驾驭变化 - 安永第12届年度全球信息安全调查

《驾驭变化 - 安永第12届年度全球信息安全调查》由会员分享，可在线阅读，更多相关《驾驭变化 - 安永第12届年度全球信息安全调查（28页珍藏版）》请在金锄头文库上搜索。

1、驾驭变化 安永第安永第12届年度全球信息安全调查届年度全球信息安全调查 iv驾驭变化 安永第12届年度全球信息安全调查 前言 1 摘要 驾驭变化 3 管理风险 4 应对挑战 8 合规 12 利用新技术 16 结语 20 调查方法 22 关于安永 24 1驾驭变化 安永第12届年度全球信息安全调查 前言 去年 我们见证了全球经济环境发生前所未有的变化 削减成本的压力上升 政 府和行业监管加强 为业界带来新的风险和挑战 使得许多企业疲于应对 而这 些挑战也极大地影响到企业的信息安全策略 同时 企业引进和采用了各种新技 术 其中有些技术有助于改进企业的信息安全 而有些技术却带来了新的风险 引发了新的

2、担忧 调查结果令人鼓舞 因为许多企业目前采用了更具全局性的安全观 注重其信息 安全计划的总体健全性 但是 安永的调查结果亦显示 预算和资源不足仍然是 许多企业面临的一大挑战 安永全球信息安全调查是此类调查中历史悠久并获高认可度的年度调查之一 12 年来 安永的调查对于客户将主要精力集中于适当的风险领域和工作重点 弄清 其优势及不足以及改进其信息安全工作起到很大的帮助作用 我们为此而骄傲 给我们留下深刻印象的还有 本年度调查得到了于调查开展十多年以来最高水平 的参与度 充分表明信息安全仍然是客户的一项重点关注的问题 在此 我们衷心感谢参与此次调查活动的近1 900家机构 感谢他们百忙之中抽 出时

3、间回应我们的调查 与我们分享他们的观点 我的同事及我本人相信 本报 告丰富的信息量和深入的专业见解将对贵公司有所帮助 我们盼望着能有机会与 您当面畅谈贵公司具体的信息安全风险与挑战 这将有助于贵公司走在变化的前 沿 令您和贵公司充分发展潜能 Paul van Kessel 安永全球科技与信息安全咨询服务主管合伙人 1驾驭变化 安永第12届年度全球信息安全调查 2驾驭变化 安永第12届年度全球信息安全调查2驾驭变化 安永第12届年度全球信息安全调查 3驾驭变化 安永第12届年度全球信息安全调查 摘要 驾驭变化 在这样一个变革的环境中 贵公司是如何保护品牌和声誉的 如何识别并管理新的风险 如何战胜

4、日益严峻的挑战 落实有 效的信息安全计划 如何遵循新法规及行业要求 如何利用各 种技术实现经营目标并加强信息安全工作 如果企业想要做到驾驭变化和保护企业最重要的信息资产 上述问题只是 信息安全管理人员目前全力应对 并必须找到解决之道的部分问题 去年 我们见证了全球经济低迷演变成一场危机 波及到许多国家和许多 企业 我们亦看到 许多行业的竞争格局发生了重大变化 尽管全球经济 已显复苏迹象 许多公司在重塑 重组 重新改造的过程中仍然感受到危 机的影响 受当前经济环境影响 负责企业信息安全的管理人员面临诸多挑战 如果 认为信息安全尚未受到经济压力的影响未免天真 降低成本以及提高投 资效益的要求已延伸

5、到企业的各个领域 包括信息安全职能 安永的调查 显示 许多企业都在为缺乏训练有素的信息安全人才而苦恼 受访者亦指 出 充裕的信息安全预算将是未来一年内面临的一大挑战 有显著的迹象 显示 信息安全不可能不受到外部经济力量的影响 因此 必须找到办法 以最低成本提升其效率和效力 当前经济环境导致企业面临更多的内 外部威胁 对于最近离职员工可能 采取的报复行为以及公司网站和网络受到外部攻击的事件增多 受访者们 对此表示关注 合规也是负责信息安全人员关心的头等大事 调查证实 合规依然是改进 信息安全工作的重要推动因素 一些行业和国家正在着手采取行动 加强 监管 主要是有关数据保护和隐私保护方面的监管 相

