共同的基本要求：第一個(gè)要求是確保信息的完整性，第二個(gè)要求是維護(hù)信息的保密性，第三個(gè)要求是確保信息能夠在適當(dāng)?shù)臅r(shí)間以適當(dāng)?shù)母袷皆L問(wèn)。〔４ 〕

　　二、ＩＴ審計(jì)

　　審計(jì)是一個(gè)范圍、層次和含義很廣的概念，如審計(jì)軟件或系統(tǒng)的定義為：對(duì)計(jì)算機(jī)上的通信和操作的內(nèi)容進(jìn)行采集、分析、追蹤、審查，提出警告信息，并給予日志性記載。而另一方面在更大的角度上，審計(jì)的概念可以概括為對(duì)管理和控制過(guò)程與行動(dòng)的記錄和監(jiān)控，以判斷原始意圖是否正確貫徹。

　　隨著企業(yè)實(shí)施信息化進(jìn)程的不斷深入。從信息系統(tǒng)安全性方面我們看到硬件故障、程序故障、操作系統(tǒng)錯(cuò)誤、計(jì)算機(jī)犯罪，設(shè)備災(zāi)害以及保密數(shù)據(jù)泄漏等現(xiàn)象發(fā)生的可能性愈來(lái)愈高。此外，從投資的角度上，隨著信息化投資成本的不斷增加，投資效果反而不明顯。信息系統(tǒng)審計(jì)（ＩＴ審計(jì)）正是為了解決上述問(wèn)題，提高信息系統(tǒng)的安全性、可靠性和開(kāi)發(fā)運(yùn)營(yíng)效率，使企業(yè)信息化得到健康、全面的發(fā)展而引入的預(yù)防機(jī)制。

　　因此，不難看出ＩＴ審計(jì)是實(shí)現(xiàn)法規(guī)遵從性的必然和必要工具和手段，同時(shí)遵從性法規(guī)的內(nèi)容在技術(shù)層面也是對(duì)企業(yè)ＩＴ系統(tǒng)及管理的要求和指南。信息系統(tǒng)審計(jì)的對(duì)象包括：由計(jì)算機(jī)硬件和軟件結(jié)合而成的信息系統(tǒng)以及與信息系統(tǒng)的輸入、輸出相關(guān)的活動(dòng)。廣義的講，即信息系統(tǒng)以及信息系統(tǒng)生命周期的所有活動(dòng)；因此，信息系統(tǒng)審計(jì)并不局限于業(yè)務(wù)運(yùn)營(yíng)時(shí)期，與信息系統(tǒng)相關(guān)的開(kāi)發(fā)活動(dòng)，包括企業(yè)信息化戰(zhàn)略企劃、信息系統(tǒng)計(jì)劃、開(kāi)發(fā)、實(shí)施和維護(hù)等相關(guān)的開(kāi)發(fā)方面的活動(dòng)也是信息系統(tǒng)審計(jì)的內(nèi)容之一。

　　實(shí)施信息系統(tǒng)審計(jì)，可以從如下幾個(gè)方面著手提高信息系統(tǒng)的安全性：對(duì)自然災(zāi)害及不可抗拒災(zāi)害的應(yīng)對(duì)措施進(jìn)行審核和評(píng)價(jià)，一旦發(fā)生時(shí)能使損失和影響降至最低；從安全方面對(duì)信息系統(tǒng)進(jìn)行審核和評(píng)價(jià)，防止數(shù)據(jù)的外泄、破壞或修改、非法入侵等情況發(fā)生，保證企業(yè)機(jī)密不外泄。

　　實(shí)施信息系統(tǒng)審計(jì)，可以從如下幾個(gè)方面著手提高信息系統(tǒng)的效率：從信息系統(tǒng)的資源是否最大限度地被利用為落腳點(diǎn)進(jìn)行核查、評(píng)價(jià)，實(shí)現(xiàn)信息系統(tǒng)在業(yè)務(wù)和負(fù)載方面的均衡；對(duì)信息系統(tǒng)的計(jì)劃、開(kāi)發(fā)、實(shí)施和運(yùn)營(yíng)各階段的（費(fèi)用／效果）指標(biāo)進(jìn)行定性或定量的核查、評(píng)價(jià)，確保信息系統(tǒng)利益最大化。

　　三、法規(guī)遵從對(duì)企業(yè)ＩＴ建設(shè)的導(dǎo)向性作用

　　１．集中的安全風(fēng)險(xiǎn)管理

　　以技術(shù)為中心的專(zhuān)門(mén)方法來(lái)解決安全和法規(guī)遵從問(wèn)題，是一種直接和自然的應(yīng)對(duì)措施。然而，試圖靠單個(gè)產(chǎn)品的力量來(lái)解決新威脅和遵從新法規(guī)正變得越來(lái)越困難，成本也日益高昂。將廣泛分散的單點(diǎn)解決方案的信息集成起來(lái)并采取行動(dòng)，也需要耗費(fèi)大量的人力。另外，隨著解決方案的復(fù)雜性和數(shù)量的增加，人們出錯(cuò)或疏忽的幾率也會(huì)上升。

　　集中的安全風(fēng)險(xiǎn)管理方法將包括了威脅防護(hù)功能（防病毒、入侵防護(hù)以及防間諜軟件）、策略增強(qiáng)、漏洞修復(fù)、接入控制、審計(jì)和數(shù)據(jù)損失防護(hù)等安全功能和機(jī)制的服務(wù)進(jìn)行集成，通過(guò)統(tǒng)一和集中的管理機(jī)制來(lái)自動(dòng)化地增強(qiáng)企業(yè)的整體防護(hù)并將遵從性的ＩＴ安全策略從紙面策略變?yōu)樾袆?dòng)，通過(guò)利用合并的管理點(diǎn)提高公司運(yùn)營(yíng)效率。

