企業(yè)信息安全治理精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術(shù)，我們?yōu)槟鷾蕚淞瞬煌L(fēng)格的5篇企業(yè)信息安全治理，期待它們能激發(fā)您的靈感。

篇1

【 關(guān)鍵詞 】 信息安全；安全治理；框架；風(fēng)險管理

1 引言

隨著企業(yè)的信息化建設(shè)，企業(yè)信息系統(tǒng)在縱、橫向的耦合程度日益加深，系統(tǒng)間的聯(lián)系也日益緊密，因此企業(yè)的信息安全影響著企業(yè)信息系統(tǒng)的安全、持續(xù)、可靠和穩(wěn)定運行。此外，美國明尼蘇達大學(xué)Bush-Kugel的研究報告指出企業(yè)在沒有信息資料可用的情況下，金融業(yè)至多只能運作2天，商業(yè)則為3天，工業(yè)則為5天。而從經(jīng)濟情況來看，25%的企業(yè)由于數(shù)據(jù)損毀可能隨即破產(chǎn)，40%會在兩年內(nèi)破產(chǎn)，而僅有7%不到的企業(yè)在5年后繼續(xù)存活。伴隨著監(jiān)管機構(gòu)對信息安全日趨嚴格的要求，企業(yè)對信息安全的關(guān)注逐漸提高，并對信息安全投入的資源不斷增加，從而使得信息安全越來越為公司高級管理層所關(guān)注。

2 信息安全問題

目前企業(yè)信息安全問題主要包括幾個方面。

（1）信息質(zhì)量底下：無用信息、有害信息或劣質(zhì)信息滲透到企業(yè)信息資源中， 對信息資源的收集、開發(fā)和利用造成干擾。

（2）信息泄漏：網(wǎng)絡(luò)信息泄漏和操作泄漏是目前企業(yè)普遍存在的信息安全困擾。網(wǎng)絡(luò)信息泄漏是信息在獲取、存儲、使用或傳播的時候被其他人非法取得的過程。而操作泄漏則是由于不正當操作或者未經(jīng)授權(quán)的訪問、蓄意攻擊等行為，從而使企業(yè)信息泄漏。

（3）信息破壞：指內(nèi)部員工或者外部人員制造和傳播惡意程序， 破壞計算機內(nèi)所存儲的信息和程序， 甚至破壞計算機硬件。

（4）信息侵權(quán)：指對信息產(chǎn)權(quán)的侵犯。現(xiàn)代信息技術(shù)的發(fā)展和應(yīng)用， 導(dǎo)致了信息載體的變化、信息內(nèi)容的擴展、信息傳遞方式的增加， 一方面實現(xiàn)了信息的全球共享， 但同時也帶來了知識產(chǎn)權(quán)難以解決的糾紛。

3 信息安全治理的困惑

基于信息安全的重要性，企業(yè)在信息安全治理方面投入了諸多資源，但是在信息安全治理成效方面仍不盡如人意，主要問題在于幾個方面。

（1）信息安全治理的范圍不明確：目前企業(yè)都在盡力實現(xiàn)良好的信息安全治理，但是由于無法正確理解信息安全治理和信息安全管理的區(qū)別，導(dǎo)致了信息安全治理無法與企業(yè)的安全規(guī)劃和企業(yè)戰(zhàn)略形成一致性。表1從工作內(nèi)容、執(zhí)行主體和技術(shù)深度三個層面分析了兩者的區(qū)別。

從表1中可以明確：信息安全治理是為組織機構(gòu)的信息安全定義一個戰(zhàn)略性的框架，指明了具體安全管理工作的目標和權(quán)責(zé)范圍，使信息系統(tǒng)安全專業(yè)人員能夠準確地按照企業(yè)高層管理人員的要求開展工作。

（2）企業(yè)信息安全治理路徑的錯誤理解：企業(yè)在信息安全治理的過程中，最常用的手法是采用信息安全的技術(shù)措施，如使用加密和防偽技術(shù)、認證技術(shù)、防病毒技術(shù)、防火墻技術(shù)等方式來進行，但是往往企業(yè)投入很多，卻沒有達到預(yù)想的效果，問題在于，信息安全治理并不單單是技術(shù)問題，信息安全治理也包含了安全戰(zhàn)略、風(fēng)險管理、績效評估、層級報告以及職責(zé)明確等方面。

4 信息安全治理關(guān)注的領(lǐng)域

（1）戰(zhàn)略一致性：信息安全治理需與企業(yè)的發(fā)展戰(zhàn)略和業(yè)務(wù)戰(zhàn)略相一致，建立相互協(xié)作的解決方案。

（2）價值交付：衡量信息安全治理價值交付的基準是信息安全戰(zhàn)略能否按時、按質(zhì)并在預(yù)算內(nèi)實現(xiàn)預(yù)期的價值目標。因此需要設(shè)計明確的價值目標，對信息安全治理的交付價值進行評估。

（3）資源管理：實現(xiàn)對支持信息運行的關(guān)鍵資源進行最優(yōu)化投資和最佳管理。

（4）風(fēng)險管理：企業(yè)管理層應(yīng)具備足夠的風(fēng)險意識，明確企業(yè)風(fēng)險容忍度，制定風(fēng)險管理策略，將風(fēng)險管理融入到企業(yè)的日常運營中。

（5）績效度量：利用科學(xué)的管理方法，將信息安全治理轉(zhuǎn)換為可評價的目標的行動，便于對信息安全各項工作的績效進行有效管理。

5 信息安全治理框架

通過良好的信息安全治理， 可以保護企業(yè)的信息資產(chǎn)，避免遭受各種威脅，降低對企業(yè)之傷害，確保企業(yè)的永續(xù)經(jīng)營，以及提升企業(yè)投資回報率及競爭優(yōu)勢。

通過長期的實踐經(jīng)驗以及結(jié)合COBIT標準和GB/T 22080-2008，總結(jié)出信息安全治理的框架主要由四部分組成，如圖1所示。

（1）信息安全戰(zhàn)略：結(jié)合企業(yè)的整體信息技術(shù)戰(zhàn)略規(guī)劃和信息安全治理現(xiàn)狀，制定信息安全戰(zhàn)略。

（2）信息安全組織架構(gòu)：根據(jù)企業(yè)層面在決策、管理和執(zhí)行機制對組織結(jié)構(gòu)的要求，建立信息安全治理框架和決策溝通機制，明確公司各級管理層及相關(guān)部門在信息安全組織架構(gòu)中的工作職責(zé)與角色定位。

（3）信息安全職責(zé)：根據(jù)公司信息安全組織架構(gòu)，進一步明確信息安全相關(guān)崗位的工作職責(zé)、分工界面和匯報路徑等。

（4）信息安全管理制度：信息安全管理制度通過建立一個層次化的制度體系，針對不同的需求方（管理者、執(zhí)行者、檢查者等）從政策、制度、流程、規(guī)范和記錄等方面進行信息安全活動相關(guān)的規(guī)定，實現(xiàn)信息安全的功能和管理目標。

6 信息安全治理評估

企業(yè)信息安全治理評估有助于提高信息安全治理投資的效益和效果。企業(yè)的最高管理層和管理執(zhí)行層可以使用信息安全治理成熟度模型建立企業(yè)的安全治理級別。該模型，如表2所示，被應(yīng)用為幾個方面。

（1）在市場環(huán)境中，相對于國際信息安全治理標準、行業(yè)最佳實踐，以及直接競爭對手，了解企業(yè)在信息安全治理上的級別。

（2）進行差距分析，為改進措施提供明確的路徑。

（3）了解企業(yè)的競爭優(yōu)勢和劣勢。

（4）有利于對信息安全治理進行績效評估。

7 結(jié)束語

本文從企業(yè)信息安全治理的實踐出發(fā)，概述了目前企業(yè)信息安全治理存在的問題和困惑，總結(jié)了企業(yè)實現(xiàn)有效的信息治理的關(guān)注領(lǐng)域和實施內(nèi)容，為企業(yè)建立良好的信息安全治理提供了基本框架。

參考文獻

[1] 馬峰輝，劉壽強.企業(yè)信息安全治理的經(jīng)濟性探析.計算機安全，2003：70-71.

[2] 婁策群，范昊，王菲.現(xiàn)代信息技術(shù)環(huán)境中的信息安全問題及其對策.中國圖書館學(xué)報，2000（11）：33-37.

[3] 劉金鎖，李筱煒，楊維永.企業(yè)實現(xiàn)有效的信息安全治理之路.中國管理信息化，2012（11）：37-39.

[4] 黃華軍，錢亮，王耀鈞.基于異常特征的釣魚網(wǎng)站URL檢測技術(shù)[J].信息網(wǎng)絡(luò)安全，2012，（01）：23-25.

[5] 黃世中.GF（2m）域SM2算法的實現(xiàn)與優(yōu)化[J].信息網(wǎng)絡(luò)安全，2012，（01）：36-39.

