中國的金融業(yè)正處于飛速發(fā)展階段，同時也面臨著風險管理和法規(guī)遵從方面的重重壓力。在以信息為中心的時代，對信息本身安全性的防護正在變得越來越重要。

“中國企業(yè)在海外上市，首先需要遵循的是塞班斯法案，雖然不同的地方法規(guī)的內(nèi)容未必一樣，但同樣是對金融信息的保護。”近日，RSA法規(guī)遵從解決方案高級經(jīng)理Dave Howell表示，具備海外業(yè)務或在海外上市目標的企業(yè)，應更密切關(guān)注安全控制的問題，了解法規(guī)遵從的內(nèi)容，以及需要做什么，以實現(xiàn)法規(guī)遵從的要求，隨后再決定如何投資、使用何種技術(shù)手段來實現(xiàn)法規(guī)管理。

上市企業(yè)應加強

內(nèi)部風險管理

“我認為中國滯后美國法規(guī)遵從約為6～10年。”Dave Howell認為，在6～10年前發(fā)展起來的美國的法規(guī)遵從，在全世界是最嚴密的，50個州都有信息保護法規(guī)?！拔易罱驳絹喼奁渌麌以L問。這其中，印度對于信息安全標準較為重視; 菲律賓目前正積極推廣信用卡，努力向消費者宣傳其在信息安全方面的保護措施; 泰國目前正在建立合規(guī)性方面的國家標準及立法。

中國企業(yè)在美國上市，往往囿于美國法規(guī)遵從的要求，經(jīng)歷了很多波折。對此Dave Howell表示，中國上市企業(yè)應該加強企業(yè)內(nèi)部信息風險管理、分析，如在為業(yè)務合作伙伴提供源代碼時，應避免源代碼的泄漏，以及對于個人信用卡等重要信息的高度保存，看哪些信息重要并進行重點分析。

而對于所有金融來說，看重的不僅僅應是一些法規(guī)遵從協(xié)議，還有數(shù)據(jù)保護、對于個人信息的全局保護，以及未來可能要遵從、但還沒有實施的法規(guī)。“比方說，在美國上市的企業(yè)，涉及到信用卡交易的，至少必須符合3～4項法規(guī)，第一項是塞班斯法案，要求對金融信息進行監(jiān)控; 第二項是PCI DSS（支付卡行業(yè)數(shù)據(jù)安全標準），要求對信用卡交易信息進行保存; 第三項是美國每個州政府的本地法規(guī)。”Dave Howell說。

盡管如此，Dave Howell認為，中國企業(yè)在實施法規(guī)遵從方面依然具備先天優(yōu)勢。“例如，美國的有些客戶原來的日志管理產(chǎn)品不夠靈活，不能適應新的法規(guī)，需要選擇新的法規(guī)遵從工具，最終在合規(guī)性方面就花費了兩倍的投資。而中國客戶則能夠在一開始就正確選擇法規(guī)遵從工具，通過合理的投資獲得法規(guī)遵從效益最大化?！?/p>

最小投資

換取最大收益

那么，中國企業(yè)在實施法規(guī)遵從時，應采取哪些步驟呢？

Dave Howell指出，企業(yè)首先應對現(xiàn)有狀態(tài)進行分析。即企業(yè)目前面臨的風險范圍、現(xiàn)有數(shù)據(jù)敏感程度以及現(xiàn)有安全措施，以及對不同數(shù)據(jù)的風險承受程度。然后是差異分析，企業(yè)未來希望達到的安全程度，認識到現(xiàn)有措施與未來法規(guī)間的差距。最重要的是，企業(yè)應該持續(xù)分析、不斷監(jiān)控。企業(yè)應該從長遠戰(zhàn)略角度著手，建議業(yè)界組織或供應商與政府合作，提供這方面的培訓，告知企業(yè)不遵從法規(guī)的后果及成本損失。

“中國在海外上市的企業(yè)，必須遵循游戲規(guī)則，付出相應的成本，我們建議其選擇最成熟的解決方案，以實現(xiàn)法規(guī)遵從方面的最小投資以及最大收益。”Dave Howell表示。

事實上，RSA產(chǎn)品自進入中國以來，一直受到較高關(guān)注。其中，RSA envision更是幫助企業(yè)進行安全管理與實現(xiàn)遵從性的安全管理平臺。envision產(chǎn)品前身是專門做法規(guī)遵從的一家企業(yè)，在處理日志方面極為高效，且在世界各地不需加裝代理軟件。不會因為設備負載過重、宕機等造成客戶系統(tǒng)癱瘓、數(shù)據(jù)丟失。