【51CTO.com 綜合消息】北京，2009年3月2日 ，IT Policy Compliance Group今天發布了題為《加強管理信息安全與審計可改善業績》的最新基準研究報告。

該報告在對全球2600多家企業進行調查后得出結論，由于當前全球經濟危機所帶來的負面影響，68%的企業在信息安全方面投入明顯不足。該報告同時指出，對大多數公司來說，若在信息安全與審計管理最佳實踐方面持續增加投入可使其獲得超過200%的經濟回報。

這個由計算機安全協會（Computer Security Institute）、國際內部審計師協會（The institute of Internal Auditors）、甫瀚公司（Protiviti）、國際信息系統審計與控制協會(ISACA)、IT治理協會（IT Governance Institute）以及賽門鐵克公司（NASDAQ:  SYMC）共同支持的新研究報告主要探討了以下內容：基于風險的并且以成效為導向的信息安全預算方式；有助于業務和財務風險管理的IT實踐；IT審計方面的支出大幅度降低。

賽門鐵克公司首席研究經理兼IT Policy Compliance Group 總經理Jim Hurley指出： “正如購買免賠保險一樣，所有公司都希望能夠將客戶數據被盜所產生的財務風險和損失或IT系統中斷而導致的業務損失控制在一定范圍之內，但是，該研究結果表明，由于一家公司的損失承受度非常之低，所以即便在小處著眼加以改進，也將帶來極高的經濟回報。”

最關鍵的業務風險

在IT可能帶來的各種風險中，各公司將以下三項列為最關鍵的業務風險：敏感信息的保密性；IT信息、資產和控制的完整性；IT服務的可用性。IT PCG報告利用現有的評判基準，針對這三種風險對公司績效的影響進行評估，該基準調查的主要結果可分為三類：

最差結果:19%的公司每年經歷15次以上的數據丟失或被盜事件，80小時以上因IT故障帶來的業務中斷，15種以上不符合IT審計要求的缺陷。

正常結果:68%的公司運營水平“正常”，每年經歷3-15次數據丟失或被盜事件，7-79小時以上因IT故障帶來的業務中斷，3-15種以上不符合IT審計要求的缺陷。

最佳結果:只有13%的公司獲得最佳的結果，每年經歷3次以下的數據丟失或被盜事件，因IT故障帶來的業務中斷在7小時以內，3種以下不符合IT審計要求的缺陷。這些公司每年從這些方面獲得的經濟回報為22%至3000%不等。

令人意外的是，表現最差和表現最好者之間造成差異的主要原因并非安全預算的多少。事實上，參與調查者安全預算的差異微乎其微，歸根結底還是如何使用這些預算。根據本次報告，獲得最佳結果、最少經濟損失的組織所采用的最佳實踐主要有以下五種：

1.高級管理團隊參與管理風險

2.確定風險優先級，改善控制，使流程自動化

3.對控制和風險不斷進行評估

4.采用技術控制、政策和IT變化管理

5.實施綜合匯報制度

財務表現

調查表明，與這些IT風險相關的財務結果幾乎與IT管理這些風險所實施的最佳實踐完全對應。毫無疑問，采用最佳實踐的公司所經歷的財務損失成本與頻率都是最低。

而獲得最差結果的公司則浪費了過多的成本，其因數據丟失和被盜所損失的成本相當于全年收入的9.6%，因業務中斷所損失的成本幾乎相當于全年收入的3%。

在收入達50億美元的公司范圍內，獲得最差結果的企業，其數據丟失或被竊及業務中斷所帶來的總成本竟高達3.29億美元，而實施了最佳實踐的企業所損失的總成本僅為225萬美元 – 比前者低149倍。

Jim Hurley 表示：“企業可以選擇坐等緊急情況出現時被迫重新確定優先級；或者他們可以預先決定，部署這些已被行業證實的最佳實踐以實現最佳利益。”

研究同時發現，實際上那些擁有最佳結果的公司在審計費用和支出方面比其他企業低35%至52%。對于這些公司來說，合理調整用于降低風險、損失和審計費用的支出所帶來的經濟回報與公司能夠承擔的損失相比要高出1000-500,000%。#p#

來自IT Policy Compliance Group 成員的觀點

IT治理協會IT風險特別行動小組成員Brian Barnier說：“這一報告清楚地表明，公司可從安全性、可用性和其他IT相關業務風險的有效管理中受益，包括主動下載COBIT（信息及相關技術的控制目標）框架等最佳實踐，幫助企業采取具體措施有效降低風險，使IT價值最大化。”

甫瀚公司(Protiviti) 負責信息安全和數據隱私實踐的總經理Rocco Grillo說：“IT Policy Compliance Group的研究揭示，那些致力于改善自己IT安全風險管理的公司將得到各種實惠，包括降低財務風險發生率以及節省IT監管審計費用和支出等。

IT PCG的發現使業內推斷的最佳實踐獲得了肯定：那些采用自上而下的管理方式、擁有專人管理和監督業務經營的組織有著最具成本效益、最全面的信息安全計劃。”

關于此項研究

IT Policy Compliance Group研究的內容基準來源于其支持機構、顧問機構以及集團內部成員的調查計劃以及其他機構調查的主要發現。此報告中最新的基準制定來自于2008年9月到12月間對734家獨立并具備資格的組織的調查。

所有參與最新基準制定的734家組織皆來自北美洲，其中多數（95%）來自美國。2600家參與組織中大部分 （95%）來自美國。其他10%的組織則分別來自歐洲、拉丁美洲、中東、亞洲和亞太地區的國家。

關于 IT Policy Compliance Group

IT Policy Compliance Group致力于促進將有助于IT安全專業人員符合他們企業策略與遵從目標的研究與信息開發。

其成員來自眾多領先機構，其中包括：計算機安全協會（Computer Security Institute），國際內部審計師協會(The institute of Internal Auditors)，甫瀚公司（Protiviti），國際信息系統審計與控制協會(ISACA)，IT治理協會(IT Governance Institute)以及賽門鐵克公司。如需了解更多相關信息，請訪問：www.ITPolicyCompliance.com。

關于賽門鐵克

賽門鐵克公司是全球領先的安全、存儲與系統管理解決方案供應商，致力于幫助企業和個人消費者保護并管理信息。公司總部設在美國加州的 Cupertino，現已在 40多個國家設有分支機構。要了解更多相關信息，歡迎瀏覽賽門鐵克公司網站：http://www.symantec.com。

查詢請致電

【相關文章】

1. 賽門鐵克、Juniper應對微軟安全攻勢
2. 賽門鐵克全球范圍快速發布安全產品
3. 賽門鐵克：攻擊者瞄準Excel 2007未修復漏洞