篇2

給企業(yè)帶來不同程度的損失。因此，如何提高企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全管理水平，是擺在企業(yè)管理和計算機管理人員的重要課題。本文分析了網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全問題及其出現(xiàn)的原因，并提出了綜合治理的措施。

【關(guān)鍵詞】網(wǎng)絡(luò)環(huán)境；企業(yè)信息安全；綜合治理

一、網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全問題

網(wǎng)絡(luò)環(huán)境下企業(yè)的信息安全是一個系統(tǒng)概念，分為網(wǎng)絡(luò)安全和信息安全兩個層面。網(wǎng)絡(luò)安全的定義是：確保以電磁信號為主要形式的，在計算機網(wǎng)絡(luò)系統(tǒng)中進行獲取、處理、存儲、傳輸和利用的信息內(nèi)容，在各個物理位Z、邏輯區(qū)域、存儲和傳輸介質(zhì)中，處于動態(tài)和靜態(tài)過程中的機密性、完整性、可用性、可審查性和可抗抵賴性的與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)和管理規(guī)程的有機集合；信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常的運行，信息服務(wù)不中斷。網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全問題主要有：

（一）數(shù)據(jù)竊聽和攔截

數(shù)據(jù)“竊聽”和攔截是指直接或間接截獲網(wǎng)絡(luò)上的特定數(shù)據(jù)包并進行分析來獲取所需信息。在網(wǎng)絡(luò)中，當信息進行傳播時，利用工具將網(wǎng)絡(luò)接口設(shè)Z在監(jiān)聽模式，便可截獲或捕獲到網(wǎng)絡(luò)中正在傳播的信息，從而進行攻擊。因此，一些企業(yè)在與第三方網(wǎng)絡(luò)進行傳輸時，需要采取有效措施來防止重要數(shù)據(jù)被中途截獲，如用戶信用卡號碼等。

（二）數(shù)據(jù)丟失

計算機系統(tǒng)由于系統(tǒng)崩潰、硬件設(shè)備的故障或損壞、網(wǎng)絡(luò)黑客入侵、計算機病毒發(fā)作以及管理員的誤操作等各種原因會導(dǎo)致數(shù)據(jù)出錯、丟失和損害，如果沒有事先對數(shù)據(jù)進行備份，后果不堪設(shè)想。

二、網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全問題的成因

（一）信息系統(tǒng)的安全缺陷

信息系統(tǒng)是計算機技術(shù)和通信技術(shù)的結(jié)合體，計算機系統(tǒng)的安全缺陷和通信鏈路的安全缺陷構(gòu)成了信息系統(tǒng)的潛在安全缺陷。計算機硬件資源易受自然災(zāi)害和人為破壞的影響，軟件資源和數(shù)據(jù)信息易受計算機病毒的侵擾、非授權(quán)用戶的復(fù)制、篡改和毀壞。計算機硬件工作時的電磁輻射以及軟硬件的自然失效、外界電磁干擾等均會影響計算機的正常工作。通信鏈路易受自然災(zāi)害和人為破壞。信息系統(tǒng)的安全缺陷通常包括物理網(wǎng)絡(luò)的安全缺陷、過程網(wǎng)絡(luò)的安全缺陷以及通信鏈路的安全缺陷三種。如網(wǎng)絡(luò)協(xié)議和軟件的安全缺陷，因特網(wǎng)的基石是TCP/IP協(xié)議簇，該協(xié)議簇在實現(xiàn)上力求效率，而沒有考慮安全因素，因為那樣無疑增大代碼量，從而降低了TCP/IP的運行效率，所以說TCP/IP本身在設(shè)計上就是不安全的，很容易被竊聽和欺騙。

（二）惡意攻擊

這主要是指人為威脅，通過攻擊系統(tǒng)暴露出的要害或弱點，使得網(wǎng)絡(luò)信息的保密性、完整性、可靠性、可控性、可用性等受到傷害，造成不可估量的經(jīng)濟和政治損失。人為威脅又分為兩種：一種是以操作失誤為代表的無意威脅（偶然事故）；另一種是以計算機犯罪為代表的有意威脅（惡意攻擊）。惡意攻擊的方式多種多樣，主要有中斷、截獲、篡改、偽造，無論哪種方式，其結(jié)果造成的危害都是很嚴重的。

三、網(wǎng)絡(luò)環(huán)境下企業(yè)信息安全問題的綜合治理

（一）容災(zāi)備份

首先，要解決網(wǎng)絡(luò)的物理安全，網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯誤；設(shè)備被盜、被毀；電磁干擾；線路截獲。以及高可用性的硬件、雙機多冗余的設(shè)計、機房環(huán)境及報警系統(tǒng)、安全意識等。在這個企業(yè)區(qū)局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，只要制定健全的安全管理制度，做好備份，并且加強網(wǎng)絡(luò)設(shè)備和機房的管理，這些風(fēng)險是可以避免的。這個是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。

其次采用容災(zāi)備份技術(shù)。容災(zāi)備份是通過特定的容災(zāi)機制，在各種災(zāi)難損害發(fā)生后，仍然能夠最大限度地保障提供正常應(yīng)用服務(wù)的信息系統(tǒng)。容災(zāi)備份可以分為數(shù)據(jù)備份和應(yīng)用備份。數(shù)據(jù)備份需要保證用戶數(shù)據(jù)的完整性、可靠性和一致性。而對于提供實時服務(wù)的信息系統(tǒng)，用戶的服務(wù)請求在災(zāi)難中可能會中斷，應(yīng)用備份卻能提供不間斷的應(yīng)用服務(wù)，讓客戶的服務(wù)請求能夠繼續(xù)運行，保證信息系統(tǒng)提供的服務(wù)完整、可靠、一致。一個完整的容災(zāi)備份系統(tǒng)包括本地數(shù)據(jù)備份、遠程數(shù)據(jù)復(fù)制和異地備份中心。當然并不是所有的企業(yè)都需要這樣一個系統(tǒng)，只有對不可中斷的關(guān)鍵業(yè)務(wù)才有必要建立容災(zāi)備份中心。

（二）信息保密

1、信息的加密

加密是提高計算機網(wǎng)絡(luò)中信息的保密性、完整性，防止信息被外部破析所采用的主要技術(shù)手段，也是最可靠、最直接的方案。加密算法主要有兩種：私鑰（對稱密鑰）加密法和公鑰（非對稱密鑰）加密法。在計算機網(wǎng)絡(luò)的出入口處設(shè)置用于檢查信息加密情況的保密網(wǎng)關(guān)，對內(nèi)部網(wǎng)內(nèi)出網(wǎng)的電子文件，規(guī)定必須加保密印章標識，并對其進行檢查和處理：無密級的文件，允許出關(guān)。由國家保密局立項研制的內(nèi)部網(wǎng)保密網(wǎng)關(guān)已經(jīng)投入了使用，它能夠為保證計算機網(wǎng)絡(luò)的信息保密起到重要的防范作用。

2、數(shù)據(jù)完整性驗證技術(shù)

數(shù)據(jù)完整性驗證是指在數(shù)據(jù)處理過程中，驗證接收方接收到的數(shù)據(jù)就是發(fā)送方發(fā)送的數(shù)據(jù)，沒有被篡改。

3、網(wǎng)上信息內(nèi)容的保密檢查技術(shù)

為了了解網(wǎng)絡(luò)用戶執(zhí)行保密法規(guī)制度的情況，及時發(fā)現(xiàn)泄密問題，必須加強對網(wǎng)上信息內(nèi)容的保密檢查。

4、身份驗證技術(shù)

為了使網(wǎng)絡(luò)具有是否允許用戶存取數(shù)據(jù)的判別能力，避免出現(xiàn)非法傳送、復(fù)制或篡改數(shù)據(jù)等不安全現(xiàn)象，網(wǎng)絡(luò)需要采用的識別技術(shù)。常用的識別方法有口令、唯一標識符、標記識別等。口令是最常用的識別用戶的方法，通常是由計算機系統(tǒng)隨機產(chǎn)生，不易猜測、保密性強，必要時，還可以隨時更改，實行固定或不固定使用有效期制度，進一步提高網(wǎng)絡(luò)使用的安全性；唯一標識符一般用于高度安全的網(wǎng)絡(luò)系統(tǒng)，采用對存取控制和網(wǎng)絡(luò)管理實行精確而唯一的標識用戶的方法，每個用戶的唯一標識符是由網(wǎng)絡(luò)系統(tǒng)在用戶建立時生成的一個數(shù)字，且該數(shù)字在系統(tǒng)周期內(nèi)不會被別的用戶再度使用；標記識別是一種包括一個隨機精確碼卡片（如磁卡等）的識別方式，一個標記是一個口令的物理實現(xiàn)，用它來代替系統(tǒng)打入一個口令。一個用戶必須具有一個卡片，但為了提高安全性，可以用于多個口令的使用。

（四）病毒防治

防病毒軟件必須滿足以下要求：能支持多種平臺，至少是在Windows系列操作系統(tǒng)上都能運行；能提供中心管理工具，對各類服務(wù)器和工作站統(tǒng)一管理和控制；在軟件安裝、病毒代碼升級等方面，可通過服務(wù)器直接進行分發(fā)，盡可能減少客戶端維護工作量；病毒代碼的升級要迅速有效。

