當今企業(yè)面臨的安全風險越來越大，據(jù)2010年CSO（首席安全執(zhí)行官）狀態(tài)調(diào)查報告顯示，各種規(guī)模的企業(yè)開始迅速上線先進的安全解決方案，但即便如此，企業(yè)仍然有更多的工作要做，最顯著是安全考評和宣傳工作。下面一起來看看本次調(diào)查問卷的結(jié)果。

1、根據(jù)每一項描述，給你的組織打分（使用百分數(shù)打分，越高表示越吻合該項描述）。

 
  
花點時間反省以下以上內(nèi)容，對你的工作將有莫大的幫助。

從上表可以看出，6年前，受訪者所在公司對安全風險管理普遍不重視，缺乏安全策略，CSO和安全培訓(xùn)，時至今日情況有所不同了，根據(jù)調(diào)查報告可看出，今年許多公司都建立了安全計劃，包括策略，人事和培訓(xùn)。

除了互聯(lián)網(wǎng)市場外，這十年還有什么技術(shù)能在企業(yè)中如此快速地得到普及？以前談?wù)摪踩偸菕煸谧焐?，沒有實際行動，如果不是近年不斷發(fā)生的攻擊事件，可能還未推動企業(yè)下定決心在安全方面加大投入，但今天的CSO仍然需要更多的動力，才能推進安全建設(shè)工作。

上表顯示的2010年結(jié)果并非偶然，這是這些年來每個領(lǐng)域進步的一種表現(xiàn)。

2、根據(jù)每一項描述，給你的組織打分（使用百分數(shù)打分，越高表示越吻合該項描述）。

上面這兩個問題前面已經(jīng)回答過，很多人都認為大公司在安全方面一定比小公司做得好，但事實恰恰相反，從這個現(xiàn)象我們真的應(yīng)該好好反思。

我們?nèi)ツ昃妥⒁獾酱嬖谶@個現(xiàn)象了，但今年仍然存在有點超乎現(xiàn)象，在去年的調(diào)查中，我們希望藉此確定大型企業(yè)是否會過渡依賴過程，很多人都認為大型組織更傾向于精細化，一定會有專門負責安全的責任人，一定會有專門的安全培訓(xùn)，而很多小公司的管理人員和員工通常都會這樣描述自己的職責“…，以及其它必要的職責”，充分展現(xiàn)小公司一人多職的現(xiàn)象。

但事實就是事實，位于印度Gurgaon Genpact公司的CSO Brian Connor簡單明確地解釋了這一現(xiàn)象，他認為這是因為安全管理人員與員工缺乏溝通造成的。
那該怎么辦呢？弗吉尼亞社區(qū)學院系統(tǒng)的CSO Jason Richards開了一劑良方，定期組織所有人員參與演練，數(shù)據(jù)和場景全部模擬真實環(huán)境，這比辛辛苦苦創(chuàng)作內(nèi)部簡報有效得多。

3、在你的安全預(yù)算過程中使用了下列哪些方法？

  
（受訪者可以選擇多個選項作答）

從上面的表格可以清晰看出，使用常見的財務(wù)方法做預(yù)算的時候越來越少。

這些方法都是標準的，但用在安全預(yù)算方面是出了名的困難，例如，年度虧損預(yù)期是某個行業(yè)的專用術(shù)語，放在另一個行業(yè)就顯得站不住腳。

Richards最后也放棄了這些方法，他說：“我認為將這些方法用在安全預(yù)算領(lǐng)域不是不可能，但的確有難度，一開始人們可能會使用它們，但后來發(fā)現(xiàn)很笨重就會漸漸放棄”。

但如果一點也不用這些正規(guī)的方法也會讓人感到不安，Harland Clarke控股公司的CSO John Petrie說：“雖然這里列出的方法沒有哪一個能完美體現(xiàn)安全的價值，但它們?nèi)匀皇呛饬堪踩珒r值的基礎(chǔ)”。

Petrie在一封郵件中表示，衡量安全的價值除了衡量數(shù)據(jù)的價值外，還應(yīng)該包括企業(yè)的營收（或損失），安全事故響應(yīng)成本，風險，聲譽或其它方面，這些都不容易用具體的數(shù)字來衡量，現(xiàn)在我們正在開發(fā)一套全新的整體的衡量安全價值的方法，當然也包括了傳統(tǒng)的TCO，ROI和EVA方法。

他舉了一個例子，如果僅憑TCO和ROI就象領(lǐng)導(dǎo)推薦數(shù)據(jù)泄漏保護解決方案，肯定會遭到拒絕，但如果結(jié)合它能有效阻止員工泄漏機密數(shù)據(jù)或知識產(chǎn)權(quán)，效果就不一樣了，他說：“這樣就擴大了其價值，因此關(guān)于成本的討論就少了，更多的是關(guān)注可接受的風險了”。

4、與過去12個月相比，你的整體安全預(yù)算有何變化？

上漲了：34%

持平：52%

降低了：14%

不確定：9%

這個趨勢很正常，安全預(yù)算一直處于緩慢增長的態(tài)勢。

5、過去的12個月中，你組織的領(lǐng)導(dǎo)是否給風險管理寄予了更多的價值？

寄予了更多的價值：54%

沒有變化：40%

寄予了更少的價值：6%

這個結(jié)果也很正常，會有越來越多的管理者重視安全。

6、你的組織是否使用了正式的風險管理過程或方法？

2009 年

是的：46%

沒有：57%

2010年

是的：57%

沒有：43%

可以看出，很多企業(yè)開始采納正式的企業(yè)風險管理（ERM）方法，ERM可能取代上面介紹的財務(wù)預(yù)算方法。
Security Risk Management公司的總裁Jeff Spivey在4月召開的CSO大會上做了ERM相關(guān)的報告，他表示企業(yè)在ERM方面投入越多，得到的回報也越大，因此制定一套完善的ERM計劃并付諸實踐，遠比工作在EVA或以成本為基礎(chǔ)的評估方式上更有效。

7、在過去12個月中，在調(diào)整安全制度方面花的時間有何變化？

增長了：56%

沒有變化：42%

減少了：2%

可以看出，花在制度調(diào)整方面的時間呈持續(xù)上升的趨勢。因此在制度建設(shè)方面建立一個明確有效的計劃顯得迫在眉睫。

關(guān)于本次調(diào)查和受訪者

本次CSO狀態(tài)調(diào)查是在線進行的，從中抽取了合格的樣本進行統(tǒng)計，總共有227位安全專家參與了本次調(diào)查，他們來自各個行業(yè)，包括政府和非盈利組織（26%），金融服務(wù)（22%），高科技/電信/公用事業(yè)（15%），制造業(yè)（12%）和醫(yī)療保?。?%）等。調(diào)查報告包括信息安全，隱私，欺詐保護，調(diào)查，審計，人員安全等很多方面的內(nèi)容。

原文出處：www.computerworld.com/s/article/9178655/State_of_the_CSO_2010_Progress_and_peril