法制日报社中国公司法务研究院于7月18日举办了“走近安全,走进360”公司法务沙龙。这次活动的主题是“企业信息安全风险控制与法务管理”。通过参观和听取公司的介绍,使对于网络信息技术完全外行的笔者,眼界大开。
这次活动不仅见识了新兴信息产业飞速的发展和井喷式的效益增长,互联网功能的强大和潜能,以及信息安全问题的几乎无处不在和信息化条件下保密工作的不易与风险防范的困难,同时更清楚地认识到信息安全于每个人和每个企业都有着紧密的关联,息息相关。
“360之行”收获是多方面的,其中重要的一点是引发了大家关于“信息技术与法务管理”关系的思考和讨论。这涉及到“运用技术支持和完善制度保障”的问题。
|
法务管理进入信息化时代
互联网及电子信息技术的功能如此强大,借助这个现代化的工具,人们可做许许多多以前无法想象和难以实现的事情,人们相互之间以及与外部世界的联系变得前所未有地紧密和便捷。无论你是自觉或是被动,也不管你承认与否,我们都已经步入了互联网的电子信息时代,这个事实无法回避也不容置疑。如今,随着互联网工具的广泛应用和迅速普及,互联网几乎已经渗透到了人们的日常生活和企业的日常运作的方方面面,高度融合,无处不在,越来越密不可分。它在潜移默化地深刻影响着人们的思维、习惯和行为方式。
作为企业法务管理者,清醒地认识和自觉地了解、研究我们已经置身其中的这个现代网络化和电子信息化时代的特征很有必要。这是法务管理人员开展工作的大背景、大环境、大前提。唯有如此,现代企业的法务管理才能紧跟时代发展的步伐,不至于自困于传统思维的俗套模式而对变化着的世界感到困惑和彷徨。
互联网之所以会有如此强大的生命力,首先在于它的确是十分有用和有效的现代化信息工具。虽然网络可能存在着这样或那样的不安全因素,但是它的有效功能是第一位的。我们不会因为或然性的存在而拒绝信息时代的到来,不能因噎废食。应该积极开发,大胆使用。
如何充分利用互联网,发挥其功能优势,提高法务管理的能力水平和工作质量,这方面有许多值得研究和探索的课题。比如,信息收集、资料整理,案件跟踪、档案管理、统计分析,信息库和资料库的建立;运用这种新技术手段克服人工管理的弊端,实现更加科学、公平、公正、透明的管理目标;如何通过网络信息手段,提高企业人员的自我约束水平、职业操守、道德标准;如何促使企业由粗放走向精细化经营和管理;如何利用海量信息分析市场,分析对手,发现机会;以及进行自我诊断和自我矫正;等等。
法务人员应当积极学习和努力掌握运用网络信息的知识和技能,并善加利用和充分利用。从法务管理的立场出发,深入地了解和掌握,是对之实施有效管理的前提和基础。只有了解,管理、控制才会有针对性,对策才有可能合理和到位,落实才能有方向。
网络信息安全不容回避
互联网在带来了联通便利的同时,也带来了不少新的危险。在这种大趋势下,任何人都不可能只享受网络信息带来的便利和优惠,而不受到网络安全的制约和威胁。“没有百分百的安全,只有百分百被入侵的电脑”。任何电子信息设备和手段,包括电脑、手机、传真,以及上网、短信、微信、通话等,其实都不绝对安全。即使用很高等级的加密手段,在使用的过程中仍然会出现网络泄密或者被窃密的可能,也就是说,技术再先进也无法做到百分之百的安全。
另一方面,目前影响企业网络信息安全的源头和渠道主要是黑客攻击、员工泄密。而由于企业信息防护的技术手段不断提高,企业员工正取代电脑和程序成为黑客重点攻击对象。无论是企业还是部门,技术措施再严密,如果出现“斯诺登”,内部信息照样可以外泄。已经发生的企业内部员工泄密案就是例证。一个很有说服力的观点是,只要有人参与的环节就会有漏洞,而且人的漏洞是很难被修复的。