在實施過程中，企業(yè)可以以一臺服務(wù)器作為中央控制一級服務(wù)器，實現(xiàn)對網(wǎng)絡(luò)中所有計算機的保護和監(jiān)控，并使用其中有效的管理功能，如：管理員可以向客產(chǎn)端發(fā)送病毒警報、強制對遠程客戶端進行病毒掃描、鎖定遠程客產(chǎn)端等。正常情況下，一級服務(wù)器病毒代碼庫升級后半分鐘內(nèi)，客戶端的病毒代碼庫也進行了同步更新。要做到經(jīng)常對防病毒定義碼進行更新與升級，防止由防病毒軟件產(chǎn)生的漏洞。對于防火墻，除合理布署外，安全策略要從嚴掌握。要盡量關(guān)閉信息系統(tǒng)不使用的端口，以防止入侵者對系統(tǒng)的攻擊。需要注意的是，計算機管理人員要了解應(yīng)用程序所使用的端口，以免造成系統(tǒng)不能正常運行。

參考文獻

篇3

企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源，對于企業(yè)自身來說具有重要意義，企業(yè)需要妥善管理自身企業(yè)的信息。近年來，企業(yè)的各項經(jīng)營活動都逐漸開始通過計算機，網(wǎng)絡(luò)開展，因此，企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革，把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作，同時將企業(yè)信息安全管理與風(fēng)險控制結(jié)合起來，這是一個正確的選擇，能夠幫助企業(yè)實現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風(fēng)險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險控制定義，因此，本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險控制的定義。

企業(yè)的信息安全管理包含十分豐富的內(nèi)容，簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件，保護網(wǎng)絡(luò)存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標，即保證信息數(shù)據(jù)的完整，保證信息數(shù)據(jù)不被泄露，保證信息數(shù)據(jù)能夠正常使用，保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理，首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及，信息傳遞的方式越來越多，常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播，局域網(wǎng)傳播，硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理，其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學(xué)科知識基礎(chǔ)的工作，從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計算機技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講，最為關(guān)鍵的一項工作時保護企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結(jié)，企業(yè)信息安全不僅僅需要信息技術(shù)的支持，更需要通過建立完善的企業(yè)風(fēng)險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標。

所以，怎樣把企業(yè)信息安全管理與風(fēng)險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風(fēng)險控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險體系實現(xiàn)。企業(yè)的信息安全風(fēng)險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前，提前對企業(yè)的信息進行風(fēng)險預(yù)估，并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風(fēng)險，從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險體系建立主要包含以下幾個方面的內(nèi)容。第一，建立企業(yè)信息安全風(fēng)險管理制度，明確企業(yè)信息安全管理的責(zé)任分配機制，明確企業(yè)各個部門對各自信息安全所應(yīng)承擔的責(zé)任，并建立相應(yīng)的問責(zé)機制。第二，設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險管理指標，對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險定級，方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三，企業(yè)要加強對信息安全管理人員的培訓(xùn)，提高企業(yè)信息安全管理工作人員的風(fēng)險意識，讓企業(yè)內(nèi)部從事信息安全管理工作人員認識到自身工作的重要性，讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為，正確履行職責(zé)的重要性。第四，將企業(yè)信息安全管理與風(fēng)險控制有效融合，重視企業(yè)信息安全管理工作，通過風(fēng)險控制對企業(yè)內(nèi)部信息安全的管理方式進行正確評估，找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對于企業(yè)來說，企業(yè)信息安全管理工作是一項極為重要而隱秘的工作，因此，必須增強對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計，目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上，對企業(yè)信息安全管理工作人員的道德素養(yǎng)，職業(yè)素養(yǎng)，風(fēng)險意識并沒有嚴格要求。此外，絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn)，并沒有通過建立相關(guān)管理制度以及問責(zé)機制對企業(yè)信息安全管理工作人員實行監(jiān)督，這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù)，包括信息技術(shù)，計算機技術(shù)，密碼技術(shù)，網(wǎng)絡(luò)應(yīng)用技術(shù)等等，應(yīng)當說成熟的計算機應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ)，但是，現(xiàn)實是許多企業(yè)的信息安全管理技術(shù)并不過關(guān)，一方面企業(yè)的信息安全管理硬件并不過關(guān)，在物理層面對企業(yè)信息缺乏保護，另一方面，企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新，一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗，企業(yè)信息安全管理的知識也并沒有及時更新，從而導(dǎo)致企業(yè)的信息安全管理理論嚴重滯后，這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂，很多服務(wù)器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè)，企業(yè)內(nèi)部設(shè)備數(shù)量比較多，尤其是客戶端數(shù)量占了較大比重，僅僅靠少數(shù)幾個管理員進行管理是難以承擔如此大量的工作量。另外，企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析，許多企業(yè)雖然建立了企業(yè)信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督，企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全，企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一，企業(yè)員工對于信息安全管理的認識嚴重不足，對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新，使用，甚至企業(yè)內(nèi)部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關(guān)，認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二，企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動機制，企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”，企業(yè)信息安全反映的問題并沒有得到積極的反饋，一些企業(yè)領(lǐng)導(dǎo)對企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段

1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu)，它的設(shè)計初衷是面向客戶的，提供給客戶各種安全應(yīng)用，安全應(yīng)用必須依靠安全服務(wù)來實現(xiàn)，而安全服務(wù)又是由各種安全機制來保障的。所以，安全服務(wù)標志著一個安全系統(tǒng)的抗風(fēng)險的能力，安全服務(wù)數(shù)量越多，系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個部分：響應(yīng)、安全策略、檢測、防護。安全策略是信息安全的重點，為安全管理提供管理途徑和保障手段。因此，要想實施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程，必須制定一個企業(yè)的安全模式。在安全策略的指導(dǎo)下實施所有的檢測、防護、響應(yīng)，防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的，比如有防火墻、訪問控制、加密、認證等方法，檢測是動態(tài)響應(yīng)的判斷依據(jù)，同時也是有力落實安全策略的實施工具，通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為，可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素；經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中，應(yīng)急響應(yīng)占有重要的地位，它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者，企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作，企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者，也是企業(yè)信息安全管理的威脅者。因此，HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外，HTP模式同樣是建立在企業(yè)信心安全體系，信息安全技術(shù)防范的基礎(chǔ)上，HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后，HTP強調(diào)動態(tài)管理，動態(tài)監(jiān)督，對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理，在實際工作中，通過HTP模型的應(yīng)用，找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

（1）充分調(diào)查和分析企業(yè)的安全系統(tǒng)，建立一個全面合理的系統(tǒng)模型，安全系統(tǒng)被劃分成各個子系統(tǒng)，明確實施步驟和功能摸塊，將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合，實現(xiàn)信息安全監(jiān)控的有效性和高效性。

（2）成立一個中央數(shù)據(jù)庫，整合分布式數(shù)據(jù)庫里的數(shù)據(jù)，把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫，實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。

（3）設(shè)計優(yōu)良的人機界面，通過對企業(yè)數(shù)據(jù)信息進行有效的運用，為企業(yè)管理階層人員、各級領(lǐng)導(dǎo)及時提供各種信息，為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持，根本上提高信息數(shù)據(jù)的管理水平。

（4）簡化企業(yè)內(nèi)部的信息傳輸通道，對應(yīng)用程序和數(shù)據(jù)庫進行程序化設(shè)計，加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準確性。

2.設(shè)計企業(yè)信息安全管理風(fēng)險體系

（1）確定信息安全風(fēng)險評估的目標

在企業(yè)信息安全管理風(fēng)險體系的設(shè)計過程中，首要工作是設(shè)計企業(yè)信息安全風(fēng)險評估的目標，只有明確了企業(yè)信息安全管理的目標，明確了企業(yè)信息安全管理的要求和工作能容，才能建立相關(guān)圍繞信息安全風(fēng)險控制為目標的信息安全管理工作制度，才能順利通過對風(fēng)險控制的結(jié)果的定量考核，檢測企業(yè)信息安全管理的風(fēng)險，定性定量地企業(yè)信息安全管理工作進行分析，找準企業(yè)信息安全管理的工作辦法。

（2）確定信息安全風(fēng)險評估的范圍

不同企業(yè)對于風(fēng)險的承受能力是有區(qū)別的，因此，對于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險控制辦法，其中，不同企業(yè)對于能夠承受的信息安全風(fēng)范圍有所不同，企業(yè)的信息安全風(fēng)險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此，企業(yè)的信息安全風(fēng)險評估范圍也應(yīng)當根據(jù)企業(yè)的實際經(jīng)營情況變化采取有針對性的辦法。

篇4

關(guān)鍵詞：企業(yè)運維管理；信息系統(tǒng)；安全風(fēng)險

隨著信息時代的來臨，信息系統(tǒng)和技術(shù)已經(jīng)成為當下各個領(lǐng)域不可或缺以及賴以生存的基礎(chǔ)性建設(shè)。現(xiàn)今信息已經(jīng)成為衡量一個企業(yè)綜合競爭水平的重要標志。但是，信息技術(shù)在不斷支撐著企業(yè)業(yè)務(wù)開展的同時，其在運維方面也會產(chǎn)生相應(yīng)的安全風(fēng)險，主要表現(xiàn)為非法訪問、信息篡改以及信息泄露。這些風(fēng)險就會對企業(yè)的信息安全帶來巨大的隱患。

1信息系統(tǒng)安全風(fēng)險的控制難點

近年來隨著網(wǎng)絡(luò)技術(shù)的不斷更新，企業(yè)也通過各種安全措施加強了信息系統(tǒng)安全風(fēng)險的防護措施，但仍存在兩個難點，首先是信息系統(tǒng)的高風(fēng)險性，由于當下信息系統(tǒng)較為復(fù)雜，且漏洞較多，就會使得系統(tǒng)處于高風(fēng)險性，使得運維人員很難進行控制。其次是當下IP管理以及信息系統(tǒng)的規(guī)模逐漸增加，也就使得攻擊源變得多樣化，運維人員無法進行有效的追蹤，也無法進行有效的防護。

