中國企業信息安全落后于全球平均水平

傅毓敏

編者按

時代變遷，信息已經成為一種新型的商業流通介質，是全球聯動的商業世界中不可或缺的一個重要元素。與此同時，保護企業信息資產變得同等重要。不久之前，普華永道聯合《CIO》雜志和《CSO》雜志進行了第六次全球信息安全狀況調查，訪問了超過7000位來自119個國家的CEO、CFO、CIO、CSO等。本文作者概括了一些值得關注的調查結果，有助于我們了解全球信息安全建設的整體狀況。

目前，信息安全在世界各地區有著不同的發展趨勢。調查顯示，在印度公司普遍發展的推動下，亞洲企業在建立領先的信息安全方面已與北美公司處于同一水平，在某些方面甚至有所超越。

盡管中國企業在運用安全技術方面取得了重大成果，但在信息安全策略和管理方面仍顯滯后。中國受訪者中，68％表示其所在企業已安裝了應用防火墻(全球平均值為67％)，59％部署了互聯網服務安全保護措施(全球平均值為58％)。然而，從安全策略及管理方面來看，僅有34％為部署信息技術架構建立了標準和流程(全球平均值為51％)，33％建立了業務持續經營計劃或災難性恢復計劃(全球平均值為55％)。

普華永道北京信息安全咨詢合伙人季瑞華認為：“中同企業應該以此為契機，緊密結合正確的安全策略、人員布置和有效的管理流程，使現有的信息安全技術為企業提供最大的效益。”

在本次調查中，74％的受訪者認為，在未來的12個月內，信息安全支出將會增長或者保持現有水平。盡管企業在安全技術(比如入侵檢測軟件、加密技術和身份識別管理)上持續投入大量經費，但是他們在正確整合一些關鍵因素方面仍存在問題。許多企業的安全管理流程、員工安全意識教育和信息安全技術或工具的使用之間，似乎存在著一些不協調，因而無法從安全技術投資中得到應有的價值回報。

現在越來越多的企業會對數據庫、筆記本電腦、備份磁帶以及其他介質進行加密。62％的受訪者說他們所在的企業布置了入侵檢測軟件，67％安裝了保護應用系統的防火墻，67％為淘汰的電腦硬件建立了處置流程，比例分別高(或持平)于2007年的同類數據(52％、62％、67％)。但問題是，企業信息安全支出仍然主要來自于IT部門，其次為安全部門和市場部門、人力資源部門、法律部門等。這表明，雖然信息安全得到了更多的關注，但公司層面的信息安全流程和人員安全意識的重要性似乎有些被忽略。

盡管企業的信息安全成熟度得到顯著提高，但比例非常高的受訪者“不知道什么是他們應該知道的事情”。許多受訪者不能回答關于他們所在企業關鍵信息資產風險的基本問題，35％的受訪者不能確定在過去的12個月中公司發生了多少次安全事件，42％的受訪者不清楚攻擊或破壞是否最有可能源于員工(現任或前任)、客戶、合作伙伴或供應商，以及黑客等。

雖然回答“不知道什么是他們應該知道的事情”的中國受訪者，其比例相對于北美和歐洲較低，但是當被問到過去12個月中實際遭受的安全事件數量和財務損失時，平均每個中國受訪者匯報了285例安全事件，而全球受訪者平均匯報了28例，亞洲受訪者平均匯報了45例。從這些安全事件的后果看，平均每個中國受訪者報告了每年約98萬美元的財物損失，而亞洲受訪者平均報告了約75萬美元，印度受訪者平均報告了約30.8萬美元。此外，42％的中國受訪者經歷了應用軟件、系統和網絡等方面的安全事件，而全球這些情況的平均數據分別為17％、15％和20％。

調查發現，很多受訪者對安全攻擊等安全事件的一手資料缺乏很好的了解。這是事實，但不是重點，重點是如何提高公司持續抵御和阻止攻擊的能力，并且不會對員工開展的日常業務產生影響，也不會由于被動應付意外(但可預見)的危機而產生過高成本。這要求有關公司數據及系統風險的關鍵信息能迅速從第一線向公司其他人傳播，在企業的每一層面推廣安全意識是至關重要的。

此次調查結果清晰地指明，信息安全和數據管理不僅僅是具有一個安全治理框架和技術支援這么簡單，而是需要三個關鍵要素(人員、流程及技術)緊密結合，并貫穿于整個公司來發揮效應。