装备承制单位为什么需要开展知识产权贯标？

装备承制单位为什么需要开展知识产权贯标？
装备承制单位知识产权贯标，指的是装备承制单位贯彻执行《装备承制单位知识产权管理要求》（GJB9158-2017）国家军用标准，即按照国军标中的要求改造自身知识产权管理体系。 
《装备承制单位知识产权管理要求》是我国首部装备建设领域知识产权管理国家军用标准，由中央军委装备发展部国防知识产权局、中国船舶工业综合技术经济研究院联合起草，已于2017年12月1日起实施。
承担装备及配套产品科研、生产、修理、技术服务等任务的单位，包括军工企业、工程院校，以及地方高校和民营企业等不同类型的承制单位都可以自愿贯彻执行《装备承制单位知识产权管理要求》（GJB9158-2017），那么装备承制单位为什么要开展知识产权贯标呢？
1. 政策利好
2017年出台的《深入实施国家知识产权战略加快建设知识产权强国推进计划》，确定了五大重点工作：深化知识产权领域改革、严格保护知识产权、促进知识产权创造运用、深化知识产权国际交流合作、加强组织实施和保障。2015年1月4日，全军武器装备采购信息网正式上线。2015年国家首次把军民融合发展上升为国家战略。2016年2月26日，《中华人民共和国促进科技成果转化法》若干规定颁布实施。2017年12月1日实施。2017年11月28日，国防科工局、财政部、知识产权局联合印发了《关于国防科技工业推进知识产权强国建设的指导意见》。
2. 创新管理需要
政策面持续释放的利好向国防装备承制单位发出了强烈信号，要完善技术成果转移、转化机制，加快创新体系建设。然而，装备承制单位现有的创新体系与市场经济下的创新体系遵循着不同的逻辑，装备承制单位掌握的技术及其管理、运营模式需要完成适应市场经济模式的“改造”才能成为组织创新的基石和盈利的源动力，知识产权体系化管理是创新体系的重要要素，更是技术成果转移、转化的有力保障，因此，加快建立知识产权管理体系无疑是国防装备承制单位今后的重要工作之一，是其面向市场化、国际化发展转型的重要支撑。
3. 标准优势
《GB/T 29490-2013企业知识产权管理规范》（下称“29490标准”）是我国首部指导企业建立知识产权标准化管理体系的国家标准，该标准借鉴了质量管理体系的成熟管理理念，以战略导向、领导重视、全员参与为原则，提供了基于过程方法的企业知识产权管理模型，指导企业策划、实施、检查、改进知识产权管理体系。2017年出台的《GJB 9158-2017装备承制单位知识产权管理要求》（下称“国军标”），借鉴吸收了29490标准的内容，并在此基础上加入了适用于装备承制单位的特色条款。两个标准的推出，为广大装备承制单位用最短的时间、最小的成本建成适应现代市场竞争的知识产权管理体系提供了理论基础，有利于装备承制单位军民融合工作的启动与后续展开，以及提升创新能力、占据市场优势。
4. 认证助推体系完善
管理体系最鲜明的特点及最大的优势在于通过不断的检查改进形成的内生演进机制。来自于第三方认证机构的定期验证有助于企业发现体系运行中的问题并及时整改，以促进管理体系效力的持续提升并最终转化为企业的利润。
 
 
 
 
 
ISO27001信息安全管理体系标准第三个版本-2022版正式发布 
2022年10月25日ISO/IEC 27001:2022信息安全管理体系认证标准今日正式发布，该标准是目前国际上被广泛接纳和采用的信息安全标准，亦是国际公认的保护信息资产和知识产权的良好实践。

 
针对本次ISO/IEC 27001换版，IAF要求认可机构在标准发布后的12个月内完成对已认可的认证机构的转换，认证机构在标准发布后的36个月内完成对获认证组织的转换。已经通过ISO/IEC 27001:2013认证的组织需要引起重视，根据新的子条款和修改后的要求修订内部政策，并根据ISO/IEC FDIS 27001附录A修订风险评估结果和风险处置计划。