2企業(yè)運維管理中信息系統(tǒng)安全風(fēng)險分析

近年來，信息時代的腳步逐漸加快，信息化的水平也在與日俱增。信息技術(shù)也以其方便、實用等特點廣泛地應(yīng)用在各企業(yè)之間。而為了更好地將信息技術(shù)的最大作用發(fā)揮出來，就需要定期對其維護。但是隨著信息系統(tǒng)的應(yīng)用需求逐漸增加，網(wǎng)絡(luò)規(guī)模的不斷擴大，使得信息系統(tǒng)的結(jié)構(gòu)愈加復(fù)雜，也使得技術(shù)漏洞逐漸增加，這就會對企業(yè)的信息系統(tǒng)帶來安全隱患。在現(xiàn)今運維管理中信息系統(tǒng)的安全風(fēng)險主要包括下述幾個方面。

2.1服務(wù)器終端層面的風(fēng)險

服務(wù)器終端層面的風(fēng)險主要分為下述幾個部分：①信息系統(tǒng)的基本安全保密配置不夠完善，管理不夠成熟，這就使得用戶可以私自更改BIOS的啟動順序，使得安全防護產(chǎn)品的失效，從而進行信息的竊取和篡改；②安全風(fēng)險的報警裝置不夠成熟，不能夠達到預(yù)期的效果，通常會由于安全產(chǎn)品之間的兼容性問題失去應(yīng)用的效用，出現(xiàn)誤報或者漏報的情況。然后就是系統(tǒng)含有漏洞，信息系統(tǒng)最主要的部分就是系統(tǒng)，在當下的企業(yè)中應(yīng)用的操作系統(tǒng)基本上都為Windows系列，而一些停止補丁升級的Windows系統(tǒng)就存在著漏洞，很容易受到侵蝕，進而造成數(shù)據(jù)的丟失。2.2網(wǎng)絡(luò)層面的風(fēng)險在網(wǎng)絡(luò)層面安全風(fēng)險主要為網(wǎng)絡(luò)設(shè)備的安全配置不當，通常會開啟多余的服務(wù)或者端口，這就存在了被非法訪問的隱患。同時在訪問控制方面不能對接入進行有效的控制，會造成設(shè)備非法接入的風(fēng)險。另外，企業(yè)通常不會對用戶進行分層、分級，這就會導(dǎo)致網(wǎng)絡(luò)拓撲混亂，使得企業(yè)重要的信息資源存在被非法授權(quán)訪問的安全隱患。

2.3硬件層面的風(fēng)險

現(xiàn)今，企業(yè)都擁有大量的硬件，且都是采用的國外進口。企業(yè)根本無法知曉底層硬件的工作機制，其是否含有隱藏通道等。例如惠普的某型號服務(wù)器已經(jīng)被證實存在后門，這些設(shè)備的運維都需要專業(yè)的工作人員進行，這也就會使得維修過程容易發(fā)生信息篡改或者信息竊取的風(fēng)險。2.4應(yīng)用層面的風(fēng)險應(yīng)用層面的風(fēng)險主要就是身份認證的管理不夠完善。管理員的口令較弱、用戶名和密碼過于簡單等都會被攻擊者利用。甚至在當下一些企業(yè)還有用戶名公用、濫用的現(xiàn)象，這就更給攻擊者提供了良好的機會，攻擊者可以通過這些漏洞進行水平提權(quán)，進而對信息進行竊取，甚至其可以獲取管理者的權(quán)限，對系統(tǒng)進行控制，這就會給企業(yè)造成巨大的經(jīng)濟損失。

2.5安全審計層面的風(fēng)險

在當下的信息系統(tǒng)風(fēng)險管理都會部署一些安全監(jiān)測產(chǎn)品，例如防火墻、殺毒軟件等。這些產(chǎn)品只能針對某類安全問題有效，這就使得信息系統(tǒng)的審計工作變得松散，不能形成完整的體系。而且由于系統(tǒng)的兼容性等原因，總會出現(xiàn)誤報、漏報的現(xiàn)象，這就會對審計的作用帶來巨大的影響，使其無法發(fā)揮其應(yīng)有的效用。另外，企業(yè)雖然相應(yīng)的部署了安全管理平臺進行日志的收集，但在當下的信息系統(tǒng)中智能分析能力較弱，不能夠?qū)θ诌M行有效的監(jiān)控，也就沒有辦法實現(xiàn)綜合監(jiān)控和安全風(fēng)險的態(tài)勢分析。

3企業(yè)運維管理中信息系統(tǒng)安全風(fēng)險的控制策略

通過對上述安全風(fēng)險的問題進行有效的分析，基于信息的特點，本文提出了下述信息系統(tǒng)安全風(fēng)險的控制策略。

3.1加強信息系統(tǒng)數(shù)據(jù)資源的安全風(fēng)險控制

數(shù)據(jù)資源的風(fēng)險控制主要從三個方面進行：①存儲安全，可以采用先進的加密技術(shù)對信息數(shù)據(jù)庫進行加密處理，從數(shù)據(jù)資產(chǎn)產(chǎn)生的源頭進行安全防護體系的構(gòu)建；②標識安全，通過標識技術(shù)對信息進行去區(qū)分標注，經(jīng)過審計后，讓標識與信息系統(tǒng)密不可分，這樣就不會出現(xiàn)信息篡改的問題；③訪問安全，可以采用強制訪問控制的方式，對訪問主體進行限制。例如，某些數(shù)據(jù)非管理員權(quán)限僅能讀取，不能夠打印或者重新編輯，而一些重要信息限制再無權(quán)觀看。

3.2加強信息系統(tǒng)的信息安全風(fēng)險控制

信息安全主要就是對應(yīng)用安全進行控制，通過對系統(tǒng)的需求進行有效的分析，設(shè)計開發(fā)指導(dǎo)驗收運維過程中進行安全保障。同時還要定期對系統(tǒng)進行滲透測試，如果企業(yè)的技術(shù)較為先進，還可以通過源代碼進行安全風(fēng)險分析，仔細地對漏洞進行查找，如果發(fā)現(xiàn)及時進行修復(fù)，長此以往就會不斷提高系統(tǒng)的整體安全性。另外還要將運維過程中出現(xiàn)的問題進行整體分析，這樣就能夠形成較為完善的風(fēng)險控制規(guī)范，為后續(xù)的系統(tǒng)安全提供可行性較高的參考數(shù)據(jù)。

3.3構(gòu)建運維風(fēng)險控制平臺

針對認證管理和孤島等問題，就可以億堡壘機為中間體進行控制平臺的構(gòu)建，形成對企業(yè)信息系統(tǒng)全面的安全監(jiān)控。通過安全防護產(chǎn)品的報警日志和應(yīng)用系統(tǒng)的審計日志，構(gòu)建威脅事件的審計模型，構(gòu)建完善的綜合安全事件分析統(tǒng)計平臺，這樣才能對風(fēng)險事件進行關(guān)聯(lián)審計分析，最終實現(xiàn)實時報警的效果。

3.4加強信息系統(tǒng)的管理和梳理

要想切實地提高企業(yè)的信息系統(tǒng)運維管理能力，必須要加強信息安全專項檢查，要制定詳細的規(guī)范來明確信息系統(tǒng)日常需要進行的管理操作，還要對日常管理的具體細節(jié)進行定義，這樣才能使信息系統(tǒng)日常管理規(guī)范、明確，繼而使其信息化和制度化。還要閉環(huán)管理信息安全風(fēng)險和運維實踐，防止低層次的信息安全問題發(fā)生。另外還要加強專項檢查整體提高信息系統(tǒng)的安全運維能力。同時還要對信息資源進行有效的分類整理，要構(gòu)建完善的應(yīng)急備災(zāi)能力，還要定期對應(yīng)急備災(zāi)的能力進行檢測，例如可以臨時構(gòu)建信息丟失的問題，看其恢復(fù)能力，只有這樣才能有效地保障備份能夠及時地恢復(fù)。

3.5構(gòu)建完善的信息風(fēng)險防護體系

正與邪、矛與盾、攻與防，永遠都是相對存在的。在信息系統(tǒng)風(fēng)險控制上也是一樣的，要想預(yù)防攻擊者的非法入侵，就必須要建立完善的信息風(fēng)險防護體系。所以，企業(yè)要培養(yǎng)構(gòu)建一支團隊，讓其不斷進行學(xué)習(xí)，掌握攻擊的技術(shù)，然后讓其對企業(yè)的防護系統(tǒng)進行破壞，進而完善，只有不斷地從攻擊者的角度去思考，才能夠構(gòu)建完善的防護體系，只有不斷進行攻防，才能夠更好地提升信息風(fēng)險防護體系，讓其更好地保護信息系統(tǒng)，防止信息竊取和篡改的問題出現(xiàn)。

4結(jié)語

綜上所述，雖然當下企業(yè)對信息安全風(fēng)險的防護工作不斷重視，也構(gòu)建了許多防護的措施，具備了一些防護能力，但由于信息技術(shù)的不斷發(fā)展，使漏洞變得更加隱蔽。所以，企業(yè)要想穩(wěn)定發(fā)展，必須要采取措施對信息系統(tǒng)安全風(fēng)險進行運維控制，只有這樣才能有效的保障企業(yè)的經(jīng)濟利益，為企業(yè)的發(fā)展做出有力的支撐。

作者:徐美霞 單位:廣東電網(wǎng)有限責(zé)任陽江供電局

參考文獻：

[1]上官琳琳.企業(yè)信息系統(tǒng)的管理與運維研究[J].管理觀察,2014(18):100-101+104.