尽管网络信息在保密方面存在诸多不安全因素,但是社会已经不可能再退回到原始状态。而据介绍,中国企业被攻击的情况已不少见。因此,企业信息安全的问题,已经无法回避,不容忽视。如何积极应对,是每一位法务管理者都应该认真思考的重要问题。
企业防控信息安全风险,除了应当合理选择有信誉的安全电脑软件,对企业内部的运行程序和机制提出了更高和更严格的要求。如果说,以前大家还习惯于传统思维指导下的运行模式;那么这次活动使大家认识到,现在需要用信息化和网络时代的思维和眼光来研究问题、进行思考和指导行动。
“技术+制度”=有效防护
有效的企业信息安全管理,除了需要技术层面的支持维护,更需要企业通过制度的建立、制度的完善、制度的维护、制约机制的构建、对业务流程的合理设计或调整,以及适时的诊断和综合治理来实现。这些工作都是企业法务工作必须面对和解决的问题和领域,离不开法务管理的参与。从这个意义上讲,信息安全管理应该成为企业法务管理的一项重要内容。毫无疑问,对于企业法务管理而言,这的确是一种新挑战,但同时也是大有可为的新领域。
加强企业的自我保护意识和防护能力至关重要。网络技术在不断发展,企业的信息安全应对措施和风险防范工作绝不是一劳永逸的,企业应该建立自我诊断和不断调整的制度体系,要求随着网络技术的更新和发展,不断对制度、流程和制约机制进行相应的调整、更新、完善。企业还要培养员工高度自觉的防范意识。防控信息安全风险,要多做积极主动的工作,尽量减少或避免做被动的亡羊补牢的工作。这就像企业管理一样,只有起点,没有终点,永无止境。
互联网、电子信息等,既是企业法务管理工作的有力工具和可以依赖的手段,也是法务管理的工作对象。信息安全需要借力于新技术,比如,电脑的安全软件、加密通信等手段,但是又不能完全依赖和迷信于纯技术支持,还要有制度保障,制约机制,以及流程控制。对网络技术,应大胆地为我所用,依靠而不迷信。先进技术和相应的制度管理相辅相成,两者结合才是可取之路。
用信息化的思维看待互联网带来的变革,解决信息安全的有效途径应该是技术和制度的结合。技术的运用要有章可循,制度实施和落实需要技术的支撑。没有现代化技术手段肯定不行,但是企业离开制度也不能运转。企业法务管理需要考虑的是,如何根据企业自身业务特点和经营管理及参与竞争的需要,建立一套由合理配套的制度构成的安全管理体系。这方面有许多要做的工作。而且,只有积极,才能主动。
网络信息安全急需“有法可依”
这次活动极大增强了大家对我国自主知识产权的国产电脑安全软件的信心。同时也认识到,目前我国信息安全风险还集中表现为相关法律滞后严重。法律不健全,给该领域案件和争端解决增加了困难。由于当前我国在涉及黑客攻击和网络安全方面的立法不足,现有的法律不够明确和不完善,以及对非法获取计算机信息犯罪的取证和证据收集方面存在困难,因此对窃取网络信息及泄密信息的价值如何计算和如何定罪等,一直是实践中的难题。
总体而言,目前情况下,对于互联网信息安全领域存在的有些负面问题,仅靠个人或企业的能力尚无法克服或难以应对。解决这些问题,除了靠企业的制度、个人的注意及良好习惯和技术支持外,主要依靠国家完善相关立法来予以规制和调整。当务之急仍然是如何解决在保护个人信息安全的权利方面能够有法可依。这方面我国显然还有大量急需要做的工作。对此,需要社会力量全力推动,更需要包括企业法务管理人员在内的有识之士为此建言献策,贡献才智。
扬长避短,趋利避害。让企业借助互联网的平台,插上信息化的翅膀,飞得更快、更高、更稳、更远。
(来源:法人)