裝備承制單位為什么需要開展知識產(chǎn)權(quán)貫標(biāo)�?
裝備承制單位知識產(chǎn)權(quán)貫標(biāo)����,指的是裝備承制單位貫徹執(zhí)行《裝備承制單位知識產(chǎn)權(quán)管理要求》(GJB9158-2017)國家軍用標(biāo)準(zhǔn)�����,即按照國軍標(biāo)中的要求改造自身知識產(chǎn)權(quán)管理體系�。
《裝備承制單位知識產(chǎn)權(quán)管理要求》是我國首部裝備建設(shè)領(lǐng)域知識產(chǎn)權(quán)管理國家軍用標(biāo)準(zhǔn)���,由中央軍委裝備發(fā)展部國防知識產(chǎn)權(quán)局��、中國船舶工業(yè)綜合技術(shù)經(jīng)濟(jì)研究院聯(lián)合起草�,已于2017年12月1日起實施��。
承擔(dān)裝備及配套產(chǎn)品科研��、生產(chǎn)�、修理���、技術(shù)服務(wù)等任務(wù)的單位��,包括軍工企業(yè)����、工程院校�,以及地方高校和民營企業(yè)等不同類型的承制單位都可以自愿貫徹執(zhí)行《裝備承制單位知識產(chǎn)權(quán)管理要求》(GJB9158-2017)���,那么裝備承制單位為什么要開展知識產(chǎn)權(quán)貫標(biāo)呢?
1. 政策利好
2017年出臺的《深入實施國家知識產(chǎn)權(quán)戰(zhàn)略加快建設(shè)知識產(chǎn)權(quán)強國推進(jìn)計劃》�,確定了五大重點工作:深化知識產(chǎn)權(quán)領(lǐng)域改革、嚴(yán)格保護(hù)知識產(chǎn)權(quán)���、促進(jìn)知識產(chǎn)權(quán)創(chuàng)造運用��、深化知識產(chǎn)權(quán)國際交流合作����、加強組織實施和保障���。2015年1月4日��,全軍武器裝備采購信息網(wǎng)正式上線����。2015年國家首次把軍民融合發(fā)展上升為國家戰(zhàn)略���。2016年2月26日�,《中華人民共和國促進(jìn)科技成果轉(zhuǎn)化法》若干規(guī)定頒布實施���。2017年12月1日實施��。2017年11月28日���,國防科工局�、財政部�����、知識產(chǎn)權(quán)局聯(lián)合印發(fā)了《關(guān)于國防科技工業(yè)推進(jìn)知識產(chǎn)權(quán)強國建設(shè)的指導(dǎo)意見》���。
2. 創(chuàng)新管理需要
政策面持續(xù)釋放的利好向國防裝備承制單位發(fā)出了強烈信號���,要完善技術(shù)成果轉(zhuǎn)移、轉(zhuǎn)化機(jī)制��,加快創(chuàng)新體系建設(shè)���。然而,裝備承制單位現(xiàn)有的創(chuàng)新體系與市場經(jīng)濟(jì)下的創(chuàng)新體系遵循著不同的邏輯��,裝備承制單位掌握的技術(shù)及其管理��、運營模式需要完成適應(yīng)市場經(jīng)濟(jì)模式的“改造”才能成為組織創(chuàng)新的基石和盈利的源動力,知識產(chǎn)權(quán)體系化管理是創(chuàng)新體系的重要要素����,更是技術(shù)成果轉(zhuǎn)移、轉(zhuǎn)化的有力保障��,因此�,加快建立知識產(chǎn)權(quán)管理體系無疑是國防裝備承制單位今后的重要工作之一,是其面向市場化��、國際化發(fā)展轉(zhuǎn)型的重要支撐��。
3. 標(biāo)準(zhǔn)優(yōu)勢
