信息安全:保护业务运作的“新货币”

在信息技术高度发达的今天，信息已成为业务运作的“新货币”，成为公司一项重要的资产。如何保护这些“新货币”，是我们面临的挑战。

信息的便携性、可进入性以及在国际上、企业间、组织间的流动性是全球协作的、相互联系的商业世界的重要组成部分。因此，保护企业信息安全日益凸显其重要性。

2008年10月30日，普华永道了第六次年度全球信息安全状况调查结果，这项调查由普华永道与CIO杂志、CSO杂志在全世界范围内开展，是同类调查中规模最大的。超过119个国家，来自各个行业的7000位信息安全管理人员就保护公司信息资产的现状、面临的挑战、存在的隐患等方面接受了调查。调查结果对于分析2008年全球用户面临的安全威胁以及未来该如何防范，具有很重要的启示意义。

一、 2008全球用户面临的主要安全难题。

2008年，全球用户面临的主要安全难题主要体现在以下三个方面。

1. 安全技术投入增加，但价值提升不明显

2008年，全球很多用户有了专门负责信息安全的领导，并有了专门的信息安全计划，但哪些是投资的重点领域呢？答案是技术。2008年，全球来自不同行业、国家和地区的用户在信息安全技术方面的投入都有两位数的增长，这些投入覆盖到从预防到检测的每一个领域。图1指出了全球用户在数据加密技术上的投入增长情况。

但是，并不是所有投入都与企业战略发展方向相一致。2008年，38%的CISO（首席信息安全官）认为企业安全政策与企业商业目标相一致，但只有22%的CISO认为安全支出与企业商业目标相一致，这两个数值之间的差距说明，企业的领导团队需对安全究竟能为企业业务带来哪些益处达成一致。否则，执行上的偏差将会有损企业信息安全技术投入的价值。

2. 对风险事件的理解不深

信息安全发展的道路并非一帆风顺。尽管企业的信息安全成熟度显著提高，但仍然有很多人“不知道什么是他们应该知道的事情”。超过30%的人不能回答有关他们公司关键信息资产风险的基本问题。

同时，企业对于实际安全事件的一些很重要的细节也未能全面掌握。原因之一是，在过去一年对技术的投入过于集中，而对影响重要安全效益的其他因素，比如与现有技术相匹配的关键安全管理流程和操作人员这两方面，并未进行同等的投入。

3. 没有完全找对信息安全的切入点

虽然业务运作与安全的优先等级在各个国家、企业不尽相同，但用户的反馈表示，他们并没有完全找对信息安全的切入点。我们认为，保护敏感信息安全的最清晰及最有效的机会集中在如下五方面:

（1）提高隐私保护; （2）强化对系统和信息访问权限的设置; （3）加强对资料来源、业务伙伴或其他合作网络的安全保护; （4）合理运用人员与技术，充分利用资料遗失防护技术(Data Loss Prevention); （5）用风险导向加强相关的法规及标准的合规性管理，包括从萨班斯•奥克斯利法案、欧盟数据保护指令到全球支付卡行业数据安全标准等。

二、2008中国技术投入超前，但战略滞后。

具体到各个区域，亚洲公司的发展令人印象深刻，在加强信息安全方面已经取得了显著的成果。亚洲公司在建立信息安全实践中已与北美公司处于同一水平，在某些方面甚至有所超越。比如，71%的亚洲企业“每年至少进行一次企业风险评估”，而在北美，只有59%的企业这样做; 63%的亚洲企业雇用了高级信息安全管理人员，而北美则仅有52%的企业聘请了CISO或CSO。

中国在改善信息安全方面付出了巨大的努力。如图2所示。

但是，中国公司在人员管理及流程管理等领域则处于中等水平，从信息安全战略制定和管理角度看，中国仍显滞后。我们以全球的平均水平为基础，总结中国的信息安全管理人员应该特别注意的八个方面:

1.在中国，44%的信息安全事件与数据失窃有关，而全球的平均水平是16%。

2. 信息安全事件在中国造成的经济损失平均约为98.3万美元，远高于亚洲平均值74.4万美元和印度平均值的30.9万美元。

3. 仅有53%的中国用户对数据传输进行加密，而全球的平均水平是62%。

4. 在中国香港地区，仅有17%的用户要求他们的员工完成保密制度的培训，而全球的平均水平是41%。

5. 仅有44%的中国用户实施了集中的信息安全管理流程，全球的平均水平是51%。

6. 在中国，49%的用户表示中国信息安全事件涉及公司雇员。

7. 仅有34%的受访者为部署信息技术架构建立了标准和流程（全球平均值是51%）。

8. 仅有33%的受访者建立了业务连续性计划或灾难恢复计划，远低于全球平均水平的55%。

中国企业已经在改善信息安全机制方面取得了明显进步，应该以此为契机，紧密结合正确的安全策略、人员安排和有效的管理流程，使现有的信息安全技术为企业提供最大的效益。

特别需要强调的是: 许多中国人不清楚有关信息安全的基本信息，这成为2008年最主要的安全隐患。超过30%的用户不能回答关于公司最敏感信息风险的基本问题; 35%的人不知道公司发生了多少次安全事件; 44% 的人不知道发生的安全事件属于哪种类型。

中国的用户在回答“不知道什么是他们应该知道的事情”这个问题上，相对于北美和欧洲显示出一个较低的比例。然而，当被问到过去12个月中实际的安全事件数量、类型以及由此产生的财务损失时，却显示出相对高得多的数字。平均起来，每个中国用户汇报了285例安全事件，而全球平均是28例，亚洲平均是45例。

2008年的调查数据清晰地表明，信息安全和数据管理不仅仅是制定一个安全治理框架和投资技术这么简单，而是需要三个关键要素―人员、流程和技术的紧密结合才能发挥效应。