[2]何芬.企業(yè)運維管理中信息系統(tǒng)安全風(fēng)險控制探究[J].信息技術(shù)與信息化,2014(5):208-210+212.

[3]石磊,王剛.關(guān)于企業(yè)信息安全風(fēng)險管理系統(tǒng)的研究[J].華北電力技術(shù),2013(9):65-70.

篇5

一、人力資本與物質(zhì)資本的契約關(guān)系：高新技術(shù)企業(yè)與傳統(tǒng)企業(yè)的比較分析

與傳統(tǒng)企業(yè)相比，高新技術(shù)企業(yè)人力資本與物質(zhì)資本的關(guān)系發(fā)生了深刻變化，主要表現(xiàn)在以下三點：

1.從雇用關(guān)系到合作關(guān)系的轉(zhuǎn)變

傳統(tǒng)企業(yè)的最大特征是生產(chǎn)的資本化，即在企業(yè)的創(chuàng)立和發(fā)展過程中，物質(zhì)資本投入比重非常大并遠遠超過人力資本投入比重；同時，從市場供求關(guān)系看，物質(zhì)資本供應(yīng)相對稀缺，而人力資本（主要是普通勞動力）相對充足。因此，傳統(tǒng)企業(yè)的主人是物質(zhì)資本所有者。人力資本在形式上隸屬于物質(zhì)資本，納入到物質(zhì)資本運動中并服從物質(zhì)資本的需要，支配了物質(zhì)資本也就支配了人力資本，產(chǎn)權(quán)的運作僅是物質(zhì)資本的運動，即資本增值和創(chuàng)造利潤的過程。這樣，企業(yè)的契約關(guān)系表現(xiàn)為物質(zhì)資本所有者雇用人力資本所有者的關(guān)系。即使是在“兩權(quán)分離”的現(xiàn)代企業(yè)里，企業(yè)經(jīng)營管理職責(zé)由人力資本所有者（企業(yè)家或職業(yè)經(jīng)理人）承擔，物質(zhì)資本所有者（股東）投入的股本在公司中轉(zhuǎn)化為公司的法人財產(chǎn)，這種安排仍沒改變股東是企業(yè)的所有者、經(jīng)營者是股東的被雇用者的狀態(tài)，經(jīng)營者僅被視為股東的人，股東通過董事會或股東會“用手投票”行使企業(yè)的控制權(quán)，或通過資本市場“用腳投票”制約管理者。

與傳統(tǒng)企業(yè)相比，高新技術(shù)企業(yè)主要依賴于人力資本，這一重要特點決定了高新技術(shù)企業(yè)的創(chuàng)立主要有兩種方式。第一種方式是既擁有高科技知識和創(chuàng)新成果又具有經(jīng)營管理才能的人力資本所有者，通過自身的內(nèi)部融資自己創(chuàng)立企業(yè)和組織生產(chǎn)經(jīng)營活動，由此人力資本與物質(zhì)資本融為一體；第二種方式是擁有創(chuàng)新知識和技術(shù)成果的人力資本所有者，與提供貨幣資本的物質(zhì)資本所有者共同創(chuàng)立企業(yè)和經(jīng)營管理企業(yè)。由于高新技術(shù)企業(yè)投資具有突出的風(fēng)險性，傳統(tǒng)的債務(wù)融資并不適用于企業(yè)的融資需要，因此高新技術(shù)企業(yè)的物質(zhì)資本主要表現(xiàn)為風(fēng)險資本，風(fēng)險資本的突出特點是股權(quán)資本融資，其最終目的是贏利退出，而非長期控制企業(yè)，一旦創(chuàng)業(yè)成功風(fēng)險投資者將在市場拋售股票以收回資本、獲得巨額利潤，并開始扶持新的高新技術(shù)企業(yè)。因此，高新技術(shù)企業(yè)是人力資本所有者和物質(zhì)資本所有者在共同利益基礎(chǔ)上創(chuàng)立和發(fā)展的，前者提供管理能力、創(chuàng)新知識和技術(shù)成果，后者提供物質(zhì)資本，企業(yè)的契約關(guān)系從一開始就表現(xiàn)為合作關(guān)系，而不是雇用與被雇用關(guān)系。

2.從單一委托關(guān)系到多重委托關(guān)系的轉(zhuǎn)變

企業(yè)是委托人和人之間圍繞風(fēng)險分配所做的一種契約安排，委托權(quán)的本質(zhì)是承擔風(fēng)險，因此成為委托人所需的根本條件是承擔風(fēng)險。在傳統(tǒng)企業(yè)，企業(yè)的風(fēng)險主要表現(xiàn)在物質(zhì)資本的風(fēng)險上，物質(zhì)資本所有者幾乎承擔著企業(yè)的全部風(fēng)險，所以傳統(tǒng)企業(yè)的委托—關(guān)系是以物質(zhì)資本為核心要素構(gòu)建的單一委托關(guān)系，即物質(zhì)所有者是委托人，人力資本所有者是人。但是，在高新技術(shù)企業(yè)里，物質(zhì)資本所有者（即風(fēng)險資本投資者）通常將風(fēng)險資本委托或投資于風(fēng)險投資公司，由風(fēng)險投資公司再投資于高新技術(shù)企業(yè)，由于風(fēng)險投資公司的最大優(yōu)勢是資本經(jīng)營與運作而非企業(yè)管理與運行，因此他們一般擔任董事會建設(shè)者的角色，這樣，風(fēng)險資本投資者不僅不參與高新技術(shù)企業(yè)的創(chuàng)立，而且不參與企業(yè)經(jīng)營管理，而人力資本所有者成為高新技術(shù)企業(yè)創(chuàng)立的主要角色。此時，在現(xiàn)代市場經(jīng)濟條件下，物質(zhì)資本投資者的風(fēng)險日益社會化，風(fēng)險資本不能承擔企業(yè)全部風(fēng)險，而只是對自己的投資承擔風(fēng)險，而人力資本在高新技術(shù)企業(yè)的專用性和團隊化日益提高，一旦退出企業(yè)或企業(yè)失敗，其價值將大大降低，人力資本投資者，特別是創(chuàng)業(yè)企業(yè)家和核心技術(shù)人員也成為高新技術(shù)企業(yè)風(fēng)險的承擔者。顯然，風(fēng)險資本投資者、風(fēng)險投資家、企業(yè)家和技術(shù)創(chuàng)新者形成了風(fēng)險共擔、收益共享的格局，這種格局打破了只有物質(zhì)資本所有者是惟一的委托人，而其他人只能做人的產(chǎn)權(quán)配置態(tài)勢，傳統(tǒng)的單一的委托關(guān)系發(fā)生了質(zhì)的變化，變成多重委托關(guān)系。在這種新型委托關(guān)系中，每一個所有者在憑借對自己擁有的生產(chǎn)要素產(chǎn)權(quán)行使委托人權(quán)利時，也同時是其他生產(chǎn)要素所有者的人，每一個要素所有者都有資格管理他人，同時也接受他人的管理。如擁有技術(shù)創(chuàng)新能力的人力資本所有者在委托風(fēng)險投資者和企業(yè)家人力資本所有者把自己的創(chuàng)新知識、創(chuàng)新技術(shù)和創(chuàng)新設(shè)計商品化、產(chǎn)業(yè)化時，也他們行使技術(shù)創(chuàng)新的職能。這種新型委托關(guān)系為高新技術(shù)企業(yè)產(chǎn)權(quán)關(guān)系和治理結(jié)構(gòu)優(yōu)化、最大限度降低風(fēng)險創(chuàng)造了條件。

3.從天然對立關(guān)系到有效合作關(guān)系的轉(zhuǎn)變

長期以來，傳統(tǒng)企業(yè)的所有權(quán)被認為是物質(zhì)資本的企業(yè)所有權(quán)，在企業(yè)治理結(jié)構(gòu)中只存在一種所有權(quán)，即物質(zhì)資本所有權(quán)，這種所有權(quán)能夠量化、價值化和資本化；相反，人力資本的企業(yè)所有權(quán)表現(xiàn)為非價值化和非資本化，兩種資本的企業(yè)所有權(quán)是非對稱的。同時，傳統(tǒng)企業(yè)的委托關(guān)系特征決定了人的行為目標應(yīng)該與委托人（股東）的目標一致，即企業(yè)的惟一目標是股東利益的最大化。企業(yè)所有權(quán)主體的惟一性和企業(yè)目標的惟一性導(dǎo)致傳統(tǒng)企業(yè)中物質(zhì)資本所有者和人力資本所有者的天然對立。但是，高新技術(shù)企業(yè)人力資本所有者和物質(zhì)資本所有者的合作性質(zhì)和新型委托關(guān)系，決定了企業(yè)所有權(quán)主體是多元的，企業(yè)的目標既是物質(zhì)資本所有者（股東）利益的最大化，也是人力資本所有者利益的最大化，這有效地實現(xiàn)了兩者利益目標取向的一致性，使兩者的對立關(guān)系轉(zhuǎn)變?yōu)橛行Ш献麝P(guān)系。

