企業信息安全治理精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇企業信息安全治理，期待它們能激發您的靈感。

篇1

【 關鍵詞 】 信息安全；安全治理；框架；風險管理

1 引言

隨著企業的信息化建設，企業信息系統在縱、橫向的耦合程度日益加深，系統間的聯系也日益緊密，因此企業的信息安全影響著企業信息系統的安全、持續、可靠和穩定運行。此外，美國明尼蘇達大學Bush-Kugel的研究報告指出企業在沒有信息資料可用的情況下，金融業至多只能運作2天，商業則為3天，工業則為5天。而從經濟情況來看，25%的企業由于數據損毀可能隨即破產，40%會在兩年內破產，而僅有7%不到的企業在5年后繼續存活。伴隨著監管機構對信息安全日趨嚴格的要求，企業對信息安全的關注逐漸提高，并對信息安全投入的資源不斷增加，從而使得信息安全越來越為公司高級管理層所關注。

2 信息安全問題

目前企業信息安全問題主要包括幾個方面。

（1）信息質量底下：無用信息、有害信息或劣質信息滲透到企業信息資源中， 對信息資源的收集、開發和利用造成干擾。

（2）信息泄漏：網絡信息泄漏和操作泄漏是目前企業普遍存在的信息安全困擾。網絡信息泄漏是信息在獲取、存儲、使用或傳播的時候被其他人非法取得的過程。而操作泄漏則是由于不正當操作或者未經授權的訪問、蓄意攻擊等行為，從而使企業信息泄漏。

（3）信息破壞：指內部員工或者外部人員制造和傳播惡意程序， 破壞計算機內所存儲的信息和程序， 甚至破壞計算機硬件。

（4）信息侵權：指對信息產權的侵犯?，F代信息技術的發展和應用， 導致了信息載體的變化、信息內容的擴展、信息傳遞方式的增加， 一方面實現了信息的全球共享， 但同時也帶來了知識產權難以解決的糾紛。

3 信息安全治理的困惑

基于信息安全的重要性，企業在信息安全治理方面投入了諸多資源，但是在信息安全治理成效方面仍不盡如人意，主要問題在于幾個方面。

（1）信息安全治理的范圍不明確：目前企業都在盡力實現良好的信息安全治理，但是由于無法正確理解信息安全治理和信息安全管理的區別，導致了信息安全治理無法與企業的安全規劃和企業戰略形成一致性。表1從工作內容、執行主體和技術深度三個層面分析了兩者的區別。

從表1中可以明確：信息安全治理是為組織機構的信息安全定義一個戰略性的框架，指明了具體安全管理工作的目標和權責范圍，使信息系統安全專業人員能夠準確地按照企業高層管理人員的要求開展工作。

（2）企業信息安全治理路徑的錯誤理解：企業在信息安全治理的過程中，最常用的手法是采用信息安全的技術措施，如使用加密和防偽技術、認證技術、防病毒技術、防火墻技術等方式來進行，但是往往企業投入很多，卻沒有達到預想的效果，問題在于，信息安全治理并不單單是技術問題，信息安全治理也包含了安全戰略、風險管理、績效評估、層級報告以及職責明確等方面。

4 信息安全治理關注的領域

（1）戰略一致性：信息安全治理需與企業的發展戰略和業務戰略相一致，建立相互協作的解決方案。

（2）價值交付：衡量信息安全治理價值交付的基準是信息安全戰略能否按時、按質并在預算內實現預期的價值目標。因此需要設計明確的價值目標，對信息安全治理的交付價值進行評估。

（3）資源管理：實現對支持信息運行的關鍵資源進行最優化投資和最佳管理。

（4）風險管理：企業管理層應具備足夠的風險意識，明確企業風險容忍度，制定風險管理策略，將風險管理融入到企業的日常運營中。

（5）績效度量：利用科學的管理方法，將信息安全治理轉換為可評價的目標的行動，便于對信息安全各項工作的績效進行有效管理。

5 信息安全治理框架

通過良好的信息安全治理， 可以保護企業的信息資產，避免遭受各種威脅，降低對企業之傷害，確保企業的永續經營，以及提升企業投資回報率及競爭優勢。

通過長期的實踐經驗以及結合COBIT標準和GB/T 22080-2008，總結出信息安全治理的框架主要由四部分組成，如圖1所示。

（1）信息安全戰略：結合企業的整體信息技術戰略規劃和信息安全治理現狀，制定信息安全戰略。

（2）信息安全組織架構：根據企業層面在決策、管理和執行機制對組織結構的要求，建立信息安全治理框架和決策溝通機制，明確公司各級管理層及相關部門在信息安全組織架構中的工作職責與角色定位。

（3）信息安全職責：根據公司信息安全組織架構，進一步明確信息安全相關崗位的工作職責、分工界面和匯報路徑等。

（4）信息安全管理制度：信息安全管理制度通過建立一個層次化的制度體系，針對不同的需求方（管理者、執行者、檢查者等）從政策、制度、流程、規范和記錄等方面進行信息安全活動相關的規定，實現信息安全的功能和管理目標。

6 信息安全治理評估

企業信息安全治理評估有助于提高信息安全治理投資的效益和效果。企業的最高管理層和管理執行層可以使用信息安全治理成熟度模型建立企業的安全治理級別。該模型，如表2所示，被應用為幾個方面。

（1）在市場環境中，相對于國際信息安全治理標準、行業最佳實踐，以及直接競爭對手，了解企業在信息安全治理上的級別。

（2）進行差距分析，為改進措施提供明確的路徑。

（3）了解企業的競爭優勢和劣勢。

（4）有利于對信息安全治理進行績效評估。

7 結束語

本文從企業信息安全治理的實踐出發，概述了目前企業信息安全治理存在的問題和困惑，總結了企業實現有效的信息治理的關注領域和實施內容，為企業建立良好的信息安全治理提供了基本框架。

參考文獻

[1] 馬峰輝，劉壽強.企業信息安全治理的經濟性探析.計算機安全，2003：70-71.

[2] 婁策群，范昊，王菲.現代信息技術環境中的信息安全問題及其對策.中國圖書館學報，2000（11）：33-37.

[3] 劉金鎖，李筱煒，楊維永.企業實現有效的信息安全治理之路.中國管理信息化，2012（11）：37-39.

[4] 黃華軍，錢亮，王耀鈞.基于異常特征的釣魚網站URL檢測技術[J].信息網絡安全，2012，（01）：23-25.

[5] 黃世中.GF（2m）域SM2算法的實現與優化[J].信息網絡安全，2012，（01）：36-39.

