目前,信息安全在世界各地區(qū)有著不同的發(fā)展趨勢(shì)��。調(diào)查顯示����,在印度公司普遍發(fā)展的推動(dòng)下���,亞洲企業(yè)在建立領(lǐng)先的信息安全方面已與北美公司處于同一水平�����,在某些方面甚至有所超越。
盡管中國(guó)企業(yè)在運(yùn)用安全技術(shù)方面取得了重大成果�����,但在信息安全策略和管理方面仍顯滯后�。中國(guó)受訪者中,68%表示其所在企業(yè)已安裝了應(yīng)用防火墻(全球平均值為67%)�,59%部署了互聯(lián)網(wǎng)服務(wù)安全保護(hù)措施(全球平均值為58%)。然而�����,從安全策略及管理方面來看��,僅有34%為部署信息技術(shù)架構(gòu)建立了標(biāo)準(zhǔn)和流程(全球平均值為51%)�,33%建立了業(yè)務(wù)持續(xù)經(jīng)營(yíng)計(jì)劃或?yàn)?zāi)難性恢復(fù)計(jì)劃(全球平均值為55%)�。
普華永道北京信息安全咨詢合伙人季瑞華認(rèn)為:“中國(guó)企業(yè)應(yīng)該以此為契機(jī)��,緊密結(jié)合正確的安全策略�、人員布置和有效的管理流程,使現(xiàn)有的信息安全技術(shù)為企業(yè)提供最大的效益���?��!?/FONT>
在本次調(diào)查中,74%的受訪者認(rèn)為�����,在未來的12個(gè)月內(nèi)�����,信息安全支出將會(huì)增長(zhǎng)或者保持現(xiàn)有水平����。盡管企業(yè)在安全技術(shù)(比如入侵檢測(cè)軟件、加密技術(shù)和身份識(shí)別管理)上持續(xù)投入大量經(jīng)費(fèi)����,但是他們?cè)谡_整合一些關(guān)鍵因素方面仍存在問題�。許多企業(yè)的安全管理流程�����、員工安全意識(shí)教育和信息安全技術(shù)或工具的使用之間���,似乎存在著一些不協(xié)調(diào)�����,因而無法從安全技術(shù)投資中得到應(yīng)有的價(jià)值回報(bào)��。
現(xiàn)在越來越多的企業(yè)會(huì)對(duì)數(shù)據(jù)庫(kù)、筆記本電腦���、備份磁帶以及其他介質(zhì)進(jìn)行加密�。62%的受訪者說他們所在的企業(yè)布置了入侵檢測(cè)軟件�,67%安裝了保護(hù)應(yīng)用系統(tǒng)的防火墻,67%為淘汰的電腦硬件建立了處置流程����,比例分別高(或持平)于2007年的同類數(shù)據(jù)(52%、62%、67%)�。但問題是,企業(yè)信息安全支出仍然主要來自于IT部門���,其次為安全部門和市場(chǎng)部門�����、人力資源部門���、法律部門等。這表明����,雖然信息安全得到了更多的關(guān)注,但公司層面的信息安全流程和人員安全意識(shí)的重要性似乎有些被忽略��。
盡管企業(yè)的信息安全成熟度得到顯著提高���,但比例非常高的受訪者“不知道什么是他們應(yīng)該知道的事情”�����。許多受訪者不能回答關(guān)于他們所在企業(yè)關(guān)鍵信息資產(chǎn)風(fēng)險(xiǎn)的基本問題��,35%的受訪者不能確定在過去的12個(gè)月中公司發(fā)生了多少次安全事件���,42%的受訪者不清楚攻擊或破壞是否最有可能源于員工(現(xiàn)任或前任)����、客戶����、合作伙伴或供應(yīng)商,以及黑客等�����。
雖然回答“不知道什么是他們應(yīng)該知道的事情”的中國(guó)受訪者���,其比例相對(duì)于北美和歐洲較低�����,但是當(dāng)被問到過去12個(gè)月中實(shí)際遭受的安全事件數(shù)量和財(cái)務(wù)損失時(shí),平均每個(gè)中國(guó)受訪者匯報(bào)了285例安全事件��,而全球受訪者平均匯報(bào)了28例��,亞洲受訪者平均匯報(bào)了45例。從這些安全事件的后果看�����,平均每個(gè)中國(guó)受訪者報(bào)告了每年約98萬美元的財(cái)物損失�,而亞洲受訪者平均報(bào)告了約75萬美元,印度受訪者平均報(bào)告了約30.8萬美元���。此外����,42%的中國(guó)受訪者經(jīng)歷了應(yīng)用軟件�、系統(tǒng)和網(wǎng)絡(luò)等方面的安全事件,而全球這些情況的平均數(shù)據(jù)分別為17%��、15%和20%����。
調(diào)查發(fā)現(xiàn),很多受訪者對(duì)安全攻擊等安全事件的一手資料缺乏很好的了解���。這是事實(shí)����,但不是重點(diǎn),重點(diǎn)是如何提高公司持續(xù)抵御和阻止攻擊的能力���,并且不會(huì)對(duì)員工開展的日常業(yè)務(wù)產(chǎn)生影響��,也不會(huì)由于被動(dòng)應(yīng)付意外(但可預(yù)見)的危機(jī)而產(chǎn)生過高成本���。這要求有關(guān)公司數(shù)據(jù)及系統(tǒng)風(fēng)險(xiǎn)的關(guān)鍵信息能迅速?gòu)牡谝痪€向公司其他人傳播,在企業(yè)的每一層面推廣安全意識(shí)是至關(guān)重要的�����。
此次調(diào)查結(jié)果清晰地指明���,信息安全和數(shù)據(jù)管理不僅僅是具有一個(gè)安全治理框架和技術(shù)支援這么簡(jiǎn)單����,而是需要三個(gè)關(guān)鍵要素(人員���、流程及技術(shù))緊密結(jié)合�,并貫穿于整個(gè)公司來發(fā)揮效應(yīng)��。