ISO/IEC 27001信息安全管理体系，是目前国际上被广泛接纳和采用的信息安全标准，是国际公认的保护信息资产和知识产权的良好实践。随着全球信息化的不断发展，信息化的场景不断的向更多的领域延展，各行业对网络安全的需求越发强劲。同时，政策监管趋严、技术不断升级、安全事件频发，受以上多重因素的交织影响，ISO/IEC 27001已成为当下各行各业组织向客户展现信息安全承诺的敲门砖。
全国认证认可信息服务平台最新数据显示，截至2022年3月，我国有效的信息安全管理体系认证证书数达28314张，可以看到，27001认证自2005年诞生以来，已经从少数信息安全先行者的高端认证演变为了广为社会认可的基础认证。
GB/T 41479-2022《网络数据处理安全要求》解读
2022年6月5日，国家市场监督管理总局与国家互联网信息办公室联合发布《关于开展数据安全管理认证工作的公告》，鼓励网络运营者通过认证方式规范网络数据处理活动，加强网络数据安全保护。
《信息安全技术网络数据处理安全要求》（GB/T 41479-2022），已于11月正式实施。该项标准不仅是网络运营者开展数据处理的安全技术与管理要求，同时也是组织规范网络数据处理活动，加强网络数据安全保护申请认证的实施依据。因此，无论是为了满足法律合规要求还是为了保护自身权益，该标准都应当受到相关企业组织的重视。
一、编制背景
目前，数据安全成为热点，国际国内均希望通过法律手段加强数据安全保障，一方面要保障国家安全，另一方面要保障公众权益，同时还要推动数据的应用，保障组织的权益，相关的法律法规也相继出台。
为了落实网络运营者在进行网络数据处理时的法律责任，特别是落实《数据安全法》的要求，保障网络运营者的运营数据安全，合法有序利用数据，中国网络安全审查技术与认证中心牵头，联合中国电子技术标准化研究院等单位，研制了《信息安全技术网络数据处理安全要求》。
二、标准主要内容
标准给出了网络数据处理安全的总体要求、技术要求、管理要求以及突发公共卫生安全事件时的数据处理安全要求。
1、在标准第4章总体要求中，首先明确了网络数据处理安全的数据识别是基础、分类分级是根本、风险防控是核心、审计追溯是底线的四项基本原则，即需要完整识别需要保护的数据形成数据保护清单目录；根据网络运营者的实际在符合法律法规要求的前提下，对数据进行分类分级管理；全面分析安全影响和安全风险，积极采取有效措施保障数据安全；在整个数据处理过程保证完整的审计日志，确保处理可追溯。
2、标准主要要求体现在第5章中，该部分在进行安全影响分析和风险评估的通则要求基础上，提出了数据处理安全的技术要求：
1）标准5.2至5.8中，对应《数据安全法》中提出的数据处理（收集、存储、使用、加工、传输、提供、公开）活动，明确了相应的安全要求：
数据收集方面，对网络运营者收集个人信息提出了安全要求，并在个人信息保护政策、征得个人信息主体同意、不强制误导收集等方面进行了细化，针对个人信息收集的具体要求，引用了GB/T 35273—2020的具体内容。此外，在网络运营者应用标准时，如通过App收集个人信息，相关安全要求见GB/T 41391—2022；
数据存储方面，对网络运营者存储网络数据提出了安全要求，如安全措施、存储期限及个人生物特征识别信息的存储等；同时对于数据接收方存储数据提出以合同约定安全措施的要求；
数据使用方面，针对定向推送及信息合成及第三方应用管理二方面对网络运营者提出了要求；
数据加工方面，要求网络运营者在开展转换、汇聚、分析等数据加工活动的过程中，知道或者应知道可能危害国家安全、公共安全、经济安全和社会稳定的，应立即停止加工活动。
数据传输方面，对网络运营者传输重要数据及个人敏感信息的安全措施提出了要求，同时对于数据接收方传输数据提出以合同约定安全措施的要求；
数据提供方面，从向他人提供及数据出境二类数据提供场景提出了数据安全要求。在向他人提供场景下，要求提供前进行安全影响分析及风险评估，并针对提供个人信息、共享/转让重要数据、委托第三方处理数据，及发生收购/兼并/重组/破产情况下的具体要求进行了细化；
数据公开方面，提出公开市场预测、统计等信息的场景下，不应危害国家安全、公共安全、经济安全和社会稳定。
2）标准5.9中，提出了私人信息和可转发信息的处理方式要求；