篇2

給企業帶來不同程度的損失。因此，如何提高企業內部網絡信息安全管理水平，是擺在企業管理和計算機管理人員的重要課題。本文分析了網絡環境下企業信息安全問題及其出現的原因，并提出了綜合治理的措施。

【關鍵詞】網絡環境；企業信息安全；綜合治理

一、網絡環境下企業信息安全問題

網絡環境下企業的信息安全是一個系統概念，分為網絡安全和信息安全兩個層面。網絡安全的定義是：確保以電磁信號為主要形式的，在計算機網絡系統中進行獲取、處理、存儲、傳輸和利用的信息內容，在各個物理位Z、邏輯區域、存儲和傳輸介質中，處于動態和靜態過程中的機密性、完整性、可用性、可審查性和可抗抵賴性的與人、網絡、環境有關的技術和管理規程的有機集合；信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常的運行，信息服務不中斷。網絡環境下企業信息安全問題主要有：

（一）數據竊聽和攔截

數據“竊聽”和攔截是指直接或間接截獲網絡上的特定數據包并進行分析來獲取所需信息。在網絡中，當信息進行傳播時，利用工具將網絡接口設Z在監聽模式，便可截獲或捕獲到網絡中正在傳播的信息，從而進行攻擊。因此，一些企業在與第三方網絡進行傳輸時，需要采取有效措施來防止重要數據被中途截獲，如用戶信用卡號碼等。

（二）數據丟失

計算機系統由于系統崩潰、硬件設備的故障或損壞、網絡黑客入侵、計算機病毒發作以及管理員的誤操作等各種原因會導致數據出錯、丟失和損害，如果沒有事先對數據進行備份，后果不堪設想。

二、網絡環境下企業信息安全問題的成因

（一）信息系統的安全缺陷

信息系統是計算機技術和通信技術的結合體，計算機系統的安全缺陷和通信鏈路的安全缺陷構成了信息系統的潛在安全缺陷。計算機硬件資源易受自然災害和人為破壞的影響，軟件資源和數據信息易受計算機病毒的侵擾、非授權用戶的復制、篡改和毀壞。計算機硬件工作時的電磁輻射以及軟硬件的自然失效、外界電磁干擾等均會影響計算機的正常工作。通信鏈路易受自然災害和人為破壞。信息系統的安全缺陷通常包括物理網絡的安全缺陷、過程網絡的安全缺陷以及通信鏈路的安全缺陷三種。如網絡協議和軟件的安全缺陷，因特網的基石是TCP/IP協議簇，該協議簇在實現上力求效率，而沒有考慮安全因素，因為那樣無疑增大代碼量，從而降低了TCP/IP的運行效率，所以說TCP/IP本身在設計上就是不安全的，很容易被竊聽和欺騙。

（二）惡意攻擊

這主要是指人為威脅，通過攻擊系統暴露出的要害或弱點，使得網絡信息的保密性、完整性、可靠性、可控性、可用性等受到傷害，造成不可估量的經濟和政治損失。人為威脅又分為兩種：一種是以操作失誤為代表的無意威脅（偶然事故）；另一種是以計算機犯罪為代表的有意威脅（惡意攻擊）。惡意攻擊的方式多種多樣，主要有中斷、截獲、篡改、偽造，無論哪種方式，其結果造成的危害都是很嚴重的。

三、網絡環境下企業信息安全問題的綜合治理

（一）容災備份

首先，要解決網絡的物理安全，網絡的物理安全主要是指地震、水災、火災等環境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲。以及高可用性的硬件、雙機多冗余的設計、機房環境及報警系統、安全意識等。在這個企業區局域網內，由于網絡的物理跨度不大，只要制定健全的安全管理制度，做好備份，并且加強網絡設備和機房的管理，這些風險是可以避免的。這個是整個網絡系統安全的前提。

其次采用容災備份技術。容災備份是通過特定的容災機制，在各種災難損害發生后，仍然能夠最大限度地保障提供正常應用服務的信息系統。容災備份可以分為數據備份和應用備份。數據備份需要保證用戶數據的完整性、可靠性和一致性。而對于提供實時服務的信息系統，用戶的服務請求在災難中可能會中斷，應用備份卻能提供不間斷的應用服務，讓客戶的服務請求能夠繼續運行，保證信息系統提供的服務完整、可靠、一致。一個完整的容災備份系統包括本地數據備份、遠程數據復制和異地備份中心。當然并不是所有的企業都需要這樣一個系統，只有對不可中斷的關鍵業務才有必要建立容災備份中心。

（二）信息保密

1、信息的加密

加密是提高計算機網絡中信息的保密性、完整性，防止信息被外部破析所采用的主要技術手段，也是最可靠、最直接的方案。加密算法主要有兩種：私鑰（對稱密鑰）加密法和公鑰（非對稱密鑰）加密法。在計算機網絡的出入口處設置用于檢查信息加密情況的保密網關，對內部網內出網的電子文件，規定必須加保密印章標識，并對其進行檢查和處理：無密級的文件，允許出關。由國家保密局立項研制的內部網保密網關已經投入了使用，它能夠為保證計算機網絡的信息保密起到重要的防范作用。

2、數據完整性驗證技術

數據完整性驗證是指在數據處理過程中，驗證接收方接收到的數據就是發送方發送的數據，沒有被篡改。

3、網上信息內容的保密檢查技術

為了了解網絡用戶執行保密法規制度的情況，及時發現泄密問題，必須加強對網上信息內容的保密檢查。

4、身份驗證技術

為了使網絡具有是否允許用戶存取數據的判別能力，避免出現非法傳送、復制或篡改數據等不安全現象，網絡需要采用的識別技術。常用的識別方法有口令、唯一標識符、標記識別等?？诹钍亲畛Ｓ玫淖R別用戶的方法，通常是由計算機系統隨機產生，不易猜測、保密性強，必要時，還可以隨時更改，實行固定或不固定使用有效期制度，進一步提高網絡使用的安全性；唯一標識符一般用于高度安全的網絡系統，采用對存取控制和網絡管理實行精確而唯一的標識用戶的方法，每個用戶的唯一標識符是由網絡系統在用戶建立時生成的一個數字，且該數字在系統周期內不會被別的用戶再度使用；標記識別是一種包括一個隨機精確碼卡片（如磁卡等）的識別方式，一個標記是一個口令的物理實現，用它來代替系統打入一個口令。一個用戶必須具有一個卡片，但為了提高安全性，可以用于多個口令的使用。

（四）病毒防治

防病毒軟件必須滿足以下要求：能支持多種平臺，至少是在Windows系列操作系統上都能運行；能提供中心管理工具，對各類服務器和工作站統一管理和控制；在軟件安裝、病毒代碼升級等方面，可通過服務器直接進行分發，盡可能減少客戶端維護工作量；病毒代碼的升級要迅速有效。