《GB/T 29490-2013企業(yè)知識產(chǎn)權(quán)管理規(guī)范》(下稱“29490標(biāo)準(zhǔn)”)是我國首部指導(dǎo)企業(yè)建立知識產(chǎn)權(quán)標(biāo)準(zhǔn)化管理體系的國家標(biāo)準(zhǔn)����,該標(biāo)準(zhǔn)借鑒了質(zhì)量管理體系的成熟管理理念,以戰(zhàn)略導(dǎo)向�����、領(lǐng)導(dǎo)重視����、全員參與為原則,提供了基于過程方法的企業(yè)知識產(chǎn)權(quán)管理模型���,指導(dǎo)企業(yè)策劃�����、實施���、檢查�、改進(jìn)知識產(chǎn)權(quán)管理體系���。2017年出臺的《GJB 9158-2017裝備承制單位知識產(chǎn)權(quán)管理要求》(下稱“國軍標(biāo)”)�����,借鑒吸收了29490標(biāo)準(zhǔn)的內(nèi)容�,并在此基礎(chǔ)上加入了適用于裝備承制單位的特色條款����。兩個標(biāo)準(zhǔn)的推出,為廣大裝備承制單位用最短的時間�、最小的成本建成適應(yīng)現(xiàn)代市場競爭的知識產(chǎn)權(quán)管理體系提供了理論基礎(chǔ)��,有利于裝備承制單位軍民融合工作的啟動與后續(xù)展開���,以及提升創(chuàng)新能力�����、占據(jù)市場優(yōu)勢�。
4. 認(rèn)證助推體系完善
管理體系最鮮明的特點及最大的優(yōu)勢在于通過不斷的檢查改進(jìn)形成的內(nèi)生演進(jìn)機(jī)制。來自于第三方認(rèn)證機(jī)構(gòu)的定期驗證有助于企業(yè)發(fā)現(xiàn)體系運行中的問題并及時整改�,以促進(jìn)管理體系效力的持續(xù)提升并最終轉(zhuǎn)化為企業(yè)的利潤。
ISO27001信息安全管理體系標(biāo)準(zhǔn)第三個版本-2022版正式發(fā)布
2022年10月25日ISO/IEC 27001:2022信息安全管理體系認(rèn)證標(biāo)準(zhǔn)今日正式發(fā)布����,該標(biāo)準(zhǔn)是目前國際上被廣泛接納和采用的信息安全標(biāo)準(zhǔn),亦是國際公認(rèn)的保護(hù)信息資產(chǎn)和知識產(chǎn)權(quán)的良好實踐��。
針對本次ISO/IEC 27001換版����,IAF要求認(rèn)可機(jī)構(gòu)在標(biāo)準(zhǔn)發(fā)布后的12個月內(nèi)完成對已認(rèn)可的認(rèn)證機(jī)構(gòu)的轉(zhuǎn)換,認(rèn)證機(jī)構(gòu)在標(biāo)準(zhǔn)發(fā)布后的36個月內(nèi)完成對獲認(rèn)證組織的轉(zhuǎn)換�。已經(jīng)通過ISO/IEC 27001:2013認(rèn)證的組織需要引起重視,根據(jù)新的子條款和修改后的要求修訂內(nèi)部政策����,并根據(jù)ISO/IEC FDIS 27001附錄A修訂風(fēng)險評估結(jié)果和風(fēng)險處置計劃。
ISO/IEC 27001信息安全管理體系,是目前國際上被廣泛接納和采用的信息安全標(biāo)準(zhǔn),是國際公認(rèn)的保護(hù)信息資產(chǎn)和知識產(chǎn)權(quán)的良好實踐。隨著全球信息化的不斷發(fā)展�,信息化的場景不斷的向更多的領(lǐng)域延展���,各行業(yè)對網(wǎng)絡(luò)安全的需求越發(fā)強勁。同時��,政策監(jiān)管趨嚴(yán)��、技術(shù)不斷升級�����、安全事件頻發(fā)����,受以上多重因素的交織影響,ISO/IEC 27001已成為當(dāng)下各行各業(yè)組織向客戶展現(xiàn)信息安全承諾的敲門磚���。
全國認(rèn)證認(rèn)可信息服務(wù)平臺最新數(shù)據(jù)顯示�,截至2022年3月�,我國有效的信息安全管理體系認(rèn)證證書數(shù)達(dá)28314張,可以看到����,27001認(rèn)證自2005年誕生以來,已經(jīng)從少數(shù)信息安全先行者的高端認(rèn)證演變?yōu)榱藦V為社會認(rèn)可的基礎(chǔ)認(rèn)證�����。
GB/T 41479-2022《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》解讀