3）标准5.10中，提出了对个人信息查阅、更正、删除及用户账号注销的要求，响应了《个人信息保护法》中对个人信息主体权益进行充分保护的相关要求；
4）标准5.11中，提出了投诉、举报受理处置的要求，这是平台责任的角度对网络运营者提出的具体要求；
5）标准5.12中，提出了访问控制与审计的要求；
6）标准5.13中，提出了数据删除和匿名化处理，对数据介质销毁及个人信息的删除及匿名化等场景下的要求进行了明确。
3、标准第6章中，从数据安全责任人、人力资源能力保障与考核、事件应急处置等三个方面提出了数据处理安全管理要求。但组织可以参考信息安全管理体系要求等相关国际、国家标准完善数据安全管理架构。
4、本标准专门针对突发公共卫生事件专项预案启动Ⅰ级（特别重大）、Ⅱ级（重大）响应的事件时的数据处理安全要求，以规范性附录的形式提出了要求，效用与正文等同。附录就个人信息服务协议、个人信息收集、个人信息调用、人脸识别验证、信息查阅服务、公开/向他人提供个人信息及改变个人信息用途、应对工作结束后的个人信息处理、日志留存等方面提出了具体要求。
三、标准应用
1、提升数据处理安全性
网络运营者应用标准规范网络数据处理活动，从而落实《数据安全法》等相关法律对数据安全保护的要求，履行社会责任。
2、开展数据安全管理认证（DSM）
《数据安全法》第十八条明确指出，国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。
网络运营者应用提升其数据处理安全性的基础上，通过第三方认证来证明其满足标准中提出的数据安全基线要求，从而给予社会、公众和客户信心。
 
 
合规管理体系国际标准ISO 37301：2021的要素与亮点解读
021年4月13日，企业合规领域国际层面的重磅标准——ISO 37301:2021《合规管理体系要求及使用指南》（Compliance management systems — Requirements with guidance for use）正式发布实施。
从2018年11月启动合规新标准的制定工作以来，历时3年多，五个阶段，ISO 37301终于问世，它将取代ISO 19600:2014《合规管理体系指南》，这也标志着合规标准的性质由管理体系B型标准变成A型标准，从推荐性标准正式变成可认证性标准。
一、制定背景和意义
近年来，全球贸易关系愈加复杂，全球产业链进入深度调整与重构时期。在国家层面，各国建立了严格的合规监管制度，监管机构加强了立法深度和执法力度，引导和督促企业实施更加主动的合规经营。在国际层面，联合国、经济合作与发展组织、世界银行集团、非洲开发银行集团、亚洲太平洋经济合作组织、国际商会等国际性组织相继制定全球性契约、指南和指引等，对合规管理核心问题形成国际共识，在相关贸易活动中对不合规行为实施联合惩戒。合规已经成为各类组织成功和可持续发展的基础。
为了满足全球化合规的快速发展和迫切需求，提升各类组织合规管理能力，促进国际贸易、交流与合作，ISO于2018年11月启动了ISO 37301的制定工作，基于最新的合规管理实践，修订并代替ISO 19600:2014《合规管理体系 指南》。
ISO 37301的制定对于各类组织的合规管理能力建设、政府监管活动、国际贸易交流、沟通合作改善等具有重要的意义：
为各类组织提高自身的合规管理能力提供系统化方法，它采用PDCA理念完整覆盖了合规管理体系建设、运行、维护和改进的全流程，基于合规治理原则为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。
为监管机构和司法机构采信组织的合规整改计划、合规管理体系实践提供参考依据，监管机构和司法机构在对组织违反相关法律的行为作出处罚时，可以将组织的合规管理体系运行情况作为衡量处罚力度的一个考量因素。
为便利全球范围内相关方之间的贸易、交流与合作提供了通用规则，各类组织可以通过声明符合ISO 37301或者获得依据ISO 37301所进行的认证，在相关方之间传递信任，进而为贸易、交流与合作提供便利。
二、标准主要内容
