不支持Flash

中国计算机报:邮件闯祸 银行被罚

http://www.sina.com.cn 2007年01月15日 17:19 中国计算机报

  王林

  要改善公司形象,与其花钱赞助体育赛事,还不如投资IT,减少负面影响。

  纽交所频繁开出的罚单在提醒业界:当电子邮件成为一种主流、可追溯的沟通方式时,对其进行存档、审核等管理工作必不可少。美国的Wachovia银行就以邮件门的形式接到这样的罚单,正在以亲身经历为业界探索经验。

  现在,邮箱里面塞得满满的电子邮件带来的不仅仅是心绪烦躁,也是招致处罚、恶化公司形象的诱因。包括大银行在内的金融机构处理电子邮件的方式越来越多地受到公众的关注,一旦被发现处理方式不符合某种规定,将会受到猛烈抨击。

  Wachovia被纽交所罚款引起了媒体的广泛关注就是一个典型案例。邮件相关的事故已经成为继

性丑闻之后新的报纸头条,是银行不得不闯的一道关。银行该怎么做才能安全运营,怎么做才能规避监管机构处罚?

  邮件闯祸

  2006年9月,纽交所听证委员会发布了处罚决定:Wachovia被处以225万美元的罚款,原因在于未能遵守有关电子通讯的规定,违反了1934年通讯法案第17条。

  纽约证券交易所认为,从1999年1月到2006年4月,以及其后的时期内,Wachovia没有在公司通讯系统运行的服务器上对档案进行适当备份,致使未能保留必须的电子邮件。同时,Wachovia没有妥善监察或督促文件备份过程,没有负起恢复电子文件纪录的责任。

  对于我国读者来说,《萨班斯-奥克斯利法案》关于上市公司要把通报审计过程的每一条记录保存七年的规定,已经耳熟能详。其实,企业电子邮件等文件记录保存的法案并不是第一次出现,相关的规定由来已久,比如,1934年的通讯法案、1997年电子邮箱保护法案、1998年电子邮件使用者保护法案。只是,以前这些法案没有引起如此广泛的重视。Wachovia的一位相关负责人说:“根本没有想到交易所会当真,还会拿出一个几十年前的法案说事。”看来,现在交易所开始动真格,不再只是说说而已。

  就经济损失而言,违规银行的损失并不大。由于与纽交所达成了谅解,Wachovia最终只需上缴处罚决议中罚款金额很小的一部分-- 60万美元。对于财大气粗的银行来说,区区60万美元只是小钱。

  但是,随着处罚决定成为各大媒体的头版头条,企业声誉已经严重受损。Wachovia一直重视改善公众形象,比如赞助一些公共的赛事项目。因邮件被罚款,自然会对公司形象造成重大影响。Wachovia反复强调他们正在尽力改善这种情况。该公司的一位发言人说,他们一直在讨论这个问题。然而,公众更关注Wachovia是否按照应该的办法去做。

  当然,令他比较欣慰的是,有同样遭遇的不只是Wachovia一家,还有大摩、美林等声名显赫的金融巨头。大摩同意支付1500万美元的罚款来解除证券交易委员会对公司未能妥善储存电子邮件事件的调查。3月,美林被证券交易委员会罚款250万美元,原因在于该公司未能妥善对其电子邮件存档。这些案件使人们对金融机构电子邮件管理事故更加关注。

  非上市公司并不总是能够在一旁幸灾乐祸。值得注意的的是,2006年12月1日,美国最高法院正式发布《联邦民事诉讼规则》修正案,对如何提供诉讼所需电子邮件和其他电子数据进行法律授权。该修正案对当前的审计和符合性市场提出了新思考和新需求,不仅仅是网络设备、服务器、应用系统上面的日志,还有操作过程,还要记录电子邮件、即时消息等各种电子信息交互的日志。总之,企业为了符合这样那样的法规,需要记录几乎所有企业信息系统中数据变化的整个过程和结果。并且,这样的符合性和审计要求有开始从上市公司扩展到所有公司的趋势。