2022年6月5日�����,國家市場監(jiān)督管理總局與國家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《關(guān)于開展數(shù)據(jù)安全管理認(rèn)證工作的公告》��,鼓勵網(wǎng)絡(luò)運營者通過認(rèn)證方式規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動���,加強網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)�����。
《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》(GB/T 41479-2022)��,已于11月正式實施�。該項標(biāo)準(zhǔn)不僅是網(wǎng)絡(luò)運營者開展數(shù)據(jù)處理的安全技術(shù)與管理要求����,同時也是組織規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動,加強網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)申請認(rèn)證的實施依據(jù)。因此�����,無論是為了滿足法律合規(guī)要求還是為了保護(hù)自身權(quán)益��,該標(biāo)準(zhǔn)都應(yīng)當(dāng)受到相關(guān)企業(yè)組織的重視��。
一�、編制背景
目前,數(shù)據(jù)安全成為熱點�����,國際國內(nèi)均希望通過法律手段加強數(shù)據(jù)安全保障��,一方面要保障國家安全���,另一方面要保障公眾權(quán)益��,同時還要推動數(shù)據(jù)的應(yīng)用����,保障組織的權(quán)益�,相關(guān)的法律法規(guī)也相繼出臺��。
為了落實網(wǎng)絡(luò)運營者在進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)處理時的法律責(zé)任���,特別是落實《數(shù)據(jù)安全法》的要求,保障網(wǎng)絡(luò)運營者的運營數(shù)據(jù)安全�,合法有序利用數(shù)據(jù)�,中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心牽頭,聯(lián)合中國電子技術(shù)標(biāo)準(zhǔn)化研究院等單位�����,研制了《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》�。
二、標(biāo)準(zhǔn)主要內(nèi)容
標(biāo)準(zhǔn)給出了網(wǎng)絡(luò)數(shù)據(jù)處理安全的總體要求�����、技術(shù)要求�����、管理要求以及突發(fā)公共衛(wèi)生安全事件時的數(shù)據(jù)處理安全要求���。
1�����、在標(biāo)準(zhǔn)第4章總體要求中���,首先明確了網(wǎng)絡(luò)數(shù)據(jù)處理安全的數(shù)據(jù)識別是基礎(chǔ)��、分類分級是根本��、風(fēng)險防控是核心��、審計追溯是底線的四項基本原則��,即需要完整識別需要保護(hù)的數(shù)據(jù)形成數(shù)據(jù)保護(hù)清單目錄�����;根據(jù)網(wǎng)絡(luò)運營者的實際在符合法律法規(guī)要求的前提下����,對數(shù)據(jù)進(jìn)行分類分級管理��;全面分析安全影響和安全風(fēng)險�����,積極采取有效措施保障數(shù)據(jù)安全;在整個數(shù)據(jù)處理過程保證完整的審計日志����,確保處理可追溯。
2���、標(biāo)準(zhǔn)主要要求體現(xiàn)在第5章中�,該部分在進(jìn)行安全影響分析和風(fēng)險評估的通則要求基礎(chǔ)上����,提出了數(shù)據(jù)處理安全的技術(shù)要求:
1)標(biāo)準(zhǔn)5.2至5.8中�,對應(yīng)《數(shù)據(jù)安全法》中提出的數(shù)據(jù)處理(收集、存儲�、使用、加工��、傳輸�����、提供���、公開)活動�,明確了相應(yīng)的安全要求:
數(shù)據(jù)收集方面,對網(wǎng)絡(luò)運營者收集個人信息提出了安全要求��,并在個人信息保護(hù)政策���、征得個人信息主體同意�����、不強制誤導(dǎo)收集等方面進(jìn)行了細(xì)化�����,針對個人信息收集的具體要求�,引用了GB/T 35273—2020的具體內(nèi)容���。此外���,在網(wǎng)絡(luò)運營者應(yīng)用標(biāo)準(zhǔn)時,如通過App收集個人信息�,相關(guān)安全要求見GB/T 41391—2022;
數(shù)據(jù)存儲方面���,對網(wǎng)絡(luò)運營者存儲網(wǎng)絡(luò)數(shù)據(jù)提出了安全要求�����,如安全措施����、存儲期限及個人生物特征識別信息的存儲等;同時對于數(shù)據(jù)接收方存儲數(shù)據(jù)提出以合同約定安全措施的要求�;
數(shù)據(jù)使用方面,針對定向推送及信息合成及第三方應(yīng)用管理二方面對網(wǎng)絡(luò)運營者提出了要求�;
數(shù)據(jù)加工方面,要求網(wǎng)絡(luò)運營者在開展轉(zhuǎn)換���、匯聚、分析等數(shù)據(jù)加工活動的過程中����,知道或者應(yīng)知道可能危害國家安全、公共安全�����、經(jīng)濟(jì)安全和社會穩(wěn)定的���,應(yīng)立即停止加工活動��。
數(shù)據(jù)傳輸方面����,對網(wǎng)絡(luò)運營者傳輸重要數(shù)據(jù)及個人敏感信息的安全措施提出了要求,同時對于數(shù)據(jù)接收方傳輸數(shù)據(jù)提出以合同約定安全措施的要求�;
數(shù)據(jù)提供方面,從向他人提供及數(shù)據(jù)出境二類數(shù)據(jù)提供場景提出了數(shù)據(jù)安全要求��。在向他人提供場景下���,要求提供前進(jìn)行安全影響分析及風(fēng)險評估��,并針對提供個人信息����、共享/轉(zhuǎn)讓重要數(shù)據(jù)��、委托第三方處理數(shù)據(jù)��,及發(fā)生收購/兼并/重組/破產(chǎn)情況下的具體要求進(jìn)行了細(xì)化��;
數(shù)據(jù)公開方面�,提出公開市場預(yù)測、統(tǒng)計等信息的場景下,不應(yīng)危害國家安全��、公共安全��、經(jīng)濟(jì)安全和社會穩(wěn)定�����。
2)標(biāo)準(zhǔn)5.9中��,提出了私人信息和可轉(zhuǎn)發(fā)信息的處理方式要求��;
3)標(biāo)準(zhǔn)5.10中����,提出了對個人信息查閱、更正��、刪除及用戶賬號注銷的要求���,響應(yīng)了《個人信息保護(hù)法》中對個人信息主體權(quán)益進(jìn)行充分保護(hù)的相關(guān)要求;
4)標(biāo)準(zhǔn)5.11中���,提出了投訴���、舉報受理處置的要求�����,這是平臺責(zé)任的角度對網(wǎng)絡(luò)運營者提出的具體要求��;
5)標(biāo)準(zhǔn)5.12中���,提出了訪問控制與審計的要求;
6)標(biāo)準(zhǔn)5.13中�,提出了數(shù)據(jù)刪除和匿名化處理,對數(shù)據(jù)介質(zhì)銷毀及個人信息的刪除及匿名化等場景下的要求進(jìn)行了明確��。
3�、標(biāo)準(zhǔn)第6章中,從數(shù)據(jù)安全責(zé)任人�����、人力資源能力保障與考核���、事件應(yīng)急處置等三個方面提出了數(shù)據(jù)處理安全管理要求�����。但組織可以參考信息安全管理體系要求等相關(guān)國際����、國家標(biāo)準(zhǔn)完善數(shù)據(jù)安全管理架構(gòu)。
4��、本標(biāo)準(zhǔn)專門針對突發(fā)公共衛(wèi)生事件專項預(yù)案啟動Ⅰ級(特別重大)��、Ⅱ級(重大)響應(yīng)的事件時的數(shù)據(jù)處理安全要求����,以規(guī)范性附錄的形式提出了要求,效用與正文等同���。附錄就個人信息服務(wù)協(xié)議��、個人信息收集���、個人信息調(diào)用、人臉識別驗證�����、信息查閱服務(wù)�、公開/向他人提供個人信息及改變個人信息用途、應(yīng)對工作結(jié)束后的個人信息處理���、日志留存等方面提出了具體要求����。