ISO 37301 标准的最重要优势就是它的整体方法跨越所有行业、企业和部门；包含实践相关性、以及适用于所有机构。ISO 37301 标准遵循连续提升模型，即：开发-实施-评价-保持（这就是所谓的“PDCA 循环”——计划、执行、核查、行动——由质量管理开始）。合规管理体系通用要素的框架如下图所示。
ISO 37301将建立、制定、实施、维护、评估和改进作为合规管理体系的六大行动。合规管理体系的建设遵循PDCA循环逻辑，以持续改进原则为基础，在领导力和合规文化的内核驱动下，结合组织的合规目标、原则及内外部环境，建立合规管理体系，制定符合组织文化和目标的相关流程并在组织内有效地运行实施，并通过定期、不定期地维护和评估，纠正和改进合规管理体系的漏洞。
三、ISO 37301对合规体系建设升级亮点
1、增加管理者责任，强化领导作用
ISO 37301在合规文化方面增加了最高管理者对合规行为的促进作用和对不合规行为的遏制及零容忍态度。在治理机构和最高管理者中增加了对治理机构实质性的责任义务，要求治理机构确保最高管理者达到合规目标，同时要求对最高管理者进行合规管理体系运行情况的监督。
在我们为国企进行合规体系建设过程中，非常大的困难就是公司领导对于合规定位认识不清晰，将合规认为是公司经营的“绊脚石”。决策层一旦将合规体系建设仅仅当作完成任务，则极易将整个工作推向“不求实效、贪大求全”的书面合规体系。
2、更加注重合规文化在企业管理上的作用
合规对于企业的可持续性发展非常重要，因此ISO37301标准也将可持续性作为关注的焦点，特别是关于将合规融入至企业文化中。合规文化建设在整个合规体系建设中具有举足轻重的作用，企业自上而下建设一种普遍意识、道德标准及价值取向，从精神层面确保各项经营管理活动始终符合合规要求。
ISO 37301较之ISO 19600在结构上，将合规文化从支持（第7章）调整到领导作用（第5章）章节。从对合规文化的要求及结构上的调整不难看出，新版标准强调了建立合规文化在合规管理体系建设中发挥的重要作用。
3、新增“雇佣”程序内容，强调人是合规经营的关键要素
ISO 37301较之ISO 19600，在对合规管理体系所管控的“人”的范围从原有法律认可的雇佣“员工”延伸到了与组织存在合同关系的所有“职员”，并增加了对雇佣程序（7.2.2条款）的内容。
新增雇佣程序的内容涉及：雇佣条件中要求职员须遵守组织的合规义务、政策、流程和程序；在开始雇用的合理期间内向职员发放或提供获取合规方针及合规方针相关的培训；对违反组织合规义务、政策、流程和程序的职员，应采取适当的纪律处分；要求企业考虑因岗位和人事安排造成的合规风险；在职员聘用、转岗或晋升之前，需按照要求进行尽职调查，并要求组织定期对绩效目标、绩效奖金和其他激励措施进行审核，以确保有合理的措施防止违规行为。
4、新增合规疑虑的汇报机制
畅通合规疑虑的汇报渠道和建立合理的调查程序是组织识别和预防合规风险，改进合规管理体系行之有效的方法。新版标准在合规方针中要求组织倡导提出合规疑虑的行为，并禁止任何形式的报复；同时在沟通条款中增加了员工提出合规疑虑的沟通流程要求；在意识（7.3条款）中提出了合规疑虑汇报的方法和程序；最后，在“第8章 运行”中专门增加了对合规疑虑的汇报（8.3条款）程序，以鼓励和帮助职员能够对可疑或实际违反合规方针或合规义务的不合规情况进行汇报，同时要求保障该程序的保密性，保护提出合规疑虑者免遭报复。
5、增加了运行过程中的调查程序
运行是立足于执行层面，ISO 37301对评价、评估、调查和处理可疑或实际违规事件的报告辅以相应的调查程序。调查程序以公平公正的原则，由无利益冲突且有能力胜任该项工作的人员独立开展。组织应将调查结果用于改进合规管理体系。实践中，合规调查通常由合规职能团队组织执行，若涉及跨国、跨领域、跨部门等，调查过程则应由合规职能团队、内部审计部门或法律部门的最高级别进行协调。
6、其他
ISO 37301合规目标和策划的基础上增加了“策划变更”的内容，将合规培训范围扩大到第三方，绩效考核部门的审核结果上报范围扩大，增加管理评审的内容，增加持续改进的考虑因素等。这些都在不同方面和角度对ISO 19600进行了补充、完善和升级。