  处方一:时间够长

  尽管电子邮件存档的时间要求是许多银行最关注的问题之一,仍然有一些金融机构对此项要求无动于衷。有人辩解说,在美国甚至全世界,没有哪一家公司有保持文件记录的有效政策。但是,不良的邮件管理就像一团火,已经有人被烧着了。进行有效的电子邮件存储是高级管理人员保住职位、保护公司利益的必须。

  一位分析师说,组织机构错误地以为如果他们支持电子邮件,就必须对此担负起责任;相反,如果他们没有表示支持,那么依据那些信息就无法控告他们有罪。但实际情况并非如此,他提及最近发生的一些诉讼事件,并强调公司已经被他们自己的失职行为所伤害。

  一位专家建议,像Wachovia这种规模的公司需要成立一个管理机构,创建一个信息存档系统,监督管理所有记录档案——纸张的和电子的,包括电子邮件信息。一个成功的信息存档系统的第一步便是将所有涉及到的部门合并,包括商业、IT、法律和终端用户。这个管理机构必须采取跨职能部门的方法,全面了解各项政策法规。这是公司法律部门的管辖领域,但IT部门必须负责实施执行。

  鉴于信息存档是企业内容管理和存储的一部分,也有人建议成立一个跨功能团队,IT界应该与法定代理人、风险管理者、档案管理者、电子邮件管理员一起协同工作。出于成本考虑,法律界通常希望一切都能永远保持下去,档案管理者却想要摆脱一切,而电子邮件管理员则更愿将所有的东西从他们的系统中移出。尽管他们的确有各自的想法,但是协同工作才能符合法规要求。

  如果保存所有的电子邮件是一个糟糕的主意,那么,将所有电子邮件都删除则是一个更糟糕的想法。关键的问题是,Wachovia如何能够知道保存什么和保存多久?一位分析师说,这是不少金融机构常常头痛的问题。有人说应该存储所有的档案,另外一些人则坚持选择性地存储,有些公司甚至根据不同部门的电子邮件有选择性地决定是否存档。根据证券交易的规章制度,投资部门发出的所有电子邮件都要存档。

  一位负责人说:“我们存储所有的档案,这是最简易的方法。银行由于难以挑选需要存档的档案,而将所有的档案存档四年,并很快将其存档期延长至七年,当然,垃圾邮件除外。垃圾邮件的处理周期是30天。”

  有的公司的处理方法则更为保守,使用过滤器将存档系统中的垃圾邮件和邮件附件过滤出来,将员工收到的每封电子邮件都存档,设定保存的时间长达十年。

  处方二:恢复够快

  一位研究人员对金融机构表示了同情,很是理解Wachovia等金融机构的难处。他说,一个普通商业用户接收电子邮件的数量年均增长达到30%,管理者对此束手无策,几乎完全失去了对组织内容的掌控。

  1998年,美国众议院提出了电子邮件使用者保护法案,从保护电子邮件使用者的角度,对1934年的通讯法案做了相关修改,增加了禁止使用垃圾电子商务邮件的规定。但是,统计资料显示,在公司员工收到的电子邮件中,80%为垃圾邮件。Wachovia的一位负责人介绍,在那工作的每个员工每天收到的电子邮件在50到100封之间,并且每个人发出去的邮件在25到30封之间。

  伴随数量增加而来的麻烦是恢复时间冗长。专家认为,拥有一万名员工的公司将不得不保存大约几亿封电子邮件,还必须在几天或者几小时之内,搜遍全部邮件,找到与所查信息有关的邮件。新的法规不但要求保存更多电子邮件,还要求能够及时获取所需邮件。

  新法规要求的那种搜查却是大多数最新的电子邮件系统所无力胜任的,单单增加存储容量根本就不够。一位分析师说,Wachovia的CIO应当立即重新检查自己的电子邮件系统。许多美国的银行,仅仅使用磁带保存邮件。实际上,根据某大学研究所一份研究报告显示,许多机构没有对其电子邮件进行系统存档,而是依靠磁带实行备份来保存数据。使用这种已经过时的方法,即使只是试图恢复一个电子邮件也可能要费上好几个小时。

