中國企業(yè)信息安全落后于全球平均水平

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

目前，信息安全在世界各地區(qū)有著不同的發(fā)展趨勢(shì)。調(diào)查顯示，在印度公司普遍發(fā)展的推動(dòng)下，亞洲企業(yè)在建立領(lǐng)先的信息安全方面已與北美公司處于同一水平，在某些方面甚至有所超越?！　?/P>

盡管中國企業(yè)在運(yùn)用安全技術(shù)方面取得了重大成果，但在信息安全策略和管理方面仍顯滯后。中國受訪者中，68%表示其所在企業(yè)已安裝了應(yīng)用防火墻（全球平均值為67%），59%部署了互聯(lián)網(wǎng)服務(wù)安全保護(hù)措施（全球平均值為58%）。然而，從安全策略及管理方面來看，僅有34%為部署信息技術(shù)架構(gòu)建立了標(biāo)準(zhǔn)和流程（全球平均值為51%），33%建立了業(yè)務(wù)持續(xù)經(jīng)營計(jì)劃或?yàn)?zāi)難性恢復(fù)計(jì)劃（全球平均值為55％）。

普華永道北京信息安全咨詢合伙人季瑞華認(rèn)為：“中國企業(yè)應(yīng)該以此為契機(jī)，緊密結(jié)合正確的安全策略、人員布置和有效的管理流程，使現(xiàn)有的信息安全技術(shù)為企業(yè)提供最大的效益。”

在本次調(diào)查中，74%的受訪者認(rèn)為，在未來的12個(gè)月內(nèi)，信息安全支出將會(huì)增長(zhǎng)或者保持現(xiàn)有水平。盡管企業(yè)在安全技術(shù)（比如入侵檢測(cè)軟件、加密技術(shù)和身份識(shí)別管理）上持續(xù)投入大量經(jīng)費(fèi)，但是他們?cè)谡_整合一些關(guān)鍵因素方面仍存在問題。許多企業(yè)的安全管理流程、員工安全意識(shí)教育和信息安全技術(shù)或工具的使用之間，似乎存在著一些不協(xié)調(diào)，因而無法從安全技術(shù)投資中得到應(yīng)有的價(jià)值回報(bào)。

現(xiàn)在越來越多的企業(yè)會(huì)對(duì)數(shù)據(jù)庫、筆記本電腦、備份磁帶以及其他介質(zhì)進(jìn)行加密。62%的受訪者說他們所在的企業(yè)布置了入侵檢測(cè)軟件，67%安裝了保護(hù)應(yīng)用系統(tǒng)的防火墻，67%為淘汰的電腦硬件建立了處置流程，比例分別高(或持平)于2007年的同類數(shù)據(jù)（52%、62%、67%）。但問題是，企業(yè)信息安全支出仍然主要來自于IT部門，其次為安全部門和市場(chǎng)部門、人力資源部門、法律部門等。這表明，雖然信息安全得到了更多的關(guān)注，但公司層面的信息安全流程和人員安全意識(shí)的重要性似乎有些被忽略。

盡管企業(yè)的信息安全成熟度得到顯著提高，但比例非常高的受訪者“不知道什么是他們應(yīng)該知道的事情”。許多受訪者不能回答關(guān)于他們所在企業(yè)關(guān)鍵信息資產(chǎn)風(fēng)險(xiǎn)的基本問題，35%的受訪者不能確定在過去的12個(gè)月中公司發(fā)生了多少次安全事件，42%的受訪者不清楚攻擊或破壞是否最有可能源于員工（現(xiàn)任或前任）、客戶、合作伙伴或供應(yīng)商，以及黑客等。

雖然回答“不知道什么是他們應(yīng)該知道的事情”的中國受訪者，其比例相對(duì)于北美和歐洲較低，但是當(dāng)被問到過去12個(gè)月中實(shí)際遭受的安全事件數(shù)量和財(cái)務(wù)損失時(shí)，平均每個(gè)中國受訪者匯報(bào)了285例安全事件，而全球受訪者平均匯報(bào)了28例，亞洲受訪者平均匯報(bào)了45例。從這些安全事件的后果看，平均每個(gè)中國受訪者報(bào)告了每年約98萬美元的財(cái)物損失，而亞洲受訪者平均報(bào)告了約75萬美元，印度受訪者平均報(bào)告了約30.8萬美元。此外，42%的中國受訪者經(jīng)歷了應(yīng)用軟件、系統(tǒng)和網(wǎng)絡(luò)等方面的安全事件，而全球這些情況的平均數(shù)據(jù)分別為17%、15%和20%。

調(diào)查發(fā)現(xiàn)，很多受訪者對(duì)安全攻擊等安全事件的一手資料缺乏很好的了解。這是事實(shí)，但不是重點(diǎn)，重點(diǎn)是如何提高公司持續(xù)抵御和阻止攻擊的能力，并且不會(huì)對(duì)員工開展的日常業(yè)務(wù)產(chǎn)生影響，也不會(huì)由于被動(dòng)應(yīng)付意外（但可預(yù)見）的危機(jī)而產(chǎn)生過高成本。這要求有關(guān)公司數(shù)據(jù)及系統(tǒng)風(fēng)險(xiǎn)的關(guān)鍵信息能迅速從第一線向公司其他人傳播，在企業(yè)的每一層面推廣安全意識(shí)是至關(guān)重要的。

此次調(diào)查結(jié)果清晰地指明，信息安全和數(shù)據(jù)管理不僅僅是具有一個(gè)安全治理框架和技術(shù)支援這么簡(jiǎn)單，而是需要三個(gè)關(guān)鍵要素（人員、流程及技術(shù)）緊密結(jié)合，并貫穿于整個(gè)公司來發(fā)揮效應(yīng)。