6、应地 由于法律法 规数量的增多和复杂程度的上升 许多公司的合规成本也在上升 本调查中 我们近距离地观察企业是如何具体应对这个不断变化的经济环 境 包括应对各种风险 挑战 日益增多的监管要求和新技术 此调查结 果亦对潜在改进机会以及将在未来数年影响信息安全格局的重要长 短期 趋势进行了阐述和分析 信息安全不可能不受 到外部经济力量的影 响 因此 必须找到 以最低成本提升其效 率和效果的方式 4驾驭变化 安永第12届年度全球信息安全调查 风险管理 过去几年中 我们看到 利用技术支持信息流动的方式已发生变化 劳动力流动 性日益加大和日益全球化 以及宽带和无线技术的迅速推广 改变了企业利用技 术和信息

7、的方式 因此而扩大 甚至可以说消除了企业的传统界限和常规的数字 化周界模式 现在 企业必须调整其信息安全风险管理策略 从 防范坏人 到 无处不在地保护信息安全 我们认为 这是一种更加强调 以信息为中 心 的安全观 也是更有效的办法 对于受访者而言 改进信息安全风险管理成 为首要任务也就不足为奇了 调查显示 50 的受访者表示计划明年增加此方面 的支出 39 的受访者表示将维持不变 与上一年相比 贵公司计划明年在下述活动中增加 减少或保持支出不变与上一年相比 贵公司计划明年在下述活动中增加 减少或保持支出不变 14 14 17 20 24 28 28 30 32 36 39 41 43 50 5

8、9 67 39 58 59 60 57 56 55 54 49 42 47 39 18 9 5 16 9 6 7 6 8 4 7 9 5 5 9 10 39 6 8 6 8 8 5 6 5 8 5 6 安全职能外包 法务 反欺诈支持 实施其他技术 人员配置 实施各项标准 合规 实施或改进IAM技术和流程 实施或改进安全开发流程 进行安全测试 风险管理 内部安全意识和培训 实施虚拟化技术 实施或改进DLP技术和流程 改进信息安全风险管理 增加支出未回答 减少支出 保持不变 监管机构在推动以信息为中心的安全策略的作用监管机构在推动以信息为中心的安全策略的作用 新加坡金融管理局最近发布一系列指南 要

9、求金融服务机构对可能通过终端泄露信息的风险进 行评估 这一策略强调构建跟踪信息流的控制措施 以及企业需要对自身的风险状况以及其采 取的 保护数据安全的控制措施有切实的了解 图中所示为受访者百分比 改进信息安全风险管 理是未来一年的首要 任务 5驾驭变化 安永第12届年度全球信息安全调查 威胁增多威胁增多 除因为技术变化外 当前经济环境也导致了企业面临的威胁增多 这些增多不仅 仅来自外部 同样来自企业内部 安永的调查发现 41 的受访者注意到外部攻 击事件增多 25 的受访者称企业内部攻击事件增多 而13 的受访者称内部欺 诈事件增多 当前经济环境下 您是否注意到或感觉到贵公司面临的威胁发生了变

10、化当前经济环境下 您是否注意到或感觉到贵公司面临的威胁发生了变化 13 19 25 41 44 内部欺诈增多 外部欺诈增多 内部攻击 如员工滥用职权 窃取信息等 增多 外部攻击 如网络钓鱼 攻击网站等 增多 未注意到发生变化 信息安全风险管理 信息安全风险管理 信息安全风险管理指 1 识别和了 解潜在威胁和风险 2 就确定风险 程度进行评估 3 风险整改 以及 4 持续执行前述活动 信息安全风 险管理亦包括在企业内部进行必要的 沟通和风险报告 图中所示为受访者百分比 41 的受访者注意到 外部攻击增多 25 的受访者称内部攻击 增多 6驾驭变化 安永第12届年度全球信息安全调查 7 非常担忧

11、但尚未采取措施缓解 潜在风险 25 不担忧 26 非常担忧 正采取措施缓解风险 42 有些担忧 正试图了解潜在风险 风险管理 续 信息安全管理体系信息安全管理体系 信息安全管理体系的核心是要有一套系统的 可重复执行的风险管理办法 这也 正是大部分公司解决其信息安全风险所采用的办法 调查结果显示 44 的受访 者目前拥有或正在落实其信息安全管理体系 另有32 的受访者正在考虑采用信 息安全管理体系 信息安全标准亦正在许多企业的信息安全管理体系建设中起着越来越重要的作 用 尽管只有8 的受访者获得正式的认证 36 的受访者表示正采用ISO IEC 27001 2005安全标准作为其信息安全管理体系