三�、標(biāo)準(zhǔn)應(yīng)用
1、提升數(shù)據(jù)處理安全性
網(wǎng)絡(luò)運營者應(yīng)用標(biāo)準(zhǔn)規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動����,從而落實《數(shù)據(jù)安全法》等相關(guān)法律對數(shù)據(jù)安全保護(hù)的要求,履行社會責(zé)任�。
2、開展數(shù)據(jù)安全管理認(rèn)證(DSM)
《數(shù)據(jù)安全法》第十八條明確指出��,國家促進(jìn)數(shù)據(jù)安全檢測評估��、認(rèn)證等服務(wù)的發(fā)展�,支持?jǐn)?shù)據(jù)安全檢測評估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動�。
網(wǎng)絡(luò)運營者應(yīng)用提升其數(shù)據(jù)處理安全性的基礎(chǔ)上,通過第三方認(rèn)證來證明其滿足標(biāo)準(zhǔn)中提出的數(shù)據(jù)安全基線要求��,從而給予社會�、公眾和客戶信心����。
合規(guī)管理體系國際標(biāo)準(zhǔn)ISO 37301:2021的要素與亮點解讀
021年4月13日���,企業(yè)合規(guī)領(lǐng)域國際層面的重磅標(biāo)準(zhǔn)——ISO 37301:2021《合規(guī)管理體系要求及使用指南》(Compliance management systems — Requirements with guidance for use)正式發(fā)布實施����。
從2018年11月啟動合規(guī)新標(biāo)準(zhǔn)的制定工作以來����,歷時3年多,五個階段�����,ISO 37301終于問世�,它將取代ISO 19600:2014《合規(guī)管理體系指南》,這也標(biāo)志著合規(guī)標(biāo)準(zhǔn)的性質(zhì)由管理體系B型標(biāo)準(zhǔn)變成A型標(biāo)準(zhǔn)�,從推薦性標(biāo)準(zhǔn)正式變成可認(rèn)證性標(biāo)準(zhǔn)。
一�����、制定背景和意義
近年來�,全球貿(mào)易關(guān)系愈加復(fù)雜�,全球產(chǎn)業(yè)鏈進(jìn)入深度調(diào)整與重構(gòu)時期���。在國家層面,各國建立了嚴(yán)格的合規(guī)監(jiān)管制度�,監(jiān)管機(jī)構(gòu)加強了立法深度和執(zhí)法力度,引導(dǎo)和督促企業(yè)實施更加主動的合規(guī)經(jīng)營�。在國際層面,聯(lián)合國�、經(jīng)濟(jì)合作與發(fā)展組織、世界銀行集團(tuán)�����、非洲開發(fā)銀行集團(tuán)��、亞洲太平洋經(jīng)濟(jì)合作組織�����、國際商會等國際性組織相繼制定全球性契約����、指南和指引等,對合規(guī)管理核心問題形成國際共識����,在相關(guān)貿(mào)易活動中對不合規(guī)行為實施聯(lián)合懲戒��。合規(guī)已經(jīng)成為各類組織成功和可持續(xù)發(fā)展的基礎(chǔ)����。
為了滿足全球化合規(guī)的快速發(fā)展和迫切需求����,提升各類組織合規(guī)管理能力,促進(jìn)國際貿(mào)易����、交流與合作,ISO于2018年11月啟動了ISO 37301的制定工作���,基于最新的合規(guī)管理實踐��,修訂并代替ISO 19600:2014《合規(guī)管理體系 指南》����。
ISO 37301的制定對于各類組織的合規(guī)管理能力建設(shè)�、政府監(jiān)管活動、國際貿(mào)易交流、溝通合作改善等具有重要的意義:
