|
企业档案合规已经成为无可回避的问题,核心需求可总结如下(萨班斯法案404条款): |
| • |
企业须能够证明其档案记录是完整的而非选择性的; |
| • |
企业须能够证明其档案系统中的记录仅仅能够在其表明的时间点生成; |
| • |
企业须能够证明其档案记录在生成后是不可篡改的。 |
|
常规档案合规自动化方案效果不彰,尤其缺乏帮助管理人员规避法律风险的能力: |
| • |
软件认证方式:通过软件加密,口令、CA认证等手段降低档案被篡改的风险。其结构性问题在于无法解决内部用户/超级用户的管理问题,无法真正帮助管理人员法律免责; |
| • |
档案存储于常规不可篡改介质,但受制于介质管理风险和数据存储安全: |
| |
-- |
CD-R光盘或WORM(一次写多次读)磁带等:难于解决诸如副本作弊(即生成多份不同内容的介质,用于不同目的),介质无容错能力带来的存储失效等问题; |
| |
-- |
基于常规磁盘的“防篡改”存储:难于解决诸如系统管理员或黑客等通过系统漏洞、网络攻击等手段修改已存数据的风险,同时无法去除诸如系统崩溃、软件故障等导致档案数据被损坏的风险 |
|
结果是,急需档案合规的企业,被迫采用手工对大量纸质凭证层层签名的方式保障管理免责: |
| • |
合规成本高昂:中国人寿公布的数据表明,其仅为满足404条款,直接投入了超过3000名员工和超过4000万人民币的相关费用; |
| • |
效率低、可持续性差:手工方式效率低且对日常业务流程造成负担,同时纸质凭证管理困难且在审计时查找不便,难于长期为继。 |
| |
|