12、的基础 信息安全标准可为企业 提供一系列与信息安全风险管理相关的领先实务 是制定综合性和有效的信息安 全管理体系的必由开端 图中所示为受访者百分比 在当前经济环境下 贵公司对于近期离职员工可能采取报复行为的担忧程度在当前经济环境下 贵公司对于近期离职员工可能采取报复行为的担忧程度 如何如何 与内部 外部攻击事件增多相比 更值得留意的是 多达75 的受访者提到对于 最近离职员工可能采取报复行为的担忧 其中33 的受访者表示非常担忧 调 查结果还显示 42 的受访者正试图了解与此相关的潜在风险 26 的受访者已 采取措施缓解风险 75 的受访者流提到 对于最近离职员工可 能采取报复行为的担 忧 7

13、驾驭变化 安永第12届年度全球信息安全调查 贵公司是否已实施信息安全管理体系 对信息安全进行总体管理贵公司是否已实施信息安全管理体系 对信息安全进行总体管理 信息安全管理标准 信息安全管理标准 ISO IEC 27001 2005 为建立 实施 操作 监控 评估 维护和 改进信息安全管理体系提供了一个 模式 ISO IEC 27002 2005 列出了根 据ISO IEC 27001 2005中的指引而 可能实施的控制和控制机制 为在 企业内建立 实施 操作 监控 评估 维护和改进信息安全管理确 立了方针和一般原则 信息安全论坛 信息安全论坛 信息安全良好实务 的标准 致力于从企业角度出发 解

14、决信息安全问题 为实施和评估 企业信息安全工作提供了切实的基 础 安永的观点安永的观点 调查显示 企业面临的内 外部风险继续上升 为管理不断上升的风险 企业应 制定应对措施以解决因裁员导致员工离开公司可能带来的风险 企业还应实施具 体的风险评估 确定在此方面的潜在风险 并以风险为基础 建立适当的应对措 施 信息安全风险管理是一项困难的工作 尤其是在不断变化的环境之下就更是如 此 要求采用灵活的管理办法 集中解决最重要的问题 保护企业的关键信 息 企业需持 以信息为中心 的风险观 确保风险管理措施能够更好地与企业 的信息流情况相配合 只有了解了关键业务过程中的信息使用情况 企业 尤其 是信息安全

15、部门 才能真正管理其安全需求 以信息为中心 的安全观远远超 越信息技术的范畴 要想成功实施此安全策略 就需要将信息安全职能与企业进 行更紧密的结合 这将有助于改变企业内对于安全职能的看法 将其视为一个具 灵活性 负责任的企业公民而非实现商业目标的 绊脚石 24 否 也未予考虑 32 否 但正考虑 17 是 目前正在落实中 19 是 但无计划取得认证 8 是 已实施并获正式认证 图中所示为受访者百分比 8驾驭变化 安永第12届年度全球信息安全调查 应对挑战 总体来看 影响企业有效实施信息安全举措能力的挑战在过去几年中变化不大 排在前三位的仍是可用资源 预算和企业意识问题 然而 今年的调查结果显

16、示 囿于资源和预算问题的企业有所增加 这从一个侧面证实 信息安全职能也 不可能不受到当前经济环境的影响 与企业任何其他职能一样 也在争夺着企业 那原本就不多的资源 可用资源可用资源 2009年 有效施行信息安全管理面临的最大挑战就是缺乏适合的资源 56 的受 访者将此问题列为主要 4级 或重大 5级 挑战 按1 5级划分 与2008年调查中的 48 相比 提高了8个百分点 而另一方面 受访者们却表示 未来12个月内 削减开支的两个主要领域将是外包服务 18 和内部人员配置 16 看来尽管许 多企业认识到可用资源是其面临的最大挑战 但只有20 的受访者计划雇用更多 员工 只有14 的受访者计划加大外包支出以解决这一问题 下述挑战如何影响于贵公司有效实施信息安全举措下述挑战如何影响于贵公司有效实施信息安全举措 2009年 有效实施信 息安全管理面临的最 大挑战就是缺乏适当 的资源 8 5 8 12 11 9 13 19 20 19 22 22 21 23 29 35 31 36 29 35 31 27 23 36 33 29 28 25 25 23 20 20 19 14 14 11 19