為各類組織提高自身的合規(guī)管理能力提供系統(tǒng)化方法�����,它采用PDCA理念完整覆蓋了合規(guī)管理體系建設(shè)����、運行�、維護(hù)和改進(jìn)的全流程,基于合規(guī)治理原則為組織建立并運行合規(guī)管理體系����、傳播積極的合規(guī)文化提供了整套解決方案。
為監(jiān)管機(jī)構(gòu)和司法機(jī)構(gòu)采信組織的合規(guī)整改計劃�、合規(guī)管理體系實踐提供參考依據(jù),監(jiān)管機(jī)構(gòu)和司法機(jī)構(gòu)在對組織違反相關(guān)法律的行為作出處罰時���,可以將組織的合規(guī)管理體系運行情況作為衡量處罰力度的一個考量因素���。
為便利全球范圍內(nèi)相關(guān)方之間的貿(mào)易、交流與合作提供了通用規(guī)則���,各類組織可以通過聲明符合ISO 37301或者獲得依據(jù)ISO 37301所進(jìn)行的認(rèn)證�,在相關(guān)方之間傳遞信任����,進(jìn)而為貿(mào)易�、交流與合作提供便利�����。
二����、標(biāo)準(zhǔn)主要內(nèi)容
ISO 37301 標(biāo)準(zhǔn)的最重要優(yōu)勢就是它的整體方法跨越所有行業(yè)、企業(yè)和部門��;包含實踐相關(guān)性�����、以及適用于所有機(jī)構(gòu)���。ISO 37301 標(biāo)準(zhǔn)遵循連續(xù)提升模型�,即:開發(fā)-實施-評價-保持(這就是所謂的“PDCA 循環(huán)”——計劃�、執(zhí)行、核查�����、行動——由質(zhì)量管理開始)。合規(guī)管理體系通用要素的框架如下圖所示���。
ISO 37301將建立����、制定��、實施��、維護(hù)����、評估和改進(jìn)作為合規(guī)管理體系的六大行動���。合規(guī)管理體系的建設(shè)遵循PDCA循環(huán)邏輯�����,以持續(xù)改進(jìn)原則為基礎(chǔ)�,在領(lǐng)導(dǎo)力和合規(guī)文化的內(nèi)核驅(qū)動下���,結(jié)合組織的合規(guī)目標(biāo)�����、原則及內(nèi)外部環(huán)境��,建立合規(guī)管理體系���,制定符合組織文化和目標(biāo)的相關(guān)流程并在組織內(nèi)有效地運行實施��,并通過定期�����、不定期地維護(hù)和評估�����,糾正和改進(jìn)合規(guī)管理體系的漏洞����。
三�����、ISO 37301對合規(guī)體系建設(shè)升級亮點
1、增加管理者責(zé)任�����,強化領(lǐng)導(dǎo)作用
ISO 37301在合規(guī)文化方面增加了最高管理者對合規(guī)行為的促進(jìn)作用和對不合規(guī)行為的遏制及零容忍態(tài)度���。在治理機(jī)構(gòu)和最高管理者中增加了對治理機(jī)構(gòu)實質(zhì)性的責(zé)任義務(wù)�,要求治理機(jī)構(gòu)確保最高管理者達(dá)到合規(guī)目標(biāo)��,同時要求對最高管理者進(jìn)行合規(guī)管理體系運行情況的監(jiān)督�����。
在我們?yōu)閲筮M(jìn)行合規(guī)體系建設(shè)過程中�����,非常大的困難就是公司領(lǐng)導(dǎo)對于合規(guī)定位認(rèn)識不清晰��,將合規(guī)認(rèn)為是公司經(jīng)營的“絆腳石”�����。決策層一旦將合規(guī)體系建設(shè)僅僅當(dāng)作完成任務(wù)�,則極易將整個工作推向“不求實效、貪大求全”的書面合規(guī)體系�����。
2��、更加注重合規(guī)文化在企業(yè)管理上的作用
合規(guī)對于企業(yè)的可持續(xù)性發(fā)展非常重要���,因此ISO37301標(biāo)準(zhǔn)也將可持續(xù)性作為關(guān)注的焦點�����,特別是關(guān)于將合規(guī)融入至企業(yè)文化中���。合規(guī)文化建設(shè)在整個合規(guī)體系建設(shè)中具有舉足輕重的作用,企業(yè)自上而下建設(shè)一種普遍意識����、道德標(biāo)準(zhǔn)及價值取向,從精神層面確保各項經(jīng)營管理活動始終符合合規(guī)要求���。
