【51CTO.com 綜合消息】北京，2009年3月2日 ，IT Policy Compliance Group今天發(fā)布了題為《加強管理信息安全與審計可改善業(yè)績》的最新基準研究報告。

該報告在對全球2600多家企業(yè)進行調(diào)查后得出結(jié)論，由于當前全球經(jīng)濟危機所帶來的負面影響，68%的企業(yè)在信息安全方面投入明顯不足。該報告同時指出，對大多數(shù)公司來說，若在信息安全與審計管理最佳實踐方面持續(xù)增加投入可使其獲得超過200%的經(jīng)濟回報。

這個由計算機安全協(xié)會（Computer Security Institute）、國際內(nèi)部審計師協(xié)會（The institute of Internal Auditors）、甫瀚公司（Protiviti）、國際信息系統(tǒng)審計與控制協(xié)會(ISACA)、IT治理協(xié)會（IT Governance Institute）以及賽門鐵克公司（NASDAQ:  SYMC）共同支持的新研究報告主要探討了以下內(nèi)容：基于風險的并且以成效為導向的信息安全預算方式；有助于業(yè)務(wù)和財務(wù)風險管理的IT實踐；IT審計方面的支出大幅度降低。

賽門鐵克公司首席研究經(jīng)理兼IT Policy Compliance Group 總經(jīng)理Jim Hurley指出： “正如購買免賠保險一樣，所有公司都希望能夠?qū)⒖蛻魯?shù)據(jù)被盜所產(chǎn)生的財務(wù)風險和損失或IT系統(tǒng)中斷而導致的業(yè)務(wù)損失控制在一定范圍之內(nèi)，但是，該研究結(jié)果表明，由于一家公司的損失承受度非常之低，所以即便在小處著眼加以改進，也將帶來極高的經(jīng)濟回報。”

最關(guān)鍵的業(yè)務(wù)風險

在IT可能帶來的各種風險中，各公司將以下三項列為最關(guān)鍵的業(yè)務(wù)風險：敏感信息的保密性；IT信息、資產(chǎn)和控制的完整性；IT服務(wù)的可用性。IT PCG報告利用現(xiàn)有的評判基準，針對這三種風險對公司績效的影響進行評估，該基準調(diào)查的主要結(jié)果可分為三類：

最差結(jié)果:19%的公司每年經(jīng)歷15次以上的數(shù)據(jù)丟失或被盜事件，80小時以上因IT故障帶來的業(yè)務(wù)中斷，15種以上不符合IT審計要求的缺陷。

正常結(jié)果:68%的公司運營水平“正?！?，每年經(jīng)歷3-15次數(shù)據(jù)丟失或被盜事件，7-79小時以上因IT故障帶來的業(yè)務(wù)中斷，3-15種以上不符合IT審計要求的缺陷。

最佳結(jié)果:只有13%的公司獲得最佳的結(jié)果，每年經(jīng)歷3次以下的數(shù)據(jù)丟失或被盜事件，因IT故障帶來的業(yè)務(wù)中斷在7小時以內(nèi)，3種以下不符合IT審計要求的缺陷。這些公司每年從這些方面獲得的經(jīng)濟回報為22%至3000%不等。

令人意外的是，表現(xiàn)最差和表現(xiàn)最好者之間造成差異的主要原因并非安全預算的多少。事實上，參與調(diào)查者安全預算的差異微乎其微，歸根結(jié)底還是如何使用這些預算。根據(jù)本次報告，獲得最佳結(jié)果、最少經(jīng)濟損失的組織所采用的最佳實踐主要有以下五種：

1.高級管理團隊參與管理風險

2.確定風險優(yōu)先級，改善控制，使流程自動化

3.對控制和風險不斷進行評估

4.采用技術(shù)控制、政策和IT變化管理

5.實施綜合匯報制度

財務(wù)表現(xiàn)

調(diào)查表明，與這些IT風險相關(guān)的財務(wù)結(jié)果幾乎與IT管理這些風險所實施的最佳實踐完全對應。毫無疑問，采用最佳實踐的公司所經(jīng)歷的財務(wù)損失成本與頻率都是最低。

而獲得最差結(jié)果的公司則浪費了過多的成本，其因數(shù)據(jù)丟失和被盜所損失的成本相當于全年收入的9.6%，因業(yè)務(wù)中斷所損失的成本幾乎相當于全年收入的3%。

