驾驭变化 - 安永第12届年度全球信息安全调查

驾驭变化安永第安永第12届年度全球信息安全调查届年度全球信息安全调查iv驾驭变化:安永第12届年度全球信息安全调查前言................................................................................1摘要:驾驭变化................................................................3管理风险.........................................................................4应对挑战.........................................................................8合规..............................................................................12利用新技术...................................................................16结语..............................................................................20调查方法.......................................................................22关于安永.......................................................................241驾驭变化:安永第12届年度全球信息安全调查前言去年，我们见证了全球经济环境发生前所未有的变化。削减成本的压力上升，政府和行业监管加强，为业界带来新的风险和挑战，使得许多企业疲于应对，而这些挑战也极大地影响到企业的信息安全策略。同时，企业引进和采用了各种新技术，其中有些技术有助于改进企业的信息安全，而有些技术却带来了新的风险，引发了新的担忧。调查结果令人鼓舞，因为许多企业目前采用了更具全局性的安全观，注重其信息安全计划的总体健全性。但是，安永的调查结果亦显示，预算和资源不足仍然是许多企业面临的一大挑战。安永全球信息安全调查是此类调查中历史悠久并获高认可度的年度调查之一。12年来，安永的调查对于客户将主要精力集中于适当的风险领域和工作重点、弄清其优势及不足以及改进其信息安全工作起到很大的帮助作用，我们为此而骄傲。给我们留下深刻印象的还有，本年度调查得到了于调查开展十多年以来昀高水平的参与度，充分表明信息安全仍然是客户的一项重点关注的问题。在此，我们衷心感谢参与此次调查活动的近1,900家机构，感谢他们百忙之中抽出时间回应我们的调查，与我们分享他们的观点。我的同事及我本人相信，本报告丰富的信息量和深入的专业见解将对贵公司有所帮助。我们盼望着能有机会与您当面畅谈贵公司具体的信息安全风险与挑战，这将有助于贵公司走在变化的前沿，令您和贵公司充分发展潜能。PaulvanKessel安永全球科技与信息安全咨询服务主管合伙人1驾驭变化:安永第12届年度全球信息安全调查2驾驭变化:安永第12届年度全球信息安全调查2驾驭变化:安永第12届年度全球信息安全调查3驾驭变化:安永第12届年度全球信息安全调查摘要:驾驭变化在这样一个变革的环境中，贵公司是如何保护品牌和声誉的?如何识别并管理新的风险?如何战胜日益严峻的挑战、落实有效的信息安全计划?如何遵循新法规及行业要求?如何利用各种技术实现经营目标并加强信息安全工作?如果企业想要做到驾驭变化和保护企业昀重要的信息资产，上述问题只是信息安全管理人员目前全力应对——并必须找到解决之道的部分问题。去年，我们见证了全球经济低迷演变成一场危机，波及到许多国家和许多企业。我们亦看到，许多行业的竞争格局发生了重大变化。尽管全球经济已显复苏迹象，许多公司在重塑、重组、重新改造的过程中仍然感受到危机的影响。受当前经济环境影响，负责企业信息安全的管理人员面临诸多挑战。如果认为信息安全尚未受到经济压力的影响未免天真；降低成本以及提高投资效益的要求已延伸到企业的各个领域，包括信息安全职能。安永的调查显示，许多企业都在为缺乏训练有素的信息安全人才而苦恼。受访者亦指出，充裕的信息安全预算将是未来一年内面临的一大挑战。有显著的迹象显示，信息安全不可能不受到外部经济力量的影响，因此，必须找到办法以昀低成本提升其效率和效力。当前经济环境导致企业面临更多的内、外部威胁。对于昀近离职员工可能采取的报复行为以及公司网站和网络受到外部攻击的事件增多，受访者们对此表示关注。合规也是负责信息安全人员关心的头等大事。调查证实，合规依然是改进信息安全工作的重要推动因素。一些行业和国家正在着手采取行动，加强监管，主要是有关数据保护和隐私保护方面的监管。相应地，由于法律法规数量的增多和复杂程度的上升，许多公司的合规成本也在上升。本调查中，我们近距离地观察企业是如何具体应对这个不断变化的经济环境，包括应对各种风险、挑战、日益增多的监管要求和新技术。此调查结果亦对潜在改进机会以及将在未来数年影响信息安全格局的重要长、短期趋势进行了阐述和分析。信息安全不可能不受到外部经济力量的影响，因此，必须找到以昀低成本提升其效率和效果的方式。4驾驭变化:安永第12届年度全球信息安全调查风险管理过去几年中，我们看到，利用技术支持信息流动的方式已发生变化。劳动力流动性日益加大和日益全球化，以及宽带和无线技术的迅速推广，改变了企业利用技术和信息的方式，因此而扩大、甚至可以说消除了企业的传统界限和常规的数字化周界模式。现在，企业必须调整其信息安全风险管理策略，从“防范坏人”到“无处不在地保护信息安全”。我们认为，这是一种更加强调“以信息为中心”的安全观，也是更有效的办法。对于受访者而言，改进信息安全风险管理成为首要任务也就不足为奇了。调查显示，50%的受访者表示计划明年增加此方面的支出，39%的受访者表示将维持不变。与上一年相比，贵公司计划明年在下述活动中增加、减少或保持支出不变与上一年相比，贵公司计划明年在下述活动中增加、减少或保持支出不变?14%14%17%20%24%28%28%30%32%36%39%41%43%50%59%67%39%58%59%60%57%56%55%54%49%42%47%39%18%9%5%16%9%6%7%6%8%4%7%9%5%5%9%10%39%6%8%6%8%8%5%6%5%8%5%6%安全职能外包法务/反欺诈支持实施其他技术人员配置实施各项标准合规实施或改进IAM技术和流程实施或改进安全开发流程进行安全测试风险管理内部安全意识和培训实施虚拟化技术实施或改进DLP技术和流程改进信息安全风险管理增加支出未回答减少支出保持不变监管机构在推动以信息为中心的安全策略的作用监管机构在推动以信息为中心的安全策略的作用新加坡金融管理局昀近发布一系列指南，要求金融服务机构对可能通过终端泄露信息的风险进行评估。这一策略强调构建跟踪信息流的控制措施，以及企业需要对自身的风险状况以及其采取的、保护数据安全的控制措施有切实的了解。（图中所示为受访者百分比）改进信息安全风险管理是未来一年的首要任务。5驾驭变化:安永第12届年度全球信息安全调查威胁增多威胁增多除因为技术变化外，当前经济环境也导致了企业面临的威胁增多。这些增多不仅仅来自外部，同样来自企业内部。安永的调查发现，41%的受访者注意到外部攻击事件增多，25%的受访者称企业内部攻击事件增多，而13%的受