在實施過程中，企業可以以一臺服務器作為中央控制一級服務器，實現對網絡中所有計算機的保護和監控，并使用其中有效的管理功能，如：管理員可以向客產端發送病毒警報、強制對遠程客戶端進行病毒掃描、鎖定遠程客產端等。正常情況下，一級服務器病毒代碼庫升級后半分鐘內，客戶端的病毒代碼庫也進行了同步更新。要做到經常對防病毒定義碼進行更新與升級，防止由防病毒軟件產生的漏洞。對于防火墻，除合理布署外，安全策略要從嚴掌握。要盡量關閉信息系統不使用的端口，以防止入侵者對系統的攻擊。需要注意的是，計算機管理人員要了解應用程序所使用的端口，以免造成系統不能正常運行。

參考文獻

篇3

企業經營信息對于企業來說是一種資源，對于企業自身來說具有重要意義，企業需要妥善管理自身企業的信息。近年來，企業的各項經營活動都逐漸開始通過計算機，網絡開展，因此，企業的信息安全管理對于企業越來越重要。許多企業開始通過各種技術手段以及制度改革，把更多的注意力放在企業內部的信息安全管理工作，同時將企業信息安全管理與風險控制結合起來，這是一個正確的選擇，能夠幫助企業實現穩定經營。在介紹企業信息安全管理以及風險控制前必須厘清企業信息安全管理的概念與企業風險控制定義，因此，本節將著重介紹企業信息安全管理的概念以及企業風險控制的定義。

企業的信息安全管理包含十分豐富的內容，簡單來說是指企業通過各種手段來保護企業硬件和軟件，保護網絡存儲中的各種數據不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標，即保證信息數據的完整，保證信息數據不被泄露，保證信息數據能夠正常使用，保證信息數據能夠控制管理。要想做好企業的信息安全管理，首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及，信息傳遞的方式越來越多，常見的信息傳遞方式主要有互聯網傳播，局域網傳播，硬件傳播等等。要想實現企業的信息安全管理，其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學科知識基礎的工作，從事企業信息安全管理工作的人員通過需要具有網絡安全技術、計算機技術、密碼技術、通信技術。從企業的信息安全管理來講，最為關鍵的一項工作時保護企業內部經營信息數據的完整。經過近十年來的企業信息安全管理工作經驗總結，企業信息安全不僅僅需要信息技術的支持，更需要通過建立完善的企業風險控制體系來幫助企業實現更好地保護企業信息安全的目標。

所以，怎樣把企業信息安全管理與風險控制融合起來就是擺在企業經營管理者面前的一道難題。企業的信息安全風險控制必須通過企業建立完善的企業信息安全風險體系實現。企業的信息安全風險控制是指企業在企業信息安全遭遇威脅之前，提前對企業的信息進行風險預估，并采取一系列的有針對性的活動降低企業面臨的信息安全風險，從而盡可能減少因為企業本身信息安全管理中存在漏洞給企業帶來不必要的損失。常見的企業信息安全風險體系建立主要包含以下幾個方面的內容。第一，建立企業信息安全風險管理制度，明確企業信息安全管理的責任分配機制，明確企業各個部門對各自信息安全所應承擔的責任，并建立相應的問責機制。第二，設置規范的企業信息安全風險管理指標，對企業存在的可能威脅企業信息安全管理的漏洞予以風險定級，方便企業管理者對不同的信息安全管理漏洞采取有區別的對策。第三，企業要加強對信息安全管理人員的培訓，提高企業信息安全管理工作人員的風險意識，讓企業內部從事信息安全管理工作人員認識到自身工作的重要性，讓企業內部從事信息安全管理工作人員了解到規范自身行為，正確履行職責的重要性。第四，將企業信息安全管理與風險控制有效融合，重視企業信息安全管理工作，通過風險控制對企業內部信息安全的管理方式進行正確評估，找出現行的企業內部信息安全管理手段中存在容易忽視的地方。

二、企業信息安全管理與風險控制存在的不足

1.企業信息安全管理工作人員素質不高

對于企業來說，企業信息安全管理工作是一項極為重要而隱秘的工作，因此，必須增強對企業信息安全管理工作人員的素質要求。但是根據調查統計，目前很多企業對信息安全工作的管理僅僅停留在對企業信息安全管理工作人員的技術要求上，對企業信息安全管理工作人員的道德素養，職業素養，風險意識并沒有嚴格要求。此外，絕大多數企業并沒有意識開展對企業信息安全管理工作的道德素質的教育培訓，并沒有通過建立相關管理制度以及問責機制對企業信息安全管理工作人員實行監督，這無疑給別有用心或者立場不堅定的企業信息安全管理工作人員留下了危害企業信息安全的可乘之機。

2.企業信息安全管理技術不過關

企業信息安全管理工作涉及多許多技術，包括信息技術，計算機技術，密碼技術，網絡應用技術等等，應當說成熟的計算機應用技術是做好企業信息安全管理的基礎，但是，現實是許多企業的信息安全管理技術并不過關，一方面企業的信息安全管理硬件并不過關，在物理層面對企業信息缺乏保護，另一方面，企業信息安全管理工作的專業技術沒有及時更新，一些企業信息安全管理工作人員缺乏企業信息安全管理的實踐經驗，企業信息安全管理的知識也并沒有及時更新，從而導致企業的信息安全管理理論嚴重滯后，這種技術的落后很容易讓企業成為不法分子的攻擊對象。近年來網絡病毒的傳播越來越猖狂，很多服務器、系統提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業中的大中型企業，企業內部設備數量比較多，尤其是客戶端數量占了較大比重，僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量。另外，企業信息安全管理系統不成熟也是一個重大的隱患。

3.企業信息安全管理制度不健全

企業信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監督機制保障企業信息安全管理的有效執行。通過調查分析，許多企業雖然建立了企業信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業信息安全管理工作缺少有效的制約和監督，企業信息安全管理工作人員缺乏執行力。企業信息安全管理制度不健全，企業信息安全管理工作缺乏執行力常常體現在以下幾個方面。第一，企業員工對于信息安全管理的認識嚴重不足，對企業信息安全管理工作不重視。企業內部計算機系統安全的計算機防病毒軟件并沒有及時更新，使用，甚至企業內部計算機的防病毒軟件還被企業員工卸載了。部分企業員工認為自己的工作與企業信息安全管理不相關，認為做好企業信息安全管理工作僅僅是企業信息安全部門的事。第二，企業內部信息安全管理制度并沒有形成聯動機制，企業信息安全管理工作僅僅由企業信息安全部門“一人包干”，企業信息安全反映的問題并沒有得到積極的反饋，一些企業領導對企業信息安全現狀所了解的少之又少。

三、企業信息安全管理常見的技術手段

1.OSI安全體系結構

OSI概念化的安全體系結構是一個多層次的結構，它的設計初衷是面向客戶的，提供給客戶各種安全應用，安全應用必須依靠安全服務來實現，而安全服務又是由各種安全機制來保障的。所以，安全服務標志著一個安全系統的抗風險的能力，安全服務數量越多，系統就越安全。