在收入達50億美元的公司范圍內(nèi)，獲得最差結(jié)果的企業(yè)，其數(shù)據(jù)丟失或被竊及業(yè)務(wù)中斷所帶來的總成本竟高達3.29億美元，而實施了最佳實踐的企業(yè)所損失的總成本僅為225萬美元 – 比前者低149倍。

Jim Hurley 表示：“企業(yè)可以選擇坐等緊急情況出現(xiàn)時被迫重新確定優(yōu)先級；或者他們可以預先決定，部署這些已被行業(yè)證實的最佳實踐以實現(xiàn)最佳利益。”

研究同時發(fā)現(xiàn)，實際上那些擁有最佳結(jié)果的公司在審計費用和支出方面比其他企業(yè)低35%至52%。對于這些公司來說，合理調(diào)整用于降低風險、損失和審計費用的支出所帶來的經(jīng)濟回報與公司能夠承擔的損失相比要高出1000-500,000%。#p#

來自IT Policy Compliance Group 成員的觀點

IT治理協(xié)會IT風險特別行動小組成員Brian Barnier說：“這一報告清楚地表明，公司可從安全性、可用性和其他IT相關(guān)業(yè)務(wù)風險的有效管理中受益，包括主動下載COBIT（信息及相關(guān)技術(shù)的控制目標）框架等最佳實踐，幫助企業(yè)采取具體措施有效降低風險，使IT價值最大化?！?/P>

甫瀚公司(Protiviti) 負責信息安全和數(shù)據(jù)隱私實踐的總經(jīng)理Rocco Grillo說：“IT Policy Compliance Group的研究揭示，那些致力于改善自己IT安全風險管理的公司將得到各種實惠，包括降低財務(wù)風險發(fā)生率以及節(jié)省IT監(jiān)管審計費用和支出等。

IT PCG的發(fā)現(xiàn)使業(yè)內(nèi)推斷的最佳實踐獲得了肯定：那些采用自上而下的管理方式、擁有專人管理和監(jiān)督業(yè)務(wù)經(jīng)營的組織有著最具成本效益、最全面的信息安全計劃?！?/P>

關(guān)于此項研究

IT Policy Compliance Group研究的內(nèi)容基準來源于其支持機構(gòu)、顧問機構(gòu)以及集團內(nèi)部成員的調(diào)查計劃以及其他機構(gòu)調(diào)查的主要發(fā)現(xiàn)。此報告中最新的基準制定來自于2008年9月到12月間對734家獨立并具備資格的組織的調(diào)查。

所有參與最新基準制定的734家組織皆來自北美洲，其中多數(shù)（95%）來自美國。2600家參與組織中大部分 （95%）來自美國。其他10%的組織則分別來自歐洲、拉丁美洲、中東、亞洲和亞太地區(qū)的國家。

關(guān)于 IT Policy Compliance Group

IT Policy Compliance Group致力于促進將有助于IT安全專業(yè)人員符合他們企業(yè)策略與遵從目標的研究與信息開發(fā)。

其成員來自眾多領(lǐng)先機構(gòu)，其中包括：計算機安全協(xié)會（Computer Security Institute），國際內(nèi)部審計師協(xié)會(The institute of Internal Auditors)，甫瀚公司（Protiviti），國際信息系統(tǒng)審計與控制協(xié)會(ISACA)，IT治理協(xié)會(IT Governance Institute)以及賽門鐵克公司。如需了解更多相關(guān)信息，請訪問：www.ITPolicyCompliance.com。

關(guān)于賽門鐵克

賽門鐵克公司是全球領(lǐng)先的安全、存儲與系統(tǒng)管理解決方案供應商，致力于幫助企業(yè)和個人消費者保護并管理信息。公司總部設(shè)在美國加州的 Cupertino，現(xiàn)已在 40多個國家設(shè)有分支機構(gòu)。要了解更多相關(guān)信息，歡迎瀏覽賽門鐵克公司網(wǎng)站：http://www.symantec.com。

查詢請致電

【相關(guān)文章】

1. 賽門鐵克、Juniper應對微軟安全攻勢
2. 賽門鐵克全球范圍快速發(fā)布安全產(chǎn)品
3. 賽門鐵克：攻擊者瞄準Excel 2007未修復漏洞