　　集中安全風(fēng)險(xiǎn)管理解決能夠幫助企業(yè)優(yōu)化其安全風(fēng)險(xiǎn)和法規(guī)遵從管理流程的同時(shí)，也很大程度地提高了其業(yè)務(wù)可用性和數(shù)據(jù)保護(hù)級(jí)別。統(tǒng)一的知識(shí)庫(kù)可以包含風(fēng)險(xiǎn)以及前瞻性地配置和管理該環(huán)境所需的全部信息。威脅防護(hù)和法規(guī)遵從管理系統(tǒng)成為聯(lián)系業(yè)務(wù)流程和現(xiàn)實(shí)世界的紐帶，它能確保人們及其所用的技術(shù)與安全策略和諧相處，有效地抵御各種威脅。

　　２．人員、流程、技術(shù)

　　從信息技術(shù)的角度去審視法規(guī)遵從性，除了以上三個(gè)基本要求外，還涉及到人員、流程和技術(shù)三個(gè)重要環(huán)節(jié)。這些環(huán)節(jié)一定要與企業(yè)或組織的業(yè)務(wù)目標(biāo)和管理政策相結(jié)合，具體結(jié)合的情況可歸結(jié)為以下三個(gè)方面：

　　（１）信息和記錄管理政策和程序。企業(yè)和組織應(yīng)當(dāng)對(duì)其信息和記錄管理政策和做法加以定期審查，使所記錄的信息和數(shù)據(jù)能夠反映該企業(yè)和組織當(dāng)前的運(yùn)營(yíng)結(jié)構(gòu)、法律和法規(guī)環(huán)境、訴訟歷史以及業(yè)務(wù)目標(biāo)。

　　（２）領(lǐng)導(dǎo)支持和組織架構(gòu)。企業(yè)和組織高層主管應(yīng)當(dāng)認(rèn)識(shí)到信息和記錄管理的重要性，而且他們?cè)陂_(kāi)發(fā)、管理和推動(dòng)各項(xiàng)計(jì)劃中能夠發(fā)揮積極作用。此外，高層管理人員必須經(jīng)常向所有員工和雇員明確信息和記錄管理的策略和內(nèi)部的規(guī)定，并且還配備必要的管理和監(jiān)督人員。

　　（３）技術(shù)環(huán)境。從大量案例看，許多信息和記錄管理的失敗源于企業(yè)在業(yè)務(wù)記錄創(chuàng)建、保存和管理所用信息技術(shù)方面的不當(dāng)投資和管理。電子郵件和其他形式的電子信息等的存儲(chǔ)和處理應(yīng)引起企業(yè)和組織的認(rèn)真對(duì)待，以便確保這些以電子形式存在的記錄能夠像紙質(zhì)信息那樣得到同等的照顧和關(guān)注。

　　３．信息生命周期的角色

　　值得注意的是，在技術(shù)的采用、過(guò)程的執(zhí)行和人員的協(xié)調(diào)中，業(yè)務(wù)記錄是其核心和焦點(diǎn)。業(yè)務(wù)記錄是有生命的，每一條信息和每一份業(yè)務(wù)文檔都有一個(gè)生命周期，從創(chuàng)建或捕獲起，歷經(jīng)多次修改、轉(zhuǎn)發(fā)和批準(zhǔn)，接觸許多不同的應(yīng)用程序，直至最后被處置掉。

　　經(jīng)歷了一個(gè)生命周期的過(guò)程，我們可以將業(yè)務(wù)記錄的管理納入到整個(gè)業(yè)務(wù)記錄生命周期管理中來(lái)考慮，這就是信息生命周期管理的觀點(diǎn)。

　　因而協(xié)調(diào)人員、過(guò)程和技術(shù)來(lái)實(shí)現(xiàn)法規(guī)遵從性，第一步是理解業(yè)務(wù)記錄的生命周期，并對(duì)所有業(yè)務(wù)記錄按照其重要性和價(jià)值進(jìn)行很好的分類(lèi)。然后，按照業(yè)務(wù)流程中所制定的各項(xiàng)策略選擇業(yè)務(wù)記錄的存儲(chǔ)環(huán)境，確保在做到法規(guī)遵從性的同時(shí)，降低業(yè)務(wù)記錄的存儲(chǔ)和管理的費(fèi)用和成本。

　　這就是以信息生命周期管理的策略來(lái)強(qiáng)化法規(guī)遵從性的一個(gè)重要目的，也是當(dāng)前信息系統(tǒng)主管為滿足法規(guī)遵從性的需要所尋求的新的信息管理的策略。

　　總之，面對(duì)經(jīng)濟(jì)和技術(shù)快速發(fā)展的今天，要做好法規(guī)遵從性，確實(shí)是一個(gè)巨大的挑戰(zhàn)，但同時(shí)又是一個(gè)極好的機(jī)遇，它促使我們的企業(yè)和組織去認(rèn)真思考和審視當(dāng)前信息管理的策略及各項(xiàng)工作，把我們的信息技術(shù)用得更好、更加安全和有效，幫助我們?cè)谛乱惠喌娜蚋?jìng)爭(zhēng)環(huán)境中取勝。