2.P2DR模型

P2DR模型包含四個部分：響應、安全策略、檢測、防護。安全策略是信息安全的重點，為安全管理提供管理途徑和保障手段。因此，要想實施動態網絡安全循環過程，必須制定一個企業的安全模式。在安全策略的指導下實施所有的檢測、防護、響應，防護通常是通過采用一些傳統的靜態安全技術或者方法來突破的，比如有防火墻、訪問控制、加密、認證等方法，檢測是動態響應的判斷依據，同時也是有力落實安全策略的實施工具，通過監視來自網絡的入侵行為，可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素；經過不斷地監測網絡和系統來發現新的隱患和弱點。在安全系統中，應急響應占有重要的地位，它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調企業信息安全管理工作人員在整個系統中的價值。企業信息安全工作人員企業信息安全最為關鍵的參與者，企業信息安全工作人員直接主導企業信息安全管理工作，企業信息安全工作人員不僅僅是企業信息安全的保障者，也是企業信息安全管理的威脅者。因此，HTP模型最為強調對企業信息安全管理工作人員的管理與監督。另外，HTP模式同樣是建立在企業信心安全體系，信息安全技術防范的基礎上，HTP模式采取了豐富的安全技術手段確保企業的信息安全。最后，HTP強調動態管理，動態監督，對于企業信息安全管理工作始終保持高強度的監督與管理，在實際工作中，通過HTP模型的應用，找出HTP模型中的漏洞并不斷完善。

四、完善企業信息安全管理與降低風險的建議

1.建設企業信息安全管理系統

（1）充分調查和分析企業的安全系統，建立一個全面合理的系統模型，安全系統被劃分成各個子系統，明確實施步驟和功能摸塊，將企業常規管理工作和安全管理聯動協議相融合，實現信息安全監控的有效性和高效性。

（2）成立一個中央數據庫，整合分布式數據庫里的數據，把企業的所有數據上傳到中央數據庫，實現企業數據信息的集中管理與有效運用。

（3）設計優良的人機界面，通過對企業數據信息進行有效的運用，為企業管理階層人員、各級領導及時提供各種信息，為企業領導的正確決策提供數據支持，根本上提高信息數據的管理水平。

（4）簡化企業內部的信息傳輸通道，對應用程序和數據庫進行程序化設計，加強對提高企業內部信息處理的規范性和準確性。

2.設計企業信息安全管理風險體系

（1）確定信息安全風險評估的目標

在企業信息安全管理風險體系的設計過程中，首要工作是設計企業信息安全風險評估的目標，只有明確了企業信息安全管理的目標，明確了企業信息安全管理的要求和工作能容，才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度，才能順利通過對風險控制的結果的定量考核，檢測企業信息安全管理的風險，定性定量地企業信息安全管理工作進行分析，找準企業信息安全管理的工作辦法。

（2）確定信息安全風險評估的范圍

不同企業對于風險的承受能力是有區別的，因此，對于不同的企業的特殊性應該采取不同的風險控制辦法，其中，不同企業對于能夠承受的信息安全風范圍有所不同，企業的信息安全風險承受范圍需要根據企業的實際能力來制定。不僅如此，企業的信息安全風險評估范圍也應當根據企業的實際經營情況變化采取有針對性的辦法。

篇4

關鍵詞：企業運維管理；信息系統；安全風險

隨著信息時代的來臨，信息系統和技術已經成為當下各個領域不可或缺以及賴以生存的基礎性建設。現今信息已經成為衡量一個企業綜合競爭水平的重要標志。但是，信息技術在不斷支撐著企業業務開展的同時，其在運維方面也會產生相應的安全風險，主要表現為非法訪問、信息篡改以及信息泄露。這些風險就會對企業的信息安全帶來巨大的隱患。

1信息系統安全風險的控制難點

近年來隨著網絡技術的不斷更新，企業也通過各種安全措施加強了信息系統安全風險的防護措施，但仍存在兩個難點，首先是信息系統的高風險性，由于當下信息系統較為復雜，且漏洞較多，就會使得系統處于高風險性，使得運維人員很難進行控制。其次是當下IP管理以及信息系統的規模逐漸增加，也就使得攻擊源變得多樣化，運維人員無法進行有效的追蹤，也無法進行有效的防護。

2企業運維管理中信息系統安全風險分析

近年來，信息時代的腳步逐漸加快，信息化的水平也在與日俱增。信息技術也以其方便、實用等特點廣泛地應用在各企業之間。而為了更好地將信息技術的最大作用發揮出來，就需要定期對其維護。但是隨著信息系統的應用需求逐漸增加，網絡規模的不斷擴大，使得信息系統的結構愈加復雜，也使得技術漏洞逐漸增加，這就會對企業的信息系統帶來安全隱患。在現今運維管理中信息系統的安全風險主要包括下述幾個方面。

2.1服務器終端層面的風險

服務器終端層面的風險主要分為下述幾個部分：①信息系統的基本安全保密配置不夠完善，管理不夠成熟，這就使得用戶可以私自更改BIOS的啟動順序，使得安全防護產品的失效，從而進行信息的竊取和篡改；②安全風險的報警裝置不夠成熟，不能夠達到預期的效果，通常會由于安全產品之間的兼容性問題失去應用的效用，出現誤報或者漏報的情況。然后就是系統含有漏洞，信息系統最主要的部分就是系統，在當下的企業中應用的操作系統基本上都為Windows系列，而一些停止補丁升級的Windows系統就存在著漏洞，很容易受到侵蝕，進而造成數據的丟失。2.2網絡層面的風險在網絡層面安全風險主要為網絡設備的安全配置不當，通常會開啟多余的服務或者端口，這就存在了被非法訪問的隱患。同時在訪問控制方面不能對接入進行有效的控制，會造成設備非法接入的風險。另外，企業通常不會對用戶進行分層、分級，這就會導致網絡拓撲混亂，使得企業重要的信息資源存在被非法授權訪問的安全隱患。

2.3硬件層面的風險

現今，企業都擁有大量的硬件，且都是采用的國外進口。企業根本無法知曉底層硬件的工作機制，其是否含有隱藏通道等。例如惠普的某型號服務器已經被證實存在后門，這些設備的運維都需要專業的工作人員進行，這也就會使得維修過程容易發生信息篡改或者信息竊取的風險。2.4應用層面的風險應用層面的風險主要就是身份認證的管理不夠完善。管理員的口令較弱、用戶名和密碼過于簡單等都會被攻擊者利用。甚至在當下一些企業還有用戶名公用、濫用的現象，這就更給攻擊者提供了良好的機會，攻擊者可以通過這些漏洞進行水平提權，進而對信息進行竊取，甚至其可以獲取管理者的權限，對系統進行控制，這就會給企業造成巨大的經濟損失。

