首页>> CNII特约记者观察>> 徐勇

亚洲在推动信息安全方面有成效

2008-11-1108:31

近日发布的2008年进行的第六次年度全球信息安全状况调查结果显示,亚洲公司在加强信息安全方面已经取得了辉煌的成果。这项调查由普华永道与CIO杂志、CSO杂志在全世界范围内共同开展,是同类调查中规模最大的。超过119个国家,来自各个行业的7000名信息安全管理人员就保护公司信息资产所面临的挑战接受了调查。

调查显示,得益于印度公司普遍发展,亚洲企业在信息安全实践中已与北美公司处于同一水平,在某些方面甚至有所超越。普华永道北京系统与流程管理合伙人季瑞华说:“尽管中国在提供信息安全和隐私的保障方面略显落后,但是今年的调查显示中国公司已经在改善信息安全机制方面付出了巨大的努力。”

同时,虽然中国在运用安全技术方面取得了重大成果,但在信息安全战略和管理方面仍显得滞后。68%的中国受访者安装了应用防火墙(全球平均值为67%);59%部署了互联网服务安全保护措施(全球平均值是58%)。然而从安全战略和管理方面来看,仅有34%的受访者为部署信息技术架构建立了标准和流程(全球平均值是51%);仅有33%的受访者建立了业务持续经营计划或灾难恢复计划(远低于全球平均水平55%)。季瑞华认为:“中国企业应该以此为契机,紧密结合正确的安全策略、人员布置和有效的管理流程,使现有的信息安全技术为企业提供最大的效益。”

今年,来自众多不同行业和市场、国家和地区、业务模型和公司规模的受访者反映,在实施新的安全技术方面有两位数的增长。总的来说,74%的受访者认为在未来的12个月信息安全支出将会增长或者保持现有水平。尽管企业在安全技术上持续投入大量经费,比如入侵检测软件、加密技术和身份识别管理,然而他们在正确统一一些关键因素方面仍存在问题。普华永道上海系统与流程管理合伙人傅毓敏说:“许多企业在所采用的安全技术工具和安全流程、员工意识及教育机制之间似乎存在着一些不协调,从而无法从他们的安全投资中得到应有的价值回报。”

根据此项调查,现在更多的企业会对数据库(55%)、笔记本电脑(50%)、备份磁带(47%)以及其他介质进行加密。59%的受访者说他们部署了入侵检测软件(2008年为62%,而2007年为52%),安装了保护应用系统的防火墙(2008年为67%,而2007年为62%),为淘汰的计算机硬件建立了处置流程(2008年为67%,2007年为58%)。“然而问题在于信息安全支出仍然主要来自于IT部门(57%),其次为公司安全部门和其他职能部门,比如市场部门、人力资源和法律部门。这表明,安全技术得到了相对较多的关注,而公司层面的信息安全流程和人员安全意识的重要性似乎有些被忽略。”普华永道中国区系统与流程管理合伙人黄景深提出了上述观点。

尽管企业的信息安全成熟度显著提高,但报告指出非常高比例的受访者“不知道什么是他们应该知道的事情”。许多受访者不能回答有关他们公司关键信息资产风险的基本问题。35%的受访者不能确定在过去的12个月中公司发生了多少次安全事件。

中国的受访者在回答“不知道什么是他们应该知道的事情”这个问题上,相对于北美和欧洲显示出一个较低的比例。然而当被问到过去12个月中实际的安全事件数量、类型以及由此产生的财务损失时,却显示出相对高得多的数字。平均起来,每个中国受访者汇报了285例安全事件,而全球平均是28例,亚洲是45例。从这些安全事件的结果看,中国受访者报告了每年大约98万美元的财务损失,而亚洲国家大约为75万美元,印度大约为30.8万美元。此外,42%的中国受访者经历了应用软件、系统和网络安全事件,而全球平均分别为17%、15%和20%。

“最近一些重大数据安全违规现象和法规的回应再一次强调了信息安全和数据管理的重要性。此次调查结果清晰地指明,信息安全和数据管理不仅是具备一个安全治理框架和技术支持这么简单,而是需要三个关键要素(人员、流程、技术)紧密结合,贯彻于整个公司来发挥效应。”黄景深补充说。

(来源:中国信息产业网-人民邮电报    作者:徐勇)

相关文章

更多>> 论坛精华

更多>> 精彩博文

信息化趋势

产业圈动态

运营业要闻