法规遵从应用方案
市场上缺乏可靠的档案合规自动化解决方案,导致企业相关成本高昂
企业档案合规已经成为无可回避的问题,核心需求可总结如下(萨班斯法案404条款):
• 企业须能够证明其档案记录是完整的而非选择性的;
• 企业须能够证明其档案系统中的记录仅仅能够在其表明的时间点生成;
• 企业须能够证明其档案记录在生成后是不可篡改的。
常规档案合规自动化方案效果不彰,尤其缺乏帮助管理人员规避法律风险的能力:
• 软件认证方式:通过软件加密,口令、CA认证等手段降低档案被篡改的风险。其结构性问题在于无法解决内部用户/超级用户的管理问题,无法真正帮助管理人员法律免责;
• 档案存储于常规不可篡改介质,但受制于介质管理风险和数据存储安全:
--
CD-R光盘或WORM(一次写多次读)磁带等:难于解决诸如副本作弊(即生成多份不同内容的介质,用于不同目的),介质无容错能力带来的存储失效等问题;
--
基于常规磁盘的“防篡改”存储:难于解决诸如系统管理员或黑客等通过系统漏洞、网络攻击等手段修改已存数据的风险,同时无法去除诸如系统崩溃、软件故障等导致档案数据被损坏的风险
结果是,急需档案合规的企业,被迫采用手工对大量纸质凭证层层签名的方式保障管理免责:
• 合规成本高昂:中国人寿公布的数据表明,其仅为满足404条款,直接投入了超过3000名员工和超过4000万人民币的相关费用;
• 效率低、可持续性差:手工方式效率低且对日常业务流程造成负担,同时纸质凭证管理困难且在审计时查找不便,难于长期为继。
解决方案:企业监管档案自动存入纯硬件、高安全、防篡改凭证库备查
通过配套或通用磁带迁移软件随需定制迁移规则,自动定时将企业档案从缓存区迁移至防篡改磁带化磁盘库。审计查阅时自动迁回。
• 系统上屏蔽人为灾难:不仅人为误操作不会损坏档案, 黑客直至系统管理员均无可能利用诸如网络访问、系统配置、设备维护等机会更改档案;
• 技术上屏蔽系统灾难: 企业档案隔离于应用系统,运行故障,应用出错,软件漏洞, 病毒,后门程序等均无可能对档案构成威胁。