2.5安全審計層面的風險

在當下的信息系統風險管理都會部署一些安全監測產品，例如防火墻、殺毒軟件等。這些產品只能針對某類安全問題有效，這就使得信息系統的審計工作變得松散，不能形成完整的體系。而且由于系統的兼容性等原因，總會出現誤報、漏報的現象，這就會對審計的作用帶來巨大的影響，使其無法發揮其應有的效用。另外，企業雖然相應的部署了安全管理平臺進行日志的收集，但在當下的信息系統中智能分析能力較弱，不能夠對全局進行有效的監控，也就沒有辦法實現綜合監控和安全風險的態勢分析。

3企業運維管理中信息系統安全風險的控制策略

通過對上述安全風險的問題進行有效的分析，基于信息的特點，本文提出了下述信息系統安全風險的控制策略。

3.1加強信息系統數據資源的安全風險控制

數據資源的風險控制主要從三個方面進行：①存儲安全，可以采用先進的加密技術對信息數據庫進行加密處理，從數據資產產生的源頭進行安全防護體系的構建；②標識安全，通過標識技術對信息進行去區分標注，經過審計后，讓標識與信息系統密不可分，這樣就不會出現信息篡改的問題；③訪問安全，可以采用強制訪問控制的方式，對訪問主體進行限制。例如，某些數據非管理員權限僅能讀取，不能夠打印或者重新編輯，而一些重要信息限制再無權觀看。

3.2加強信息系統的信息安全風險控制

信息安全主要就是對應用安全進行控制，通過對系統的需求進行有效的分析，設計開發指導驗收運維過程中進行安全保障。同時還要定期對系統進行滲透測試，如果企業的技術較為先進，還可以通過源代碼進行安全風險分析，仔細地對漏洞進行查找，如果發現及時進行修復，長此以往就會不斷提高系統的整體安全性。另外還要將運維過程中出現的問題進行整體分析，這樣就能夠形成較為完善的風險控制規范，為后續的系統安全提供可行性較高的參考數據。

3.3構建運維風險控制平臺

針對認證管理和孤島等問題，就可以億堡壘機為中間體進行控制平臺的構建，形成對企業信息系統全面的安全監控。通過安全防護產品的報警日志和應用系統的審計日志，構建威脅事件的審計模型，構建完善的綜合安全事件分析統計平臺，這樣才能對風險事件進行關聯審計分析，最終實現實時報警的效果。

3.4加強信息系統的管理和梳理

要想切實地提高企業的信息系統運維管理能力，必須要加強信息安全專項檢查，要制定詳細的規范來明確信息系統日常需要進行的管理操作，還要對日常管理的具體細節進行定義，這樣才能使信息系統日常管理規范、明確，繼而使其信息化和制度化。還要閉環管理信息安全風險和運維實踐，防止低層次的信息安全問題發生。另外還要加強專項檢查整體提高信息系統的安全運維能力。同時還要對信息資源進行有效的分類整理，要構建完善的應急備災能力，還要定期對應急備災的能力進行檢測，例如可以臨時構建信息丟失的問題，看其恢復能力，只有這樣才能有效地保障備份能夠及時地恢復。

3.5構建完善的信息風險防護體系

正與邪、矛與盾、攻與防，永遠都是相對存在的。在信息系統風險控制上也是一樣的，要想預防攻擊者的非法入侵，就必須要建立完善的信息風險防護體系。所以，企業要培養構建一支團隊，讓其不斷進行學習，掌握攻擊的技術，然后讓其對企業的防護系統進行破壞，進而完善，只有不斷地從攻擊者的角度去思考，才能夠構建完善的防護體系，只有不斷進行攻防，才能夠更好地提升信息風險防護體系，讓其更好地保護信息系統，防止信息竊取和篡改的問題出現。

4結語

綜上所述，雖然當下企業對信息安全風險的防護工作不斷重視，也構建了許多防護的措施，具備了一些防護能力，但由于信息技術的不斷發展，使漏洞變得更加隱蔽。所以，企業要想穩定發展，必須要采取措施對信息系統安全風險進行運維控制，只有這樣才能有效的保障企業的經濟利益，為企業的發展做出有力的支撐。

作者:徐美霞 單位:廣東電網有限責任陽江供電局

參考文獻：

[1]上官琳琳.企業信息系統的管理與運維研究[J].管理觀察,2014(18):100-101+104.

[2]何芬.企業運維管理中信息系統安全風險控制探究[J].信息技術與信息化,2014(5):208-210+212.

[3]石磊,王剛.關于企業信息安全風險管理系統的研究[J].華北電力技術,2013(9):65-70.

篇5

一、人力資本與物質資本的契約關系：高新技術企業與傳統企業的比較分析

與傳統企業相比，高新技術企業人力資本與物質資本的關系發生了深刻變化，主要表現在以下三點：

1.從雇用關系到合作關系的轉變

傳統企業的最大特征是生產的資本化，即在企業的創立和發展過程中，物質資本投入比重非常大并遠遠超過人力資本投入比重；同時，從市場供求關系看，物質資本供應相對稀缺，而人力資本（主要是普通勞動力）相對充足。因此，傳統企業的主人是物質資本所有者。人力資本在形式上隸屬于物質資本，納入到物質資本運動中并服從物質資本的需要，支配了物質資本也就支配了人力資本，產權的運作僅是物質資本的運動，即資本增值和創造利潤的過程。這樣，企業的契約關系表現為物質資本所有者雇用人力資本所有者的關系。即使是在“兩權分離”的現代企業里，企業經營管理職責由人力資本所有者（企業家或職業經理人）承擔，物質資本所有者（股東）投入的股本在公司中轉化為公司的法人財產，這種安排仍沒改變股東是企業的所有者、經營者是股東的被雇用者的狀態，經營者僅被視為股東的人，股東通過董事會或股東會“用手投票”行使企業的控制權，或通過資本市場“用腳投票”制約管理者。

與傳統企業相比，高新技術企業主要依賴于人力資本，這一重要特點決定了高新技術企業的創立主要有兩種方式。第一種方式是既擁有高科技知識和創新成果又具有經營管理才能的人力資本所有者，通過自身的內部融資自己創立企業和組織生產經營活動，由此人力資本與物質資本融為一體；第二種方式是擁有創新知識和技術成果的人力資本所有者，與提供貨幣資本的物質資本所有者共同創立企業和經營管理企業。由于高新技術企業投資具有突出的風險性，傳統的債務融資并不適用于企業的融資需要，因此高新技術企業的物質資本主要表現為風險資本，風險資本的突出特點是股權資本融資，其最終目的是贏利退出，而非長期控制企業，一旦創業成功風險投資者將在市場拋售股票以收回資本、獲得巨額利潤，并開始扶持新的高新技術企業。因此，高新技術企業是人力資本所有者和物質資本所有者在共同利益基礎上創立和發展的，前者提供管理能力、創新知識和技術成果，后者提供物質資本，企業的契約關系從一開始就表現為合作關系，而不是雇用與被雇用關系。