二、高新技術(shù)企業(yè)產(chǎn)權(quán)結(jié)構(gòu)特征

1.高新技術(shù)企業(yè)產(chǎn)權(quán)多元化

與傳統(tǒng)企業(yè)相比，高新技術(shù)企業(yè)的產(chǎn)權(quán)結(jié)構(gòu)是多元化的，由兩種主要的產(chǎn)權(quán)形式構(gòu)成，即物質(zhì)資本產(chǎn)權(quán)和人力資本產(chǎn)權(quán)。前者的人格化代表是風(fēng)險資本投資者，其投資主體也是多元化的，主要包括三者：一是政府，如美國政府建立了中小企業(yè)投資公司，為每一美元風(fēng)險投資提供四美元的低息貸款；二是資本市場上的各種金融中介機構(gòu)，如證券公司、投資銀行、保險公司和各種基金組織等，由這些組織組成的各種形式的風(fēng)險投資基金；三是風(fēng)險投資公司，它通常是由一些大公司設(shè)立的。后者的人格化代表是擁有管理能力和技術(shù)創(chuàng)新能力的創(chuàng)業(yè)者（企業(yè)家）和核心技術(shù)人員。高新技術(shù)企業(yè)的高風(fēng)險性，對其創(chuàng)業(yè)者提出了很高的要求，要求他不僅要有全面的專業(yè)知識、豐富的市場經(jīng)驗，而且要有處險不驚、果敢剛毅的人格魅力。在一定意義上可以說，創(chuàng)業(yè)者決定著風(fēng)險企業(yè)是成功還是失敗。因此，創(chuàng)業(yè)者作為企業(yè)創(chuàng)始人以及他的知識和經(jīng)驗作為企業(yè)專用的資產(chǎn)，其往往擁有較多的股權(quán)。同時，技術(shù)創(chuàng)新對高新技術(shù)企業(yè)的決定性意義遠勝于一般企業(yè)，技術(shù)的復(fù)雜性和不確定性決定了技術(shù)的定價非常困難，甚至無法定價，而且技術(shù)創(chuàng)新過程是一種創(chuàng)造性的智力活動，對技術(shù)創(chuàng)新人員的工作過程和結(jié)果進行監(jiān)督并不能導(dǎo)致效率最大化，因此高新技術(shù)企業(yè)不是采用傳統(tǒng)企業(yè)中將技術(shù)人員置于被雇用者地位的做法，而是將核心技術(shù)以股權(quán)等形式進入企業(yè)的產(chǎn)權(quán)結(jié)構(gòu)安排中。

由物質(zhì)資本產(chǎn)權(quán)和人力資本產(chǎn)權(quán)為主體構(gòu)成的風(fēng)險資本投資者、創(chuàng)業(yè)者和核心技術(shù)人員，一開始就進入高新技術(shù)企業(yè)的產(chǎn)權(quán)結(jié)構(gòu)中。這種產(chǎn)權(quán)結(jié)構(gòu)既強調(diào)物質(zhì)資本產(chǎn)權(quán)的實現(xiàn)，也強調(diào)人力資本產(chǎn)權(quán)的實現(xiàn)，對兩種產(chǎn)權(quán)的權(quán)利、責(zé)任和利益進行了明確界定：對風(fēng)險資本產(chǎn)權(quán)而言，風(fēng)險資本所占股份為多少，風(fēng)險資本退出的周期多長以及如何實現(xiàn)成功退出，風(fēng)險資本如何進行風(fēng)險控制管理，等等；對人力資本產(chǎn)權(quán)而言，技術(shù)創(chuàng)新的周期多長，技術(shù)創(chuàng)新成果的市場經(jīng)濟價值多大，值多少股份，創(chuàng)業(yè)者在創(chuàng)業(yè)過程中的權(quán)利、責(zé)任與利益如何安排，等等。高新技術(shù)企業(yè)產(chǎn)權(quán)多元化，既激勵約束了風(fēng)險資本投資者，也激勵約束了人力資本所有者，體現(xiàn)了高科技時代企業(yè)增長和經(jīng)濟發(fā)展的創(chuàng)新模式。物質(zhì)資本產(chǎn)權(quán)和人力資本產(chǎn)權(quán)的結(jié)合構(gòu)成了高新技術(shù)企業(yè)產(chǎn)權(quán)的全部內(nèi)涵。

2.人力資本產(chǎn)權(quán)的獨立性、股份化和可交易性

在傳統(tǒng)企業(yè)里，人力資本所有者雖然參與了企業(yè)的剩余索取權(quán)和控制權(quán)，但這種權(quán)利并不是以所有者的身份獲得的，而是物質(zhì)資本所有者對人力資本所有者的獎勵或激勵，因此，在企業(yè)產(chǎn)權(quán)結(jié)構(gòu)中，兩種產(chǎn)權(quán)是不對等的，物質(zhì)資本產(chǎn)權(quán)統(tǒng)治和支配著人力資本產(chǎn)權(quán)，人力資本產(chǎn)權(quán)從屬于物質(zhì)資本產(chǎn)權(quán)，人力資本剩余索取權(quán)僅僅表現(xiàn)為一定量的利潤分享，并沒有股份化和市場化，由此人力資本產(chǎn)權(quán)不能在資本市場進行交易。在高新技術(shù)企業(yè)里，由于人力資本所有者是企業(yè)的合作者之一，因而人力資本產(chǎn)權(quán)是以所有者身份獲取的，是一種獨立的、與物質(zhì)資本產(chǎn)權(quán)對等的產(chǎn)權(quán)形式。

高新技術(shù)企業(yè)人力資本產(chǎn)權(quán)的另一個重要特征是人力資本產(chǎn)權(quán)的股份化和可交易性。人力資本產(chǎn)權(quán)部分是以創(chuàng)業(yè)者身份和技術(shù)創(chuàng)新成果獲得的股份，部分是以企業(yè)家人力資本和技術(shù)型人力資本獲得的股票期權(quán)。隨著高新技術(shù)企業(yè)成長到一定階段，它已積累了一定資產(chǎn)，并向有限公司轉(zhuǎn)變，這不僅為人力資本轉(zhuǎn)化為貨幣資本提供了條件，而且為人力資本所有者從對企業(yè)承擔無限責(zé)任向承擔有限責(zé)任轉(zhuǎn)變提供了條件。在高新技術(shù)企業(yè)公開招股上市，完成由封閉公司向公眾公司轉(zhuǎn)變時，人力資本產(chǎn)權(quán)的最終實現(xiàn)是產(chǎn)權(quán)的股份化，人力資本所有者本身就成為企業(yè)股份的所有者，真正成為擁有剩余索取權(quán)和剩余控制權(quán)的股東，人力資本所有者的人力資本徹底向貨幣資本轉(zhuǎn)化，并可在資本市場進行交易。因此，在高新技術(shù)企業(yè)發(fā)展過程中，逐步實現(xiàn)人力資本產(chǎn)權(quán)資本化、股份化，并可以在資本市場交易和變現(xiàn)，這既能促進人力資本產(chǎn)權(quán)價值的真正實現(xiàn)，又對高新技術(shù)企業(yè)發(fā)展和產(chǎn)權(quán)結(jié)構(gòu)調(diào)整具有重要意義。

3.高新技術(shù)企業(yè)產(chǎn)權(quán)高度流動性

高新技術(shù)企業(yè)流動性快，增長性也快，面臨很大的不確定性，風(fēng)險資本投資者投資于高新技術(shù)企業(yè)的目的是為了獲得高額回報，為了控制和避免風(fēng)險，獲取高額收益，無論是風(fēng)險資本投資者還是創(chuàng)業(yè)者，都要求高新技術(shù)企業(yè)的產(chǎn)權(quán)具有高流動性，都要求產(chǎn)權(quán)能迅速變現(xiàn)。首先，高新技術(shù)企業(yè)能根據(jù)企業(yè)發(fā)展階段和經(jīng)營狀況調(diào)整企業(yè)的產(chǎn)權(quán)結(jié)構(gòu)。在高新技術(shù)企業(yè)創(chuàng)立初期，創(chuàng)業(yè)者和風(fēng)險資本投資者根據(jù)出資量和估算的技術(shù)成果市場價值來確定雙方的股權(quán)結(jié)構(gòu)，但創(chuàng)業(yè)者一般持有普通股，風(fēng)險資本投資者持有可轉(zhuǎn)換優(yōu)先股或可換股債券等復(fù)合金融工具。可轉(zhuǎn)換優(yōu)先股的優(yōu)勢：一是轉(zhuǎn)換價格和轉(zhuǎn)股比例可以依據(jù)企業(yè)發(fā)展狀況而靈活變化；二是具有優(yōu)先清償權(quán)；三是附加有股息率和支付條款。這種優(yōu)勢可以保證風(fēng)險資本投資者在企業(yè)發(fā)展的不同階段選取對自己最有利的股權(quán)方式。因此，創(chuàng)業(yè)者收益與企業(yè)經(jīng)營業(yè)績緊密聯(lián)系，企業(yè)業(yè)績越好，創(chuàng)業(yè)者可獲得更多的股票份額和更高的股票價值；當企業(yè)經(jīng)營不善時，風(fēng)險資本投資者的優(yōu)先股轉(zhuǎn)股比例提高，創(chuàng)業(yè)者持股比例下降，而且在支付優(yōu)先股利息之后，普通股已經(jīng)大大貶值了。這種產(chǎn)權(quán)結(jié)構(gòu)流動既激勵約束了創(chuàng)業(yè)者，也保護了風(fēng)險資本投資者的產(chǎn)權(quán)利益。

