【IT168 专稿】“Compliance”的中文意思 “法规遵从性”,是指企业和组织在业务运作中,不仅要遵守自己的各项规章制度,并且要遵守政府和行业制定的各项法律、法规及各种规章,同时又需要有遵从的记录或证明。随着经济与贸易的全球化,信息技术被广泛采用,在经济高速增长的形势下,企业和组织不能仅仅考虑经济指标如何增长,更应当关注是否做到了法规遵从。
但是当企业真正开始实施法规遵从的时候,一个棘手的问题摆在CIO面前:怎样对待呈指数增长的关键商业信息,并且保证这些信息能够在7×24小时内快速使用归档和存取必要信息?
目前,复杂的图片,商业记录管理和记录归档的信息存储还没有跟上技术的变化。这些信息被分散记录在烟筒管式的信息仓库中,例如:纸,微缩胶片,微缩照相卡片,磁带,光盘和在线存储等等。随着这些介质的淘汰,记录在上面的信息也就无法追溯。一些用电子形式的记录,例如电子邮件和语音邮件,根本就不能被捕获或者被管理。
受企业危机事件和整个经济大环境的影响,法规遵从一直被各组织所重视,同时还有成千上万的国家、地区以及城乡的特殊法规也正管理着成指数增长的信息数据的保留、使用、申报以及最终的处理。但是如何管理这些信息,依然困扰着企业的首席信息官(CIO)们。
由于商业需求和企业所必须遵循的内外法规不同,信息的价值也有所差异。每个企业针对不同的用户,有不同的服务级别,例如客户服务、大众委员会。正是因为这些不同,才推动了信息存取、检索以及处理的进展程度。如果不遵守这些法规,企业会被罚款或者被查封。如果不能迅速存取关键信息还会危及企业的业务。如果不积极的管理这些信息的保留和处理,企业将遭受更大的法律风险,这正是企业的CIO最头疼的事情。
ILM:应对法规遵从
当考虑到法规遵从解决方案时CIO应当问自己的问题:
• 你有一个合适的记录保留方法吗?你的方法适用于所有的记录类型和表现形式吗?包括E-mail,财政记录,声音,影象和其他你在工作中要用到的技术。
• 作为发现流程或回应管理部门要求的一部分,你可以多快发现和检索文档?你追踪你公司在法律证据收集和诉讼支持上的花费吗?
• 你能保证你的文档的真实性吗?
• 你能分配和保护对特定的文档的访问吗?
• 你能出示具体的审核追踪资料以确定你的企业正在执行合适的内部控制吗?
• 你应对文档破坏的方法是什么?这个方法需要文档被保存多久,谁拥有销毁它们的权利?
• 你是否例行公事地将一份文档内容多次备份?或者将不需要的数据和记录备份以达到法规遵从?
在技术的采用过程的执行和人员的协调中,业务记录是其核心和焦点。每一条信息和每一份业务文档都有一个生命周期,从创建或捕获起,历经多次修改、转发和批准,接触许多不同的应用程序,直至最后被处置掉。信息生命周期管理(ILM )可帮助企业将信息加以分类。信息存于何处、如何恢复的基础上分配IT资源,为CIO们提供一种实现法规遵从的策略。
以下是使ILM 在管理法规遵从上具有吸引力的一些论点:
• 应用领域的逐渐相互依赖,使数据集合并从相邻系统中剥离出来。随着关联关系的扩展,应用水平的法规遵从不再足够,使得企业扩大ILM 成为必然。
• 并不是所有的信息都是必须保留的商务纪录。在这种新的管理环境中,公司必须更长久的保护正确的数据,更快速的恢复它,而且知道何时可以将其删除。
针对以上论点,ILM 策略允许公司根据法规、调查和起诉的需要弹性地保存和移动信息。例如,对于一个金融服务公司的审计来讲,IT部门必须能够快速且相当轻松的获得信息。所以无论是金融数据,客户记录或者历史邮件,这些信息必须根据其随时间变换的价值而存储。
按照法院的规章要求保持商业纪录,确保数据的真实和完整性。应用领域的逐渐相互依赖,使数据集合并从相邻系统中剥离出来。随着关联关系的扩展,应用水平的法规遵从不再足够,使得企业扩大ILM 成为必然。并非所有信息都必须保留的商务纪录。在新的管理环境中,公司必须更长久地保护正确数据,更快速地恢复它,而且明白何时可以将它删除。
让法规遵从整体化和简易化
协调人员、过程和技术来实现法规遵从性的第一步是理解业务记录的生命周期,并对所有的业务记录按照其重要性和价值进行分类。然后按照业务流程中所制定的各项策略选择业务记录的存储环境,确保在做到法规遵从性的同时,降低业务记录的存储和管理的费用和成本。