  相比之下,使用先进的存档系统,恢复一个电子邮件所花费的时间不超过一分钟。当诉讼发生时,公司往往需要及时发现、找到电子邮件,存档系统就显得尤其重要。Wachovia表示,他们将采用更加安全可靠的档案存储系统,并结合先进的搜索技术,这样就能够轻而易举地恢复那些记录文件。

  处方三:成本够低

  一位分析师说,对于一个大约拥有一万人的企业来说,主要的挑战在于,企业必须在三年中有能力存储大约十亿封电子邮件。这是相当大的信息量,需要庞大的基础设施,以及高昂的成本。

  一位对存储成本有深入研究的专家介绍,将三年之内的前期成本、维护费和劳务费进行因子分解,每个内部存档系统用户每月的费用为4.53美元。对一个中等规模的组织,一个主机存档解决方案的费用成本为每个用户每月3.58美元。对IT工作人员来说,位居前三位的最耗费时间的行为是支持终端用户、档案文件和管理档案用户。

  基于第三方支持的存储服务器,对成长型企业具有特别重要的意义。传统意义上的外包电子邮件存档,对小型和中型规模的公司而言,被认为更具成本效益。一项研究表明:即使对于拥有一万或者更多用户的企业而言,可能也不存在一个总拥有成本具竞争力的解决方案。

  一位为Wachovia做邮件管理的技术顾问说,他们正在考虑以最经济的方式满足法规的要求。另一位顾问则提出,Wachovia拥有庞大的档案,并且他们将不得不找出处理档案的方法,为何不从中获取价值?他认为,不应该仅仅将邮件看作一项成本,应该作为服务客户的知识库,为新产品开发提供新思路。对于这项具有远见的想法,很多人嗤之以鼻。他们认为,对于现阶段的银行来说,能够以比较经济的方式满足法规对邮件保存的要求就不错了。

  处方四:信息加密

  就在几年前,电子邮件的安全被网络病毒、垃圾邮件包围。 既然那些威胁已经有所遏制,银行更关心接收“好东西”,并避开“坏东西”。电子邮件加密的背后驱动力是规范性要求,包括30个州都存在的《萨班斯-奥克斯利法案》。它规定,如果丢失或者错误地处理机密资料,公司必须告知受影响方。金融机构要确保不对外泄漏任何信息,主要方法之一便是使用加密技术。

  Wachovia的一位副总裁说,他们在尝试使用电子邮件加密技术来保护员工、消费者和企业合伙人之间通过电子邮件共享的机密资料。在实施该方案之前,银行依赖的是卖方的桌面加密方法,但是通过一项调查发现,实际上几乎很少的员工使用它来发送敏感资料。他说:“对于一个每天都要使用的用户来说,这并不是一个好现象。”当金融机构的邮件问题快成为新闻节目中的一个固定专栏时,它的技术负责人需要寻找一个更有效的方法来确保敏感资料发送的安全性。Wachovia正在寻找一个集中的解决方法,同时制定一些规则。一些加密平台由电子邮件网关服务器构成,该服务器采用那种规定了什么能够或者不能够离开办公楼和哪些应该或者不应该实施保护的政策。

  Wachovia的负责人说:“我们希望能够使用一切最适合客户的通讯手段来服务客户。银行客户众多,包括不能保持标准工时的学生们,因此他们使用电子邮件来进行银行业务操作,我们的员工喜欢使用电子邮件。技术部门为他们安全可靠地使用邮件做好了准备。在最近的一次内部审计中,我们发现与规定的符合程度更高,已经为纽交所等机构的检查做好了准备。”

  链接:Wachovia的历史

  2001年1月16日美国第一联合银行宣布,将以换股形式收购其竞争对手瓦霍维亚信托银行。新银行的名称是Wachovia银行,总部设在夏洛特。当时,第一联合银行总部设在美国东部北卡罗来纳州的夏洛特,资产为2530亿美元。Wachovia银行则在北卡罗来纳和佐治亚州各有一个总部,资产为740亿美元。

  两家银行合并后资产总规模超过3000亿美元,成为仅次于花旗、美林和大摩的美国第四大银行。两家银行合并后将拥有2900个银行分支机构、近600个经纪人事务所、1900万客户和9万多雇员。

发表评论
爱问(iAsk.com)
不支持Flash
 
不支持Flash