?
?
近期�,中國國家安全機關會同相關部門��,對國內咨詢行業龍頭企業凱盛融英信息科技股份有限公司進行公開執法�,指控該咨詢機構無視國家安全風險并將敏感信息傳遞到國外�。
?
![1685339548163262.png]( "1685339548163262.png")
5月10日�����,凱盛融英發布聲明稱:“近日���,國家安全機關對我司進行了處罰�����,并提出了整改要求�����。我司深刻認識到在過去的經營活動中未能充分履行國家安全防范責任���,存在重大隱患和漏洞��,對國家安全造成了嚴重危害���。我司在國家安全機關的指導下圍繞國家安全法律法規進行整改���?�!?/p>
?
?
此事件將知識信息服務業推上了風口浪尖�,而凱盛融英的處理措施�,也將“合規管理“擺到了公眾面前���。顯而易見地���,作為知識信息服務業龍頭的凱盛融英沒有做好自身的合規管理���,凱盛融英的客戶和專家團隊也沒有做好合規管理�����。
?
什么是合規�����?合規等于遵守法規即守規���,就是組織及其員工的行為要符合國家法律�����、行政法規��、國際條約��、行業準則��、商業道德以及企業內部的管理制度�。
?
我國的合規管理探索起源于21世紀初���,當時銀監會和保監會分別發布了商業銀行和保險公司的合規管理指引�����。2015年��,國資委印發《關于全面推進法治央企建設的意見》��,對中央企業合規體系建設提出了明確要求���。2016年�,國資委組織中國石油�、中國移動�����、東方電氣��、招商局�、中國中鐵等5家央企開展合規管理體系建設試點�。2018年�,國資委在前期試點基礎上���,發布《中央企業合規管理指引(試行)》�。我國于2017年發布了GB/T 35770-2017《合規管理體系》國家標準�,該標準等同采用ISO 19600:2014國際標準��。2022年該標準依據最新的ISO37301:2021《合規管理體系 要求及使用指南》國際標準進行了修訂并于2022年10月12日發布實施���,對GB/T 35770-2017國家標準進行修訂���。
?
?
組織一般的合規管理包括以下內容:
?
1��、法律合規:組織需要遵守相關法律法規和政策�����,例如勞動法�����、稅法和環境保護法等���。
?
2�����、道德合規:組織需要遵守道德標準和社會責任�,例如反腐敗�、環保���、公益慈善等�。
?
3��、信息安全合規:組織需要確保數據安全和隱私保護���,包括個人信息��、客戶信息和商業機密等�����。
?
4�、財務合規:組織需要遵守會計準則和財務規定�����,包括納稅申報���、審計報告等�����。
?
5���、內部控制合規:組織需要建立有效的內部控制機制��,確保風險可控和經營活動合法合規���。
?
6��、務實合規:組織需要根據具體行業和自身特點制定相應的合規政策和程序��,例如食品安全���、醫藥監管等��。
?
?
首先���,組織需要明確合規管理的重要性��。合規管理不僅涉及到公司的聲譽和信譽���,還關系到公司的可持續發展和經濟利益�����。因此�,組織必須理解合規管理對其生存和發展的重要性���,從高層領導到普通員工都應該牢固樹立合規意識�。
?
其次�����,組織需要建立完善的合規體系�����。該體系應包括合規政策���、合規流程�����、合規培訓和合規監督等方面�����。組織應該制定詳細的合規政策�,明確責任和義務���,并對員工進行全面的合規培訓�,確保員工能夠遵守相關規定�。同時�,組織應該加強內部監督�,建立有效的內控機制���,建立合規風險評估和防范機制�。
?
然后��,組織需要不斷改進合規管理�����。常態化的自查和外部審計可以幫助組織發現潛在的合規問題�,及時進行處理和改進�。組織還可以通過與同行業公司的合規比較來發現差距�����,不斷完善自身的合規管理體系��。
?
?
凱盛融英事件給知識信息服務業和其他產業的教訓都是深刻且深遠的�����。作為知識服務業��,為客戶提供好的服務�,不僅僅是達到客戶的要求和目標��,服務過程中各種細節才是服務水平的真實展現��。知識服務企業至少應該通過以下幾個方面做好保密工作以符合合規管理的要求:
?
1��、自身信息安全:知識服務企業應該建立安全性高���、可靠的信息網絡系統�����,以確?����?蛻魯祿粫环欠ǐ@取或攻擊�����。
?
2�����、主動簽訂保密協議:知識服務企業應該主動與客戶簽署保密協議���,約定服務過程中獲取信息的范圍和條件���,確?��?蛻裘靼鬃约旱哪男祿⑷绾伪惶幚?��,并給出有效預防措施并提前做好預案���,做出保密承諾���。
?
3��、員工約束:知識服務企業應該對員工進行保密意識培訓�,提高他們對公司保密政策和操作程序的認識和理解�,并明確不同員工對客戶信息的訪問權限��,且要定期對員工的權限進行審核�。
?
4���、監督檢查:知識服務企業應該建立內部監管機制���,定期進行保密內部審查和評審��,并嚴格對違反保密規定的行為進行處理�����。
?
凱盛融英事件中�,專家所在的單位由于機密被泄露�����,遭受了巨大損失���,但從中也暴露出這些密級等級非常高的單位都沒有做好保密合規管理�����。單位或組織又需要從哪些方面做好保密合規管理�����?
?
1�����、保密信息識別分類:組織應該識別內部的保密信息�,并對信息進行分類分級�,不同類別�����、級別的保密信息制定相應的管理流程和政策��,并確保全員知曉和遵守��。
?
2�����、簽訂保密協議:組織應該與員工�、供應商���、客戶等簽署保密協議�,規定信息的保密范圍和條件�����,以確保敏感信息不會被泄露�。
?
3���、保密要求培訓:組織應該對員工進行保密意識培訓��,提高他們對組織保密政策和操作程序的認識和理解��。并將這種要求滲透到日常管理中���,在入職�、工作�����、離職的各類環節進行不斷地重復提醒���。
?
4��、信息接觸權限控制:組織應該采取有效措施限制員工對保密信息的訪問權限��,例如對于電子信息應通過加密技術和員工權限設置進行管理�����,實物信息通過有效的物理安全措施進行管理等��。
?
5�����、監管檢查:組織應該建立內部監管機制���,定期進行保密內部審查和評審���,并嚴格對違反保密規定的行為進行處理��。
?
?
總之��,保密管理是組織合規管理中不可或缺的一環���。各類組織應該制定和實施相應的政策和流程�,采取措施確保保密信息的安全性和保密性�,并對違反保密規定的行為進行嚴格處理���,這樣才能最大限度地保護組織的商業利益和客戶隱私�����。
?
?
本文章的版權歸本網站所有���。未經本網授權不得轉載��、摘編或利用其它方式使用上述作品���。已授權使用的���,應在授權范圍內使用��,并注明“來源:科創逮鯉人”���。
![1676858679400689.jpg]( "1676858679400689.jpg")