ISO 37301較之ISO 19600在結(jié)構(gòu)上�,將合規(guī)文化從支持(第7章)調(diào)整到領(lǐng)導(dǎo)作用(第5章)章節(jié)�����。從對合規(guī)文化的要求及結(jié)構(gòu)上的調(diào)整不難看出,新版標(biāo)準(zhǔn)強調(diào)了建立合規(guī)文化在合規(guī)管理體系建設(shè)中發(fā)揮的重要作用�����。
3�、新增“雇傭”程序內(nèi)容,強調(diào)人是合規(guī)經(jīng)營的關(guān)鍵要素
ISO 37301較之ISO 19600�,在對合規(guī)管理體系所管控的“人”的范圍從原有法律認(rèn)可的雇傭“員工”延伸到了與組織存在合同關(guān)系的所有“職員”,并增加了對雇傭程序(7.2.2條款)的內(nèi)容��。
新增雇傭程序的內(nèi)容涉及:雇傭條件中要求職員須遵守組織的合規(guī)義務(wù)����、政策、流程和程序��;在開始雇用的合理期間內(nèi)向職員發(fā)放或提供獲取合規(guī)方針及合規(guī)方針相關(guān)的培訓(xùn)���;對違反組織合規(guī)義務(wù)、政策����、流程和程序的職員��,應(yīng)采取適當(dāng)?shù)募o(jì)律處分����;要求企業(yè)考慮因崗位和人事安排造成的合規(guī)風(fēng)險��;在職員聘用�、轉(zhuǎn)崗或晉升之前,需按照要求進(jìn)行盡職調(diào)查�����,并要求組織定期對績效目標(biāo)��、績效獎金和其他激勵措施進(jìn)行審核�,以確保有合理的措施防止違規(guī)行為。
4�����、新增合規(guī)疑慮的匯報機(jī)制
暢通合規(guī)疑慮的匯報渠道和建立合理的調(diào)查程序是組織識別和預(yù)防合規(guī)風(fēng)險�,改進(jìn)合規(guī)管理體系行之有效的方法。新版標(biāo)準(zhǔn)在合規(guī)方針中要求組織倡導(dǎo)提出合規(guī)疑慮的行為�����,并禁止任何形式的報復(fù);同時在溝通條款中增加了員工提出合規(guī)疑慮的溝通流程要求�����;在意識(7.3條款)中提出了合規(guī)疑慮匯報的方法和程序���;最后���,在“第8章 運行”中專門增加了對合規(guī)疑慮的匯報(8.3條款)程序,以鼓勵和幫助職員能夠?qū)梢苫驅(qū)嶋H違反合規(guī)方針或合規(guī)義務(wù)的不合規(guī)情況進(jìn)行匯報��,同時要求保障該程序的保密性�����,保護(hù)提出合規(guī)疑慮者免遭報復(fù)�����。
5�����、增加了運行過程中的調(diào)查程序
運行是立足于執(zhí)行層面���,ISO 37301對評價�����、評估���、調(diào)查和處理可疑或?qū)嶋H違規(guī)事件的報告輔以相應(yīng)的調(diào)查程序。調(diào)查程序以公平公正的原則��,由無利益沖突且有能力勝任該項工作的人員獨立開展����。組織應(yīng)將調(diào)查結(jié)果用于改進(jìn)合規(guī)管理體系。實踐中��,合規(guī)調(diào)查通常由合規(guī)職能團(tuán)隊組織執(zhí)行��,若涉及跨國�、跨領(lǐng)域、跨部門等����,調(diào)查過程則應(yīng)由合規(guī)職能團(tuán)隊、內(nèi)部審計部門或法律部門的最高級別進(jìn)行協(xié)調(diào)。
6�����、其他
ISO 37301合規(guī)目標(biāo)和策劃的基礎(chǔ)上增加了“策劃變更”的內(nèi)容���,將合規(guī)培訓(xùn)范圍擴(kuò)大到第三方����,績效考核部門的審核結(jié)果上報范圍擴(kuò)大�,增加管理評審的內(nèi)容,增加持續(xù)改進(jìn)的考慮因素等�����。這些都在不同方面和角度對ISO 19600進(jìn)行了補充��、完善和升級��。
