根據(jù)Gartner公司有關(guān)終端用戶隱私、IT風(fēng)險(xiǎn)管理、信息安全、業(yè)務(wù)連續(xù)性和合規(guī)管理的年度調(diào)查結(jié)果顯示:信息安全管理實(shí)踐正在日趨成熟。2015年2月至4月,Gartner在全球7個(gè)國(guó)家開(kāi)展調(diào)查,964名在大型機(jī)構(gòu)工作的受訪者參與了調(diào)查,這些大型機(jī)構(gòu)在2014財(cái)政年度的總收入不低于5000萬(wàn)美元,擁有不少于100名員工。
“人們對(duì)數(shù)字業(yè)務(wù)的風(fēng)險(xiǎn)意識(shí)日益增強(qiáng),再加上有關(guān)網(wǎng)絡(luò)安全事件的深度宣傳,促使IT風(fēng)險(xiǎn)列為董事會(huì)級(jí)別的討論事宜,”Gartner的副總裁兼院士級(jí)分析師Tom Scholtz說(shuō)道:“71%的受訪者表示,IT風(fēng)險(xiǎn)管理數(shù)據(jù)影響董事會(huì)層面的決策。這也反映出,越來(lái)越多的企業(yè)開(kāi)始重視把應(yīng)對(duì)IT風(fēng)險(xiǎn)作為公司管理的一部分。”
信息安全小組匯報(bào)程序從本質(zhì)上而言是企業(yè)有效管理的關(guān)鍵因素之一。38%的受訪者明確表示,最資深的負(fù)責(zé)信息安全報(bào)告的人員來(lái)自IT以外的部門。
Scholtz先生補(bǔ)充說(shuō):“在IT以外的部門建立匯報(bào)程序的主要原因在于促進(jìn)執(zhí)行與監(jiān)督相分離,提升企業(yè)信息安全的形象,打破員工和利益相關(guān)者認(rèn)為“安全只是IT問(wèn)題”的思維定勢(shì)。企業(yè)日益認(rèn)識(shí)到,必須將安全性作為企業(yè)風(fēng)險(xiǎn)問(wèn)題進(jìn)行管理,而不僅僅是一個(gè)IT運(yùn)營(yíng)問(wèn)題。人們逐漸了解到網(wǎng)絡(luò)安全挑戰(zhàn)已超越傳統(tǒng)的IT界限,而深入到運(yùn)營(yíng)技術(shù)領(lǐng)域(OT)和物聯(lián)網(wǎng)(IoT)安全等領(lǐng)域。”
支持安全項(xiàng)目的高管級(jí)別也在提高。63%的受訪者表示,他們的信息安全項(xiàng)目獲得的資助和支持來(lái)自IT以外部門的領(lǐng)導(dǎo)層,這一調(diào)查數(shù)據(jù)相較于2014年的54%有了大幅上升。企業(yè)首席執(zhí)行官和董事會(huì)的支持率保持不變,為30%(2014年是29%),而指導(dǎo)委員會(huì)的支持率從7%升至12%。地區(qū)差異引人注目,57%的北美受訪者表示信息安全項(xiàng)目獲得的支持來(lái)自IT以外部門,明顯低于西歐的63%和亞太地區(qū)的67%。
Scholtz先生認(rèn)為:“企業(yè)高管重視安全項(xiàng)目至關(guān)重要,否則,安全項(xiàng)目將難以得到企業(yè)其他部門的必要支持。因?yàn)橐粋€(gè)企業(yè)的信息安全指導(dǎo)委員會(huì)(CISSC)主要由業(yè)務(wù)代表組成,隨著管理功能日趨完善,我們希望支持該機(jī)構(gòu)的管理層級(jí)別繼續(xù)上升。事實(shí)上,有效的管理機(jī)構(gòu),如CISSC,已成為企業(yè)首席執(zhí)行官、董事會(huì)和高級(jí)業(yè)務(wù)部門經(jīng)理的授權(quán)代表。”
在安全策略的有效性方面,雖然有一半的受訪者表示管理層參與評(píng)估和審批這些策略,但僅30%的受訪者表示,業(yè)務(wù)部門會(huì)積極參與到這些會(huì)影響其業(yè)務(wù)的策略制定中來(lái)。雖然這與前幾年相比有了很大的改觀(2014年的數(shù)據(jù)為16%),但仍表明業(yè)務(wù)部門的參與度不高。低參與度的主要原因是安全團(tuán)隊(duì)與企業(yè)之間對(duì)風(fēng)險(xiǎn)的看法不一,這可能會(huì)導(dǎo)致管控過(guò)度和管理不善,從而導(dǎo)致無(wú)效的審計(jì)結(jié)論,最終降低生產(chǎn)力。
京公網(wǎng)安備 11010502049343號(hào)