其次，高新技術(shù)企業(yè)發(fā)展到成熟階段，風(fēng)險資本投資者能適時將手中的高新技術(shù)企業(yè)產(chǎn)權(quán)轉(zhuǎn)讓變現(xiàn)，通過產(chǎn)權(quán)流動實現(xiàn)風(fēng)險資本和人力資本產(chǎn)權(quán)回報。高新技術(shù)企業(yè)產(chǎn)權(quán)流動的主要形式有：一是技術(shù)轉(zhuǎn)讓，即通過將新研發(fā)的技術(shù)賣出，收回風(fēng)險資本投資本金并實現(xiàn)技術(shù)創(chuàng)新者的人力資本價值。二是經(jīng)營運作，一方面通過產(chǎn)品的持續(xù)銷售獲得利潤，逐步收回投資本金；另一方面通過確認人力資本的股權(quán)和持續(xù)的利潤分配，實現(xiàn)各類人力資本產(chǎn)權(quán)的價值。三是資產(chǎn)轉(zhuǎn)讓，即將企業(yè)資產(chǎn)連同新技術(shù)一并賣出，收回風(fēng)險資本投資本金并同時實現(xiàn)各類核心人員的價值。四是股權(quán)轉(zhuǎn)讓，即將一部分或全部股權(quán)轉(zhuǎn)讓給其他投資者，從而收回風(fēng)險資本投資本金和實現(xiàn)人力資本產(chǎn)權(quán)價值。五是公司上市，即通過公司股份在證券交易場所上市流通，賣出股份，收回投資本金和實現(xiàn)人力資本產(chǎn)權(quán)價值。這五種產(chǎn)權(quán)流動形式雖各有優(yōu)勢和不足，但從功能從較角度來看，“公司上市”最為重要。通過提供多元化的風(fēng)險資本退出渠道和建立多層次的資本市場體系促進產(chǎn)權(quán)流動，風(fēng)險資本投資者和人力資本所有者獲得產(chǎn)權(quán)回報，也使企業(yè)獲得進一步發(fā)展。美國通過紐約證券交易所、NASDAQ全國市場及小型市場、各類場外交易市場等多層次資本市場，為風(fēng)險資本提供良好的退出通道，同時為其他投資主體進入高新技術(shù)企業(yè)產(chǎn)權(quán)結(jié)構(gòu)中提供了通道，這就保證高新技術(shù)企業(yè)產(chǎn)權(quán)能迅速、順暢地流動，從而確保了風(fēng)險資本和人力資本產(chǎn)權(quán)的實現(xiàn)，也保證了高新技術(shù)企業(yè)持續(xù)穩(wěn)定發(fā)展。

4.高新技術(shù)企業(yè)創(chuàng)業(yè)階段一般采取有限合伙制的產(chǎn)權(quán)制度安排

有限合伙制在產(chǎn)權(quán)結(jié)構(gòu)上具有以下特征：

(1)人力資本產(chǎn)權(quán)的無限責(zé)任與風(fēng)險資本產(chǎn)權(quán)的有限責(zé)任統(tǒng)一。高新技術(shù)企業(yè)創(chuàng)業(yè)階段由有限合伙人和普通合伙人組成，有限合伙人是風(fēng)險資本投資者，其投資量一般占總投資的99%，并以其所投資本承擔有限責(zé)任，企業(yè)成功后可分得75～85%的資本利潤；普通合伙人是風(fēng)險資本家和創(chuàng)業(yè)者，他們是企業(yè)的管理者和決策層，其投資量僅為總投資的1%，但對企業(yè)的經(jīng)營承擔連帶無限責(zé)任，成功后可分得15～25%的利潤。人力資本產(chǎn)權(quán)的無限責(zé)任將人力資本與企業(yè)發(fā)展緊密地聯(lián)系在一起，既是一種股份激勵制度，也是一種企業(yè)治理的約束制度，風(fēng)險資本產(chǎn)權(quán)的有限責(zé)任有利于吸納高新技術(shù)企業(yè)所需的資金，因此人力資本產(chǎn)權(quán)的無限責(zé)任和風(fēng)險資本產(chǎn)權(quán)的有限責(zé)任的產(chǎn)權(quán)制度安排，促進了高新技術(shù)企業(yè)的技術(shù)創(chuàng)新和科技成果轉(zhuǎn)化，充分實現(xiàn)了兩種資本的高效配置。

(2)有限期限的封閉式風(fēng)險資本和強制分配條款。風(fēng)險資本投資的主要功能在于向高新技術(shù)企業(yè)提供長期融資，由于高新技術(shù)企業(yè)還未上市，因此風(fēng)險資本投資一般采用封閉式，有限合伙人一般不能撤資，風(fēng)險資本流動性較差，且投資周期有限，通常為7～10年。為了保護有限合伙人的利益，產(chǎn)權(quán)契約規(guī)定投資期滿后，除非2/3的有限合伙人同意延長一年，否則風(fēng)險資本家和創(chuàng)業(yè)者必須退還本金和分配收益。

(3)有限合伙人雖沒有管理權(quán)，但在關(guān)鍵問題上有投票的權(quán)利，如有限合伙協(xié)議的修訂，合伙關(guān)系的提前解除，基金壽命的延長，風(fēng)險資本家的撤換等。

三、新技術(shù)企業(yè)治理結(jié)構(gòu)特征

1.強化人力資本治理結(jié)構(gòu)

傳統(tǒng)的公司理論是以“股東資本本位”理論構(gòu)建的，公司被理解為是一個由物質(zhì)資本所有者組織起來的聯(lián)合體，在股東的資本和管理者、生產(chǎn)者的勞動這兩個生產(chǎn)要素中，為公司提供物質(zhì)資本的“資本家”對企業(yè)擁有絕對的所有權(quán)，管理者或生產(chǎn)者只是股東資本的雇傭者。因此，公司治理結(jié)構(gòu)所要解決的問題是，在公司所有權(quán)與經(jīng)營權(quán)分離的條件下，如何確保物質(zhì)資本所有者獲得投資回報，即物質(zhì)資本所有者通過什么機制迫使經(jīng)營者將公司的利潤作為投資回報返還給自己；如何約束經(jīng)營者的行為并使其在物質(zhì)資本所有者的利益范圍內(nèi)從事經(jīng)營活動。但是，在知識經(jīng)濟的模式下，一方面，高新技術(shù)企業(yè)核心價值掌握在人力資本所有者手里，人力資本已經(jīng)成為企業(yè)生存和發(fā)展的決定性生產(chǎn)要素；另一方面，高新技術(shù)企業(yè)的生產(chǎn)、經(jīng)營活動已經(jīng)高度專業(yè)化，分工也越來越細。生產(chǎn)者、經(jīng)營者對專有知識、專有信息獨占性越來越強，與物質(zhì)資本所有者的“信息不對稱”現(xiàn)象也越來越嚴重，并且也越來越不可逾越。在這種情況下，傳統(tǒng)的企業(yè)制度和治理結(jié)構(gòu)形式顯然無法容納人力資本的作用，為了解決上述問題，適應(yīng)高新技術(shù)企業(yè)發(fā)展的需要，高新技術(shù)企業(yè)公司治理結(jié)構(gòu)的重心產(chǎn)生了重大變化，發(fā)生了從“以資為本”向“以人為本”的轉(zhuǎn)變。即企業(yè)已從過去那種以物質(zhì)資本為基礎(chǔ)，以物質(zhì)資本的所有者和經(jīng)營者的關(guān)系如何界定為中心的治理結(jié)構(gòu)。轉(zhuǎn)向了以物質(zhì)資本和人力資本為基礎(chǔ)，以這兩種資本的權(quán)利關(guān)系如何界定為中心的治理結(jié)構(gòu)，企業(yè)治理結(jié)構(gòu)主要圍繞如何激勵以調(diào)動人力資本的積極性和如何適當約束人力資本的短期行為，激勵機制可以保證人力資本應(yīng)有的地位及利益，而約束機制則可以防止人力資本侵犯物質(zhì)資本的利益，從而維護物質(zhì)資本的地位及利益，通過建立激勵與約束兼容的機制來實現(xiàn)兩種資本雙贏。因此，高新技術(shù)企業(yè)的人力資本成為企業(yè)治理結(jié)構(gòu)安排的重要要素，強化人力資本治理結(jié)構(gòu)成為知識經(jīng)濟條件下高新技術(shù)企業(yè)最典型的企業(yè)治理結(jié)構(gòu)形態(tài)。

