文 | 潘黎
?
?
近期,中国国家安全机关会同相关部门,对国内咨询行业龙头企业凯盛融英信息科技股份有限公司进行公开执法,指控该咨询机构无视国家安全风险并将敏感信息传递到国外。
?
(图片来源:澎湃新闻)
?
5月10日,凯盛融英发布声明称:“近日,国家安全机关对我司进行了处罚,并提出了整改要求。我司深刻认识到在过去的经营活动中未能充分履行国家安全防范责任,存在重大隐患和漏洞,对国家安全造成了严重危害。我司在国家安全机关的指导下围绕国家安全法律法规进行整改。“
(图片来源:凯盛融英官微平台)
?
?
什么是合规?
此事件将知识信息服务业推上了风口浪尖,而凯盛融英的处理措施,也将“合规管理“摆到了公众面前。显而易见地,作为知识信息服务业龙头的凯盛融英没有做好自身的合规管理,凯盛融英的客户和专家团队也没有做好合规管理。
?
什么是合规?合规等于遵守法规即守规,就是组织及其员工的行为要符合国家法律、行政法规、国际条约、行业准则、商业道德以及企业内部的管理制度。
?
我国的合规管理探索起源于21世纪初,当时银监会和保监会分别发布了商业银行和保险公司的合规管理指引。2015年,国资委印发《关于全面推进法治央企建设的意见》,对中央企业合规体系建设提出了明确要求。2016年,国资委组织中国石油、中国移动、东方电气、招商局、中国中铁等5家央企开展合规管理体系建设试点。2018年,国资委在前期试点基础上,发布《中央企业合规管理指引(试行)》。我国于2017年发布了GB/T 35770-2017《合规管理体系》国家标准,该标准等同采用ISO 19600:2014国际标准。2022年该标准依据最新的ISO37301:2021《合规管理体系 要求及使用指南》国际标准进行了修订并于2022年10月12日发布实施,对GB/T 35770-2017国家标准进行修订。
?
?
合规管理包含哪些内容?
组织一般的合规管理包括以下内容:
?
1、法律合规:组织需要遵守相关法律法规和政策,例如劳动法、税法和环境保护法等。
?
2、道德合规:组织需要遵守道德标准和社会责任,例如反腐败、环保、公益慈善等。
?
3、信息安全合规:组织需要确保数据安全和隐私保护,包括个人信息、客户信息和商业机密等。
?
4、财务合规:组织需要遵守会计准则和财务规定,包括纳税申报、审计报告等。
?
5、内部控制合规:组织需要建立有效的内部控制机制,确保风险可控和经营活动合法合规。
?
6、务实合规:组织需要根据具体行业和自身特点制定相应的合规政策和程序,例如食品安全、医药监管等。
?
?
如何建立合规体系?
首先,组织需要明确合规管理的重要性。合规管理不仅涉及到公司的声誉和信誉,还关系到公司的可持续发展和经济利益。因此,组织必须理解合规管理对其生存和发展的重要性,从高层领导到普通员工都应该牢固树立合规意识。
?
其次,组织需要建立完善的合规体系。该体系应包括合规政策、合规流程、合规培训和合规监督等方面。组织应该制定详细的合规政策,明确责任和义务,并对员工进行全面的合规培训,确保员工能够遵守相关规定。同时,组织应该加强内部监督,建立有效的内控机制,建立合规风险评估和防范机制。
?
然后,组织需要不断改进合规管理。常态化的自查和外部审计可以帮助组织发现潜在的合规问题,及时进行处理和改进。组织还可以通过与同行业公司的合规比较来发现差距,不断完善自身的合规管理体系。
?
?
组织如何做好保密合规管理?
凯盛融英事件给知识信息服务业和其他产业的教训都是深刻且深远的。作为知识服务业,为客户提供好的服务,不仅仅是达到客户的要求和目标,服务过程中各种细节才是服务水平的真实展现。知识服务企业至少应该通过以下几个方面做好保密工作以符合合规管理的要求:
?
1、自身信息安全:知识服务企业应该建立安全性高、可靠的信息网络系统,以确保客户数据不会被非法获取或攻击。
?
2、主动签订保密协议:知识服务企业应该主动与客户签署保密协议,约定服务过程中获取信息的范围和条件,确保客户明白自己的哪些数据将如何被处理,并给出有效预防措施并提前做好预案,做出保密承诺。
?
3、员工约束:知识服务企业应该对员工进行保密意识培训,提高他们对公司保密政策和操作程序的认识和理解,并明确不同员工对客户信息的访问权限,且要定期对员工的权限进行审核。
?
4、监督检查:知识服务企业应该建立内部监管机制,定期进行保密内部审查和评审,并严格对违反保密规定的行为进行处理。
?
凯盛融英事件中,专家所在的单位由于机密被泄露,遭受了巨大损失,但从中也暴露出这些密级等级非常高的单位都没有做好保密合规管理。单位或组织又需要从哪些方面做好保密合规管理?
?
1、保密信息识别分类:组织应该识别内部的保密信息,并对信息进行分类分级,不同类别、级别的保密信息制定相应的管理流程和政策,并确保全员知晓和遵守。
?
2、签订保密协议:组织应该与员工、供应商、客户等签署保密协议,规定信息的保密范围和条件,以确保敏感信息不会被泄露。
?
3、保密要求培训:组织应该对员工进行保密意识培训,提高他们对组织保密政策和操作程序的认识和理解。并将这种要求渗透到日常管理中,在入职、工作、离职的各类环节进行不断地重复提醒。
?
4、信息接触权限控制:组织应该采取有效措施限制员工对保密信息的访问权限,例如对于电子信息应通过加密技术和员工权限设置进行管理,实物信息通过有效的物理安全措施进行管理等。
?
5、监管检查:组织应该建立内部监管机制,定期进行保密内部审查和评审,并严格对违反保密规定的行为进行处理。
?
?
逮鲤人说
总之,保密管理是组织合规管理中不可或缺的一环。各类组织应该制定和实施相应的政策和流程,采取措施确保保密信息的安全性和保密性,并对违反保密规定的行为进行严格处理,这样才能最大限度地保护组织的商业利益和客户隐私。
?
?
本文章的版权归本网站所有。未经本网授权不得转载、摘编或利用其它方式使用上述作品。已授权使用的,应在授权范围内使用,并注明“来源:科创逮鲤人”。
