中國企業(yè)信息安全落后于全球平均水平

申請免費試用、咨詢電話：400-8352-114

目前，信息安全在世界各地區(qū)有著不同的發(fā)展趨勢。調(diào)查顯示，在印度公司普遍發(fā)展的推動下，亞洲企業(yè)在建立領(lǐng)先的信息安全方面已與北美公司處于同一水平，在某些方面甚至有所超越?！　?/P>

盡管中國企業(yè)在運用安全技術(shù)方面取得了重大成果，但在信息安全策略和管理方面仍顯滯后。中國受訪者中，68%表示其所在企業(yè)已安裝了應用防火墻（全球平均值為67%），59%部署了互聯(lián)網(wǎng)服務安全保護措施（全球平均值為58%）。然而，從安全策略及管理方面來看，僅有34%為部署信息技術(shù)架構(gòu)建立了標準和流程（全球平均值為51%），33%建立了業(yè)務持續(xù)經(jīng)營計劃或災難性恢復計劃（全球平均值為55％）。

普華永道北京信息安全咨詢合伙人季瑞華認為：“中國企業(yè)應該以此為契機，緊密結(jié)合正確的安全策略、人員布置和有效的管理流程，使現(xiàn)有的信息安全技術(shù)為企業(yè)提供最大的效益。”

在本次調(diào)查中，74%的受訪者認為，在未來的12個月內(nèi)，信息安全支出將會增長或者保持現(xiàn)有水平。盡管企業(yè)在安全技術(shù)（比如入侵檢測軟件、加密技術(shù)和身份識別管理）上持續(xù)投入大量經(jīng)費，但是他們在正確整合一些關(guān)鍵因素方面仍存在問題。許多企業(yè)的安全管理流程、員工安全意識教育和信息安全技術(shù)或工具的使用之間，似乎存在著一些不協(xié)調(diào)，因而無法從安全技術(shù)投資中得到應有的價值回報。

現(xiàn)在越來越多的企業(yè)會對數(shù)據(jù)庫、筆記本電腦、備份磁帶以及其他介質(zhì)進行加密。62%的受訪者說他們所在的企業(yè)布置了入侵檢測軟件，67%安裝了保護應用系統(tǒng)的防火墻，67%為淘汰的電腦硬件建立了處置流程，比例分別高(或持平)于2007年的同類數(shù)據(jù)（52%、62%、67%）。但問題是，企業(yè)信息安全支出仍然主要來自于IT部門，其次為安全部門和市場部門、人力資源部門、法律部門等。這表明，雖然信息安全得到了更多的關(guān)注，但公司層面的信息安全流程和人員安全意識的重要性似乎有些被忽略。

盡管企業(yè)的信息安全成熟度得到顯著提高，但比例非常高的受訪者“不知道什么是他們應該知道的事情”。許多受訪者不能回答關(guān)于他們所在企業(yè)關(guān)鍵信息資產(chǎn)風險的基本問題，35%的受訪者不能確定在過去的12個月中公司發(fā)生了多少次安全事件，42%的受訪者不清楚攻擊或破壞是否最有可能源于員工（現(xiàn)任或前任）、客戶、合作伙伴或供應商，以及黑客等。

雖然回答“不知道什么是他們應該知道的事情”的中國受訪者，其比例相對于北美和歐洲較低，但是當被問到過去12個月中實際遭受的安全事件數(shù)量和財務損失時，平均每個中國受訪者匯報了285例安全事件，而全球受訪者平均匯報了28例，亞洲受訪者平均匯報了45例。從這些安全事件的后果看，平均每個中國受訪者報告了每年約98萬美元的財物損失，而亞洲受訪者平均報告了約75萬美元，印度受訪者平均報告了約30.8萬美元。此外，42%的中國受訪者經(jīng)歷了應用軟件、系統(tǒng)和網(wǎng)絡(luò)等方面的安全事件，而全球這些情況的平均數(shù)據(jù)分別為17%、15%和20%。

調(diào)查發(fā)現(xiàn)，很多受訪者對安全攻擊等安全事件的一手資料缺乏很好的了解。這是事實，但不是重點，重點是如何提高公司持續(xù)抵御和阻止攻擊的能力，并且不會對員工開展的日常業(yè)務產(chǎn)生影響，也不會由于被動應付意外（但可預見）的危機而產(chǎn)生過高成本。這要求有關(guān)公司數(shù)據(jù)及系統(tǒng)風險的關(guān)鍵信息能迅速從第一線向公司其他人傳播，在企業(yè)的每一層面推廣安全意識是至關(guān)重要的。

此次調(diào)查結(jié)果清晰地指明，信息安全和數(shù)據(jù)管理不僅僅是具有一個安全治理框架和技術(shù)支援這么簡單，而是需要三個關(guān)鍵要素（人員、流程及技術(shù)）緊密結(jié)合，并貫穿于整個公司來發(fā)揮效應。