2.從單一委托關系到多重委托關系的轉變

企業是委托人和人之間圍繞風險分配所做的一種契約安排，委托權的本質是承擔風險，因此成為委托人所需的根本條件是承擔風險。在傳統企業，企業的風險主要表現在物質資本的風險上，物質資本所有者幾乎承擔著企業的全部風險，所以傳統企業的委托—關系是以物質資本為核心要素構建的單一委托關系，即物質所有者是委托人，人力資本所有者是人。但是，在高新技術企業里，物質資本所有者（即風險資本投資者）通常將風險資本委托或投資于風險投資公司，由風險投資公司再投資于高新技術企業，由于風險投資公司的最大優勢是資本經營與運作而非企業管理與運行，因此他們一般擔任董事會建設者的角色，這樣，風險資本投資者不僅不參與高新技術企業的創立，而且不參與企業經營管理，而人力資本所有者成為高新技術企業創立的主要角色。此時，在現代市場經濟條件下，物質資本投資者的風險日益社會化，風險資本不能承擔企業全部風險，而只是對自己的投資承擔風險，而人力資本在高新技術企業的專用性和團隊化日益提高，一旦退出企業或企業失敗，其價值將大大降低，人力資本投資者，特別是創業企業家和核心技術人員也成為高新技術企業風險的承擔者。顯然，風險資本投資者、風險投資家、企業家和技術創新者形成了風險共擔、收益共享的格局，這種格局打破了只有物質資本所有者是惟一的委托人，而其他人只能做人的產權配置態勢，傳統的單一的委托關系發生了質的變化，變成多重委托關系。在這種新型委托關系中，每一個所有者在憑借對自己擁有的生產要素產權行使委托人權利時，也同時是其他生產要素所有者的人，每一個要素所有者都有資格管理他人，同時也接受他人的管理。如擁有技術創新能力的人力資本所有者在委托風險投資者和企業家人力資本所有者把自己的創新知識、創新技術和創新設計商品化、產業化時，也他們行使技術創新的職能。這種新型委托關系為高新技術企業產權關系和治理結構優化、最大限度降低風險創造了條件。

3.從天然對立關系到有效合作關系的轉變

長期以來，傳統企業的所有權被認為是物質資本的企業所有權，在企業治理結構中只存在一種所有權，即物質資本所有權，這種所有權能夠量化、價值化和資本化；相反，人力資本的企業所有權表現為非價值化和非資本化，兩種資本的企業所有權是非對稱的。同時，傳統企業的委托關系特征決定了人的行為目標應該與委托人（股東）的目標一致，即企業的惟一目標是股東利益的最大化。企業所有權主體的惟一性和企業目標的惟一性導致傳統企業中物質資本所有者和人力資本所有者的天然對立。但是，高新技術企業人力資本所有者和物質資本所有者的合作性質和新型委托關系，決定了企業所有權主體是多元的，企業的目標既是物質資本所有者（股東）利益的最大化，也是人力資本所有者利益的最大化，這有效地實現了兩者利益目標取向的一致性，使兩者的對立關系轉變為有效合作關系。

二、高新技術企業產權結構特征

1.高新技術企業產權多元化

與傳統企業相比，高新技術企業的產權結構是多元化的，由兩種主要的產權形式構成，即物質資本產權和人力資本產權。前者的人格化代表是風險資本投資者，其投資主體也是多元化的，主要包括三者：一是政府，如美國政府建立了中小企業投資公司，為每一美元風險投資提供四美元的低息貸款；二是資本市場上的各種金融中介機構，如證券公司、投資銀行、保險公司和各種基金組織等，由這些組織組成的各種形式的風險投資基金；三是風險投資公司，它通常是由一些大公司設立的。后者的人格化代表是擁有管理能力和技術創新能力的創業者（企業家）和核心技術人員。高新技術企業的高風險性，對其創業者提出了很高的要求，要求他不僅要有全面的專業知識、豐富的市場經驗，而且要有處險不驚、果敢剛毅的人格魅力。在一定意義上可以說，創業者決定著風險企業是成功還是失敗。因此，創業者作為企業創始人以及他的知識和經驗作為企業專用的資產，其往往擁有較多的股權。同時，技術創新對高新技術企業的決定性意義遠勝于一般企業，技術的復雜性和不確定性決定了技術的定價非常困難，甚至無法定價，而且技術創新過程是一種創造性的智力活動，對技術創新人員的工作過程和結果進行監督并不能導致效率最大化，因此高新技術企業不是采用傳統企業中將技術人員置于被雇用者地位的做法，而是將核心技術以股權等形式進入企業的產權結構安排中。

由物質資本產權和人力資本產權為主體構成的風險資本投資者、創業者和核心技術人員，一開始就進入高新技術企業的產權結構中。這種產權結構既強調物質資本產權的實現，也強調人力資本產權的實現，對兩種產權的權利、責任和利益進行了明確界定：對風險資本產權而言，風險資本所占股份為多少，風險資本退出的周期多長以及如何實現成功退出，風險資本如何進行風險控制管理，等等；對人力資本產權而言，技術創新的周期多長，技術創新成果的市場經濟價值多大，值多少股份，創業者在創業過程中的權利、責任與利益如何安排，等等。高新技術企業產權多元化，既激勵約束了風險資本投資者，也激勵約束了人力資本所有者，體現了高科技時代企業增長和經濟發展的創新模式。物質資本產權和人力資本產權的結合構成了高新技術企業產權的全部內涵。

2.人力資本產權的獨立性、股份化和可交易性

在傳統企業里，人力資本所有者雖然參與了企業的剩余索取權和控制權，但這種權利并不是以所有者的身份獲得的，而是物質資本所有者對人力資本所有者的獎勵或激勵，因此，在企業產權結構中，兩種產權是不對等的，物質資本產權統治和支配著人力資本產權，人力資本產權從屬于物質資本產權，人力資本剩余索取權僅僅表現為一定量的利潤分享，并沒有股份化和市場化，由此人力資本產權不能在資本市場進行交易。在高新技術企業里，由于人力資本所有者是企業的合作者之一，因而人力資本產權是以所有者身份獲取的，是一種獨立的、與物質資本產權對等的產權形式。

高新技術企業人力資本產權的另一個重要特征是人力資本產權的股份化和可交易性。人力資本產權部分是以創業者身份和技術創新成果獲得的股份，部分是以企業家人力資本和技術型人力資本獲得的股票期權。隨著高新技術企業成長到一定階段，它已積累了一定資產，并向有限公司轉變，這不僅為人力資本轉化為貨幣資本提供了條件，而且為人力資本所有者從對企業承擔無限責任向承擔有限責任轉變提供了條件。在高新技術企業公開招股上市，完成由封閉公司向公眾公司轉變時，人力資本產權的最終實現是產權的股份化，人力資本所有者本身就成為企業股份的所有者，真正成為擁有剩余索取權和剩余控制權的股東，人力資本所有者的人力資本徹底向貨幣資本轉化，并可在資本市場進行交易。因此，在高新技術企業發展過程中，逐步實現人力資本產權資本化、股份化，并可以在資本市場交易和變現，這既能促進人力資本產權價值的真正實現，又對高新技術企業發展和產權結構調整具有重要意義。

