我的《信息保卫战》读书笔记：信息安全合规管理

企业信息安全合规管理是企业信息安全管理体系建设的启动、规划，或者 是任何其他管理环节都必须要考虑的基本要素。它是企业信息安全管理体系建设的基石和助推器。

一、信息安全合规管理挑战

2005年，巴塞尔银行监管委员会发布了《合规与银行内部合规》监管准则， 同年，美国证券业协会发布《合规的作用》。2006年，国际证监会组织技术委员会发布《市场中介组织合规职责问题的最终报告》。2008年7月14日，中国 证监会发布《证券公司合规管理试行规定》，标志着合规管理成为中国证券公司 日常经营管理的一项常规工作。同样，其他行业在不同的时期，都对国家相关标准、法律法规、行业规范等进行采纳，并吸收成为本企业信息安全管理基本 指导方针的必要和需要。

从公司管理的角度看，合规经营是企业管理层履行受托责任的基本要求，也是防范企业管理层道德风险的制度保证。

从企业的社会责任角度看，企业面向的客户、市场，安全稳健运行是其经 营的生命线，因此，合规经营是企业履行社会责任的具体体现。

二、信息安全合规管理概述

合规就是必须符合法律、法规和准则。企业合规管理不追求经营活动的变 通和弹性，它更强调“立规矩，定方圆”。合规管理是企业管理的立身之本，也是现代企业管理的重要内容，更是监管部门的常规监管要求。企业信息安全合 规管理与企业信息安全管理和全面风险管理是企业可持续发展的三种制度安排 和保障。同时，在合规与业务发展发生矛盾时，合规优先于业务发展必须是企业经营的基本方针。企业信息安全合规管理需要处理好以下三类关系：

1. 合规管理与内控

企业信息安全管理与策略管理可以统称为企业信息安全管理的内控，信息 安全合规管理是内控的基石，内控是合规的环境。例如，2008年6月，财政部、证监会、银监会、保监会及审计署五部委联合发布了“中国版萨班斯法案”一 一《企业内部控制基本规范》，并于2009年起首先在上市企业中实施。该规范 中明确内部控制的目标，即战略目标、经营目标、报告目标、合规目标。内部控制涵盖企业的整个经营活动，保证企业合规经营，防止舞弊的环境和进行程 序保障。

2. 合规与业务发展

在企业的经营管理中，合规经营与追求经济效益同等重要，不能把合规管 理视为业务发展的障碍。在合规与业务发展发生矛盾时，必须坚持合规优先。 企业不论是在制定业务操作和管理规章制度时，还是在开发新产品、新业务，以及营销市场、服务客户时，都必须要首先按照内部控制的流程对其评估，测 量合规风险。

3. 合规与全面风险管理

合规管理是企业全面风险管理的重要组成部分。从风险管理的角度看，合 规能够帮助企业规避各种风险，避免触犯法律法规，降低因遭受监管处罚和法律诉讼而导致财务损失的可能性。

三、信息安全合规管理工作

企业信息安全合规管理工作可以包括以下内容:

1. 监管要求采集

监管要求采集中的关键活动包括监管要求跟踪和监管要求汇总。从关键活 动的缺失和有效性来看监管要求采集的风险，包括监管要求梳理机制、监管要求的跟踪、对监管要求进行汇总，并对形成规范的监管要求列表。

2. 监管合规管理

监管合规管理中的关键活动包括监管要求差距评估和差距评估结果的整改 落实。从关键活动的缺失和有效性来看监管合规管理的风险，包括以下方面：

(1) 依据监管要求，对IT管理现况的差距评估；

(2) 根据差距评估结果形成规范的IT管理变更需求。