企业面临着规章、调查和起诉的难题,因此要求信息系统必须能够快速提供真实且具体的数据。采用硬件、软件和服务等多种技术的联合,帮助企业建立最好的ILM 实践,并通过明确的数据分类和根据法规遵从来定位信息基础设施以实现法规遵从。
为了达到此目的,企业必须明确知道他们拥有何种信息,用于何处和存储于何处,从而能够简单的实现在合适的时间保存合适的数据。这种策略可以更好的处理数据,使得CIO们能够按照他们的需要提供精确的数据。这对于要求处理大量信息的公司而言是非常关键的。
信息价值的不同使得IT管理者们必须创造一种分层存储基础的新概念,使信息的价值与相应存储设备的数据管理价值相匹配,通常这种方案需要借助专业的集成公司。
作为ILM 策略的基础,分层存储允许公司把最新的、重要的和经常被访问的信息存储在顶层——高性能的存储。所以它是一种快速接入方式。随着时间推移,当这些信息变得次要了,被访问的不太频繁了,它就被移到花费较少的中层存储,这就释放了更多的昂贵的高端资源。
对于公司管理和管理法规遵从,固定内容寻址存储系统分层是首选,因为它能真正存档和快速检索。
ILM 的另一个重要部分是通过评估存储器利用率、性能和保留需求来降低管理开销和优化资产利用。基本来说,根据信息的价值,可以将信息进行分配和重新分配,以达到信息可用性、存储资源和应用性能的最优化。
同时一个ILM 策略也应当具有自动化的政策,来保证信息只在所需的时间内被存储,然后被删除。这就要求灵活处理信息管理。例如,E-mail存档应用就是给每一个E-mail粘贴一条包含所要求的保留期的元数据。这条E-mail记录将在保留期中被存档,然后被处理,再然后释放存储资源。
另外,万一在计划内和计划外发生了储运损耗,为了保护重要的商务信息,企业可以配置一个完整的灾难恢复和业务连续性计划。
在经济和技术快速发展的今天,要做好法规遵从,确实是一个巨大的挑战。但是,如果我们将这一挑战看作是一次构建提供信息完整性、保密性和可存取性的基础设施的机会,必定会为适应未来出现的任何管理法规奠定坚实的基础。
实施法规遵从
当然,具体在法规遵从的实施过程中,还包括多层次的内容。如果我们从IT审视的角度去看的话,会发现在法规遵从的过程中,有三个基本的目标:第一个目标是确保信息的完整性;第二个目标是维护信息的保密性;第三个目标是确保信息能够在适当的时间以适当的格式访问(可存取性)。
信息的完整性、保密性和可存取性这三项贯穿于全部法规要求。在实践法规遵从性的过程中,有三个重要的环节和内容:
第一个环节和内容是人员。定义好每个相关人员的角色、职责和任务,并按照规范化的流程成功地实施既定的策略;第二个环节和内容是过程,该过程是让业务规则得到可预知结果并且得到高效的贯彻执行;第三个环节和内容是技术,技术的采用是作为一种手段,加强,保留和保护好数据和信息。
人员,流程和技术是做好法规遵从性的关键,它涉及到公司的各个层面和许多环节,没有一种固定的模式去执行。一定要结合到客户的现状,目标和具体环境去实现。但我们可以将其总结如下:
1)信息和纪录管理政策和程序:企业和组织应当对其信息和记录管理政策和做法加以定期审查,记录的信息和数据必须能够反映该企业和组织当前的运营结构、法律和法规环境、诉讼历史以及业务目标。
2) 领导支持和组织架构:企业和组织高层主管应当认识到信息和记录管理的重要性,而且在很多企业中是通过高层管理人员的直接参与来实现的,他们在研发、管理和推动整个公司的各项计划中能够发挥积极的作用。此外,高层管理人员必须经常向所有员工和雇员明确信息和记录管理的策略以及内部的规定,并且配备必要的管理和监督人员。
3) 技术环境:从大量的案例来看,许多信息和记录管理的失败,源于企业和组织在业务记录创建、保存和管理过程中所使用信息技术落后与不当投资和管理。随着企业和组织对电子信息和数据的依赖逐步提高,类如电子邮件和其他形式电子信息的存储和处理应当引起企业和组织的高度重视,以便确保这些以电子形式存在的记录能够像纸质信息那样得到同等的照顾和关注。
后记
法规遵从目前的实际应用成功案例不论国内国外都并不算多,但法规遵从代表了商业和信息管理相结合的最好实践,他要求企业必须提供一个基础来经受当今以及未来完美IT风暴的法规遵从管理的挑战--交错配置信息的增长和7*24小时的信息可存取性。通过自动操作和管理信息生命周期,公司不仅可以达到法规遵从要求,而且可以取得巨大的运营、商业和财政利益。