3.高新技術企業產權高度流動性

高新技術企業流動性快，增長性也快，面臨很大的不確定性，風險資本投資者投資于高新技術企業的目的是為了獲得高額回報，為了控制和避免風險，獲取高額收益，無論是風險資本投資者還是創業者，都要求高新技術企業的產權具有高流動性，都要求產權能迅速變現。首先，高新技術企業能根據企業發展階段和經營狀況調整企業的產權結構。在高新技術企業創立初期，創業者和風險資本投資者根據出資量和估算的技術成果市場價值來確定雙方的股權結構，但創業者一般持有普通股，風險資本投資者持有可轉換優先股或可換股債券等復合金融工具?？赊D換優先股的優勢：一是轉換價格和轉股比例可以依據企業發展狀況而靈活變化；二是具有優先清償權；三是附加有股息率和支付條款。這種優勢可以保證風險資本投資者在企業發展的不同階段選取對自己最有利的股權方式。因此，創業者收益與企業經營業績緊密聯系，企業業績越好，創業者可獲得更多的股票份額和更高的股票價值；當企業經營不善時，風險資本投資者的優先股轉股比例提高，創業者持股比例下降，而且在支付優先股利息之后，普通股已經大大貶值了。這種產權結構流動既激勵約束了創業者，也保護了風險資本投資者的產權利益。

其次，高新技術企業發展到成熟階段，風險資本投資者能適時將手中的高新技術企業產權轉讓變現，通過產權流動實現風險資本和人力資本產權回報。高新技術企業產權流動的主要形式有：一是技術轉讓，即通過將新研發的技術賣出，收回風險資本投資本金并實現技術創新者的人力資本價值。二是經營運作，一方面通過產品的持續銷售獲得利潤，逐步收回投資本金；另一方面通過確認人力資本的股權和持續的利潤分配，實現各類人力資本產權的價值。三是資產轉讓，即將企業資產連同新技術一并賣出，收回風險資本投資本金并同時實現各類核心人員的價值。四是股權轉讓，即將一部分或全部股權轉讓給其他投資者，從而收回風險資本投資本金和實現人力資本產權價值。五是公司上市，即通過公司股份在證券交易場所上市流通，賣出股份，收回投資本金和實現人力資本產權價值。這五種產權流動形式雖各有優勢和不足，但從功能從較角度來看，“公司上市”最為重要。通過提供多元化的風險資本退出渠道和建立多層次的資本市場體系促進產權流動，風險資本投資者和人力資本所有者獲得產權回報，也使企業獲得進一步發展。美國通過紐約證券交易所、NASDAQ全國市場及小型市場、各類場外交易市場等多層次資本市場，為風險資本提供良好的退出通道，同時為其他投資主體進入高新技術企業產權結構中提供了通道，這就保證高新技術企業產權能迅速、順暢地流動，從而確保了風險資本和人力資本產權的實現，也保證了高新技術企業持續穩定發展。

4.高新技術企業創業階段一般采取有限合伙制的產權制度安排

有限合伙制在產權結構上具有以下特征：

(1)人力資本產權的無限責任與風險資本產權的有限責任統一。高新技術企業創業階段由有限合伙人和普通合伙人組成，有限合伙人是風險資本投資者，其投資量一般占總投資的99%，并以其所投資本承擔有限責任，企業成功后可分得75～85%的資本利潤；普通合伙人是風險資本家和創業者，他們是企業的管理者和決策層，其投資量僅為總投資的1%，但對企業的經營承擔連帶無限責任，成功后可分得15～25%的利潤。人力資本產權的無限責任將人力資本與企業發展緊密地聯系在一起，既是一種股份激勵制度，也是一種企業治理的約束制度，風險資本產權的有限責任有利于吸納高新技術企業所需的資金，因此人力資本產權的無限責任和風險資本產權的有限責任的產權制度安排，促進了高新技術企業的技術創新和科技成果轉化，充分實現了兩種資本的高效配置。

(2)有限期限的封閉式風險資本和強制分配條款。風險資本投資的主要功能在于向高新技術企業提供長期融資，由于高新技術企業還未上市，因此風險資本投資一般采用封閉式，有限合伙人一般不能撤資，風險資本流動性較差，且投資周期有限，通常為7～10年。為了保護有限合伙人的利益，產權契約規定投資期滿后，除非2/3的有限合伙人同意延長一年，否則風險資本家和創業者必須退還本金和分配收益。

(3)有限合伙人雖沒有管理權，但在關鍵問題上有投票的權利，如有限合伙協議的修訂，合伙關系的提前解除，基金壽命的延長，風險資本家的撤換等。

三、新技術企業治理結構特征

1.強化人力資本治理結構

傳統的公司理論是以“股東資本本位”理論構建的，公司被理解為是一個由物質資本所有者組織起來的聯合體，在股東的資本和管理者、生產者的勞動這兩個生產要素中，為公司提供物質資本的“資本家”對企業擁有絕對的所有權，管理者或生產者只是股東資本的雇傭者。因此，公司治理結構所要解決的問題是，在公司所有權與經營權分離的條件下，如何確保物質資本所有者獲得投資回報，即物質資本所有者通過什么機制迫使經營者將公司的利潤作為投資回報返還給自己；如何約束經營者的行為并使其在物質資本所有者的利益范圍內從事經營活動。但是，在知識經濟的模式下，一方面，高新技術企業核心價值掌握在人力資本所有者手里，人力資本已經成為企業生存和發展的決定性生產要素；另一方面，高新技術企業的生產、經營活動已經高度專業化，分工也越來越細。生產者、經營者對專有知識、專有信息獨占性越來越強，與物質資本所有者的“信息不對稱”現象也越來越嚴重，并且也越來越不可逾越。在這種情況下，傳統的企業制度和治理結構形式顯然無法容納人力資本的作用，為了解決上述問題，適應高新技術企業發展的需要，高新技術企業公司治理結構的重心產生了重大變化，發生了從“以資為本”向“以人為本”的轉變。即企業已從過去那種以物質資本為基礎，以物質資本的所有者和經營者的關系如何界定為中心的治理結構。轉向了以物質資本和人力資本為基礎，以這兩種資本的權利關系如何界定為中心的治理結構，企業治理結構主要圍繞如何激勵以調動人力資本的積極性和如何適當約束人力資本的短期行為，激勵機制可以保證人力資本應有的地位及利益，而約束機制則可以防止人力資本侵犯物質資本的利益，從而維護物質資本的地位及利益，通過建立激勵與約束兼容的機制來實現兩種資本雙贏。因此，高新技術企業的人力資本成為企業治理結構安排的重要要素，強化人力資本治理結構成為知識經濟條件下高新技術企業最典型的企業治理結構形態。