高新技術(shù)企業(yè)人力資本治理結(jié)構(gòu)主要表現(xiàn)為：首先，人力資本股權(quán)激勵成為高新技術(shù)企業(yè)治理機制的重要組成部分。為了激勵人力資本，高新技術(shù)企業(yè)在股權(quán)安排方面往往通過股權(quán)激勵制度安排使人力資本所有者擁有股權(quán)。股權(quán)激勵采取的形式一般有兩種，一種是將企業(yè)的一部分股權(quán)作為人力資本所有者的非現(xiàn)金收入或直接發(fā)放給他們作為管理股和技術(shù)股，人力資本所有者直接成為企業(yè)所有者；另一種是實行人力資本所有者股票期權(quán)，股票期權(quán)是規(guī)定人力資本所有者在某一段時期內(nèi)按照某一約定的較低價格買進股票的權(quán)利，其實質(zhì)是讓經(jīng)營者能夠分享企業(yè)長期發(fā)展之后的價值增值，將人力資本所有者的收益與企業(yè)的利益緊密結(jié)合在一起。這種內(nèi)在的聯(lián)系使得經(jīng)營者克服了決策和規(guī)劃的短期效應(yīng)，在公司的經(jīng)營管理和發(fā)展戰(zhàn)略問題上考慮的是企業(yè)的長期贏利能力。在高新技術(shù)企業(yè)治理中，一方面，股權(quán)激勵使人力資本成為企業(yè)的所有者之一，增大了人力資本所有者經(jīng)濟實力，增強了人力資本所有者對企業(yè)的控制能力，從而強化了人力資本在企業(yè)治理結(jié)構(gòu)中的作用；另一方面，股權(quán)激勵使人力資本既分享企業(yè)增長所帶來的收益，也承擔企業(yè)風(fēng)險所帶來的損失，從而人力資本與企業(yè)的發(fā)展休戚相關(guān)，同時，人力資本所有者與物質(zhì)資本所有者形成利益共同體，雙方共同分擔風(fēng)險，相互制約，相互促進，降低了成本。

其次，董事會作用的弱化和首席執(zhí)行官(CEO)制度的形成。CEO擁有遠遠大于以往總經(jīng)理的權(quán)利，不僅正常的經(jīng)營管理，而且在公司戰(zhàn)略、重大投資、財務(wù)安排等方面擁有很大權(quán)力，還具有提名內(nèi)部董事的資格，因此一般認為CEO擁有相當于50～60%的董事長權(quán)力。董事會的決策作用和監(jiān)督作用都開始弱化，董事會的權(quán)力只局限于挑選一位合格CEO，當公司戰(zhàn)略出現(xiàn)重大失誤或者業(yè)績出現(xiàn)嚴重問題時選擇新的CEO代替前任。與此相對應(yīng)的是，為保證權(quán)力巨大的CEO不濫用權(quán)力，CEO常常以管理層收購或者購買期權(quán)的形式擁有相當數(shù)量的企業(yè)股權(quán)，不再是單純的公司雇員。CEO制度的產(chǎn)生實際上表明了高新技術(shù)企業(yè)治理結(jié)構(gòu)的全面調(diào)整，一方面對人力資本和物質(zhì)資本的地位和權(quán)利做重新的界定，主要是提高了人力資本在企業(yè)中的地位，增大了人力資本在企業(yè)中的權(quán)利，而物質(zhì)資本的權(quán)利大多表現(xiàn)在產(chǎn)權(quán)的利益回報上，而不是其他方面，不再強調(diào)物質(zhì)資本對企業(yè)的控制；另一方面對人力資本和物質(zhì)資本進行功能性分工，經(jīng)營活動已由CEO來獨立進行，董事長不再進行重大經(jīng)營決策。

最后，高新技術(shù)企業(yè)風(fēng)險投資制度的發(fā)展更強化了人力資本治理。雖然風(fēng)險資本投資者持有公司相當一部分股權(quán)，甚至持有大部分股權(quán)，但風(fēng)險投資的持股期限是有限的，對經(jīng)營管理的介入也是有限的，這使得風(fēng)險資本具有某種“借貸資本”的性質(zhì)，較多注重收益而較少注重管理。

2.風(fēng)險資本的相機治理

風(fēng)險資本在高新技術(shù)企業(yè)中一般采取相機治理的方式參與企業(yè)治理。風(fēng)險資本在高新技術(shù)企業(yè)投資過程中，通常采用的投資工具有可轉(zhuǎn)換優(yōu)先股、可轉(zhuǎn)換債券和附購股權(quán)債券等。其中可轉(zhuǎn)換優(yōu)先股是最普遍的一種形式，其優(yōu)勢在于：其一，持有優(yōu)先股可優(yōu)先獲得固定的股息，并可以在企業(yè)經(jīng)營狀況良好時通過轉(zhuǎn)換為普通股而分享企業(yè)利潤增長的利益；其二，可轉(zhuǎn)換優(yōu)先股一般附有贖回條款，在投資者對企業(yè)前景信心不足時，持有人可要求企業(yè)贖回股票，從而避免更大的損失，同時也對企業(yè)創(chuàng)業(yè)者形成更大的壓力和約束；其三，可轉(zhuǎn)換優(yōu)先股通過轉(zhuǎn)換為普通股可加強持有人對企業(yè)的監(jiān)督控制。一般企業(yè)的優(yōu)先股意味著優(yōu)先分配利潤和沒有表決權(quán)，放棄對企業(yè)重大決策的參與。而在高新技術(shù)企業(yè)里風(fēng)險資本投資者在投入風(fēng)險資本時，投資者和創(chuàng)業(yè)者雙方要簽訂契約，把大量防范風(fēng)險、確保回報的條款列入契約，風(fēng)險投資雖持有優(yōu)先股，卻享有參加董事會并參與重大決策的權(quán)利，享有對某些重大事項如企業(yè)產(chǎn)權(quán)轉(zhuǎn)讓、出售、上市等的完全否決權(quán)或超股權(quán)比例的否決權(quán)。可轉(zhuǎn)換債券是持有人能以約定期限和約定價格轉(zhuǎn)換為企業(yè)股份的債券，選擇可轉(zhuǎn)換債券使風(fēng)險投資者在取得穩(wěn)定收益的基礎(chǔ)上，通過債權(quán)轉(zhuǎn)股的方式獲得參與企業(yè)經(jīng)營管理并分享成長潛力的機會。附購股權(quán)債券是指風(fēng)險資本以債權(quán)形式進入高新技術(shù)企業(yè)時可獲得一項認股權(quán)，即能夠在未來按某一特定價格買進既定數(shù)量的股票，這使得投資者未來可能以較低價格獲得企業(yè)股份，從而加強對企業(yè)的監(jiān)控地位。

3.以高度發(fā)達的人力資本市場和資本市場為主導(dǎo)的外部治理機制

人力資本需要經(jīng)過市場的洗禮，需要在企業(yè)經(jīng)營中證實與不斷證實，如果人力資本所有者的經(jīng)營績效不好，就會失去在人力資本市場中的“聲譽”，很難再有機會成為風(fēng)險資本投資者搜尋的對象。因此，人力資本市場實際上是滿足市場基本門檻、對學(xué)歷、背景、業(yè)績與失誤詳細記載的動態(tài)人群，通過這個市場，作為一種資本的人力資本能不斷流動，把真正具有價值的人力資本留下來，這對企業(yè)中的人力資本形成強大外部壓力，從而對人力資本起到了重要的約束作用。管理者更替是美國高新技術(shù)企業(yè)治理的重要組成部分，這依賴于高度發(fā)達的人力資本市場。在美國高新技術(shù)企業(yè)中大多實行駐守企業(yè)家制度，即風(fēng)險資本投資者通過人力資本市場物色有成功創(chuàng)業(yè)經(jīng)歷的優(yōu)秀企業(yè)家，讓他們在風(fēng)險基金中任職，參與組建高新技術(shù)企業(yè)，在必要時擔任新組建的高新技術(shù)企業(yè)的管理者。

資本市場主要通過兩個方面對企業(yè)治理產(chǎn)生作用。一是價格機制。企業(yè)股票在資本市場的價格反映了企業(yè)管理者的經(jīng)營管理水平，物質(zhì)資本投資者通過對企業(yè)市場價格的觀察和預(yù)期，來評價管理者的經(jīng)營管理水平，降低了監(jiān)督成本；同時，根據(jù)評價結(jié)果物質(zhì)資本所有者可以采取更換管理者、出售股票、尋找合作伙伴以及引進新的投資者和管理者等行為，這些行為將給管理者帶來巨大壓力，迫使其盡職盡責(zé)提高企業(yè)經(jīng)營業(yè)績。二是退出機制。風(fēng)險資本投資高新技術(shù)企業(yè)的目的并不是永久地擁有企業(yè)，而是希望通過投資運營，達到資本增值，然后以某種退出方式實現(xiàn)投資回收。風(fēng)險資本投資的這個特點，隱含了一個創(chuàng)業(yè)者通過首次公開發(fā)行重新由風(fēng)險資本投資者手中獲得企業(yè)控制權(quán)的期權(quán)，即在風(fēng)險資本投資者和創(chuàng)業(yè)者之間簽訂的持股契約中，允許企業(yè)者在達到某種業(yè)績標的時（一般是首次公開發(fā)行），可以增加創(chuàng)業(yè)者股份份額（通常是普通股）和重新獲得控制權(quán)，這給予創(chuàng)業(yè)者很大的激勵。因此，發(fā)達的資本市場在為風(fēng)險資本提供順利的退出渠道時，也同時實現(xiàn)了高新技術(shù)企業(yè)控制權(quán)的重新分配，從而優(yōu)化了企業(yè)治理結(jié)構(gòu)。

【參考文獻】