企业内部威胁逐渐展露 安全支出成持续增长态势

普华永道最新调查表明：中国在常见的有关隐私安全与信息安全的大多数方面均处于落后状态。“尽管调查结果表明中国各机构在信息安全方面对人员投入得更多，但这些投入没有集中在战略与管理方面，因此使中国在大多数信息安全方面相对显得滞后。”普华永道北京系统和流程管理部门合伙人季瑞认为。

A调点

在几个关键领域今年有明显的进步

调查结果显示大多数企业都已经设立了首席安全官（CSO）或首席信息安全官（CISO）职位（2007: 60%/ 2006: 43%），同时还建立了总体信息安全策略（2007: 57% / 2006: 37%）。

信息安全在不断成熟的正面迹象

虽然安全和隐私问题一直是人们最关注的问题，但总体而言，这些方面已经取得的很大进步

战略方面的进步主要反映在以下方面：

57% （2006： 37%）的企业拥有总体信息安全战略

60％（2006：43%）的企业设立了CISO和CSO岗位

42% （2006：27%）的企业通过组织框架和政策将安全与个人隐私或法规合规相联系

事故监控需要改进

虽然越来越多的事故监控和报告技术被开发和应用，大多数的问卷回答者仍然不知道安全事故每年发生的数量：

据报告显示2006年有29%的人不知道安全事故发生的数量

而2007年不知道的人数增加到了40%

内部威胁逐渐展露

今年内部员工所造成的安全危险成为信息安全事件的重要组成部分：

2007年有48%的企业认为内部员工是最主要的安全隐患，41%认为黑客是最主要的安全隐患

相对2005年只有33%的企业认为内部员工是最主要的安全隐患，63%认为黑客是最主要的安全隐患

安全攻击手段更加复杂

随着企业安全措施的不断进步与成熟，安全攻击也变得日益复杂：

如今电子邮件病毒已经没有2005年时那么流行

但是对于有效系统用户的滥用和授权，社会工程学，网络钓鱼（用电子邮件形式获取公司/个人的敏感信息的一种手段）, 以及对于已知应用系统弱点的攻击正在变得频繁

管理者对于信息安全支出应从哪个部门产生的观点

CEO, CIO 和CISO 认为信息技术部应该是主要的信息安全支出产生的部门

但是几乎50%的CISO认为应当是由信息安全部门负责相应的支出

与2006年相比，2007年安全支出成持续增长态势

管理者同意信息安全支出将会继续增长：

41%的CEO和57%CISO认为安全支出将会继续增长

41%的CEO认为安全支出会与上年持平，超过受访的CIO（32%）和CISO（31% ）

B主要趋势

保护数据隐私受到高度注点

重要数据隐私事件继续得到关注。尽管数据隐私方面取得了一些进展，但进展步伐不够快：

只有22%的企业设立了首席隐私官（2006: 16%）

56%的企业没有定期检查隐私政策是否持续合适

61%的传输数据经过加密（2006: 48%），但更多领域没有加密，

为数据泄露事故的源头：

数据库中加密的敏感数据只有一半（50%)

共享文件中的加密数据为36%

电脑中有超过一半（58%）的数据没有加密

可移动媒体设备中大部分（71%）没有加密

仅有33%的企业拥有准确的用户数据清单，31%的企业拥有数据存储位置和权限的清单

许多公司并没有将安全工作延伸到第三方

许多企业并没有意识到即使数据是由第三方运行和储存的，他们仍然有责任保护数据：

76%的企业没有保留所有使用其客户数据的第三方的记录

少于一半（41%）的企业要求第三方（包括外包服务商）遵循隐私政策，只有42%针对外部合作伙伴、客户、供应商及服务商建立安全基线

65%的安全政策没有明确合作伙伴和供应商需要遵循的程序

只有15%的企业在合作伙伴或供应商信息安全方面是“非常自信的”

在安全架构方面较强，但在实施、衡量和检查安全和隐私政策方面较弱

缺少衡量和审核：只要企业尚未开始检查其安全措施是否被实际实施或运行有效，合规投资的商业价值就依然会存在不确定性：

63%尚未审计或监控用户是否遵循了信息安全政策

52%尚未衡量或审核以前年度安全政策和流程的有效性

只有28%在其安全政策中包含了安全性度量的标准，且31%包含了强制执行的机制

安全支出和政策与业务目标之间的差距

当合规实践与广义的风险管理的目标更加紧密结合并取得一致时，就能弥补安全政策和支出与业务目标之间的差距

只有30%的企业报告其安全政策与业务目标完全一致，只有不到22%的企业报告其安全支出也与其目标完全一致

42%的企业报告对合规要求显著地增加了其安全支出，同时58%的企业报告根据合规要求引起的安全支出是合理的

58%的企业并未将安全组织结构或安全政策，与保密政策和/或合规联系起来

61%的企业报告尚未定期执行风险评估

78%的企业尚未根据安全等级对数据和信息进行分类

信息技术引领趋势

调查结果显示大多数（65%）的信息安全预算如今都是直接从信息技术部产生，同时安全问题也开始向不仅一个“首席”级别的管理者或部门进行汇报

C与中国相关的要点和建议

隐私保护有待增强

在许多数据隐私保护的领域中国都相对落后：

超过一半（59%）的企业都不提供员工关于隐私政策的培训

大多数企业（69%）没有对于网络的交易进行安全管理

信息安全保障有待增强

综合人文，流程，技术等因素，中国在信息安全保障各个方面仍然较为落后:

只有31%的中国受调查对象建立了定期的威胁和弱点的评估，问卷平均值为42%

72%的中国接受调查对象承认他们没有知识产权保护策略和流程，问卷平均值为60%

70%的中国接受调查对象承认他们没有业务持续/灾难恢复计划和流程，问卷平均值为49%

安全事故带来的影响

中国有待成熟的信息安全保障措施已经影响到商业运作，包括财务损失（23%）以及知识产权被盗取（18%）等问题

中国的组织可能忽略了信息安全战略和管理流程

中国的公司雇佣了许多全职人员投入信息安全。但是，74%（调查总数平均值为68%）的公司指出他们的组织没有首席信息安全官

59%的中国公司没有总体信息安全战略（调查总平均值为43%）

只有28%的中国公司有知识产权的政策流程：这可能解释了为什么在中国非法利用已知操作系统和应用系统弱点是攻击的主要方式，因为在中国使用的盗版软件不支持软件“补丁”

这些可能导致了中国在信息安全防护方面的滞后，以及相应的对业务产生更大影响

对中国企业缩小信息安全差距的建议

人员：

设立CISO/CSO/CPO岗位，并由有适当经验的人员担任

聘请信息安全顾问

战略及管理流程：

制定总体信息安全战略

制定业务持续及灾难恢复战略和计划

制定配置架构的标准和流程

制定致力于知识产权和信息保护的政策和流程

执行定期的穿透测试、威胁和弱点评估及风险评估

信息安全技术：

适用安全的远程登陆技术和VPN

配置间谍软件（用户活动监视软件）、恶意广告软件及垃圾信息的侦察和侵入侦察工具

配置网络防火墙、用户活动监控工具和内容过滤工具