高新技術企業人力資本治理結構主要表現為：首先，人力資本股權激勵成為高新技術企業治理機制的重要組成部分。為了激勵人力資本，高新技術企業在股權安排方面往往通過股權激勵制度安排使人力資本所有者擁有股權。股權激勵采取的形式一般有兩種，一種是將企業的一部分股權作為人力資本所有者的非現金收入或直接發放給他們作為管理股和技術股，人力資本所有者直接成為企業所有者；另一種是實行人力資本所有者股票期權，股票期權是規定人力資本所有者在某一段時期內按照某一約定的較低價格買進股票的權利，其實質是讓經營者能夠分享企業長期發展之后的價值增值，將人力資本所有者的收益與企業的利益緊密結合在一起。這種內在的聯系使得經營者克服了決策和規劃的短期效應，在公司的經營管理和發展戰略問題上考慮的是企業的長期贏利能力。在高新技術企業治理中，一方面，股權激勵使人力資本成為企業的所有者之一，增大了人力資本所有者經濟實力，增強了人力資本所有者對企業的控制能力，從而強化了人力資本在企業治理結構中的作用；另一方面，股權激勵使人力資本既分享企業增長所帶來的收益，也承擔企業風險所帶來的損失，從而人力資本與企業的發展休戚相關，同時，人力資本所有者與物質資本所有者形成利益共同體，雙方共同分擔風險，相互制約，相互促進，降低了成本。

其次，董事會作用的弱化和首席執行官(CEO)制度的形成。CEO擁有遠遠大于以往總經理的權利，不僅正常的經營管理，而且在公司戰略、重大投資、財務安排等方面擁有很大權力，還具有提名內部董事的資格，因此一般認為CEO擁有相當于50～60%的董事長權力。董事會的決策作用和監督作用都開始弱化，董事會的權力只局限于挑選一位合格CEO，當公司戰略出現重大失誤或者業績出現嚴重問題時選擇新的CEO代替前任。與此相對應的是，為保證權力巨大的CEO不濫用權力，CEO常常以管理層收購或者購買期權的形式擁有相當數量的企業股權，不再是單純的公司雇員。CEO制度的產生實際上表明了高新技術企業治理結構的全面調整，一方面對人力資本和物質資本的地位和權利做重新的界定，主要是提高了人力資本在企業中的地位，增大了人力資本在企業中的權利，而物質資本的權利大多表現在產權的利益回報上，而不是其他方面，不再強調物質資本對企業的控制；另一方面對人力資本和物質資本進行功能性分工，經營活動已由CEO來獨立進行，董事長不再進行重大經營決策。

最后，高新技術企業風險投資制度的發展更強化了人力資本治理。雖然風險資本投資者持有公司相當一部分股權，甚至持有大部分股權，但風險投資的持股期限是有限的，對經營管理的介入也是有限的，這使得風險資本具有某種“借貸資本”的性質，較多注重收益而較少注重管理。

2.風險資本的相機治理

風險資本在高新技術企業中一般采取相機治理的方式參與企業治理。風險資本在高新技術企業投資過程中，通常采用的投資工具有可轉換優先股、可轉換債券和附購股權債券等。其中可轉換優先股是最普遍的一種形式，其優勢在于：其一，持有優先股可優先獲得固定的股息，并可以在企業經營狀況良好時通過轉換為普通股而分享企業利潤增長的利益；其二，可轉換優先股一般附有贖回條款，在投資者對企業前景信心不足時，持有人可要求企業贖回股票，從而避免更大的損失，同時也對企業創業者形成更大的壓力和約束；其三，可轉換優先股通過轉換為普通股可加強持有人對企業的監督控制。一般企業的優先股意味著優先分配利潤和沒有表決權，放棄對企業重大決策的參與。而在高新技術企業里風險資本投資者在投入風險資本時，投資者和創業者雙方要簽訂契約，把大量防范風險、確?；貓蟮臈l款列入契約，風險投資雖持有優先股，卻享有參加董事會并參與重大決策的權利，享有對某些重大事項如企業產權轉讓、出售、上市等的完全否決權或超股權比例的否決權。可轉換債券是持有人能以約定期限和約定價格轉換為企業股份的債券，選擇可轉換債券使風險投資者在取得穩定收益的基礎上，通過債權轉股的方式獲得參與企業經營管理并分享成長潛力的機會。附購股權債券是指風險資本以債權形式進入高新技術企業時可獲得一項認股權，即能夠在未來按某一特定價格買進既定數量的股票，這使得投資者未來可能以較低價格獲得企業股份，從而加強對企業的監控地位。

3.以高度發達的人力資本市場和資本市場為主導的外部治理機制

人力資本需要經過市場的洗禮，需要在企業經營中證實與不斷證實，如果人力資本所有者的經營績效不好，就會失去在人力資本市場中的“聲譽”，很難再有機會成為風險資本投資者搜尋的對象。因此，人力資本市場實際上是滿足市場基本門檻、對學歷、背景、業績與失誤詳細記載的動態人群，通過這個市場，作為一種資本的人力資本能不斷流動，把真正具有價值的人力資本留下來，這對企業中的人力資本形成強大外部壓力，從而對人力資本起到了重要的約束作用。管理者更替是美國高新技術企業治理的重要組成部分，這依賴于高度發達的人力資本市場。在美國高新技術企業中大多實行駐守企業家制度，即風險資本投資者通過人力資本市場物色有成功創業經歷的優秀企業家，讓他們在風險基金中任職，參與組建高新技術企業，在必要時擔任新組建的高新技術企業的管理者。

資本市場主要通過兩個方面對企業治理產生作用。一是價格機制。企業股票在資本市場的價格反映了企業管理者的經營管理水平，物質資本投資者通過對企業市場價格的觀察和預期，來評價管理者的經營管理水平，降低了監督成本；同時，根據評價結果物質資本所有者可以采取更換管理者、出售股票、尋找合作伙伴以及引進新的投資者和管理者等行為，這些行為將給管理者帶來巨大壓力，迫使其盡職盡責提高企業經營業績。二是退出機制。風險資本投資高新技術企業的目的并不是永久地擁有企業，而是希望通過投資運營，達到資本增值，然后以某種退出方式實現投資回收。風險資本投資的這個特點，隱含了一個創業者通過首次公開發行重新由風險資本投資者手中獲得企業控制權的期權，即在風險資本投資者和創業者之間簽訂的持股契約中，允許企業者在達到某種業績標的時（一般是首次公開發行），可以增加創業者股份份額（通常是普通股）和重新獲得控制權，這給予創業者很大的激勵。因此，發達的資本市場在為風險資本提供順利的退出渠道時，也同時實現了高新技術企業控制權的重新分配，從而優化了企業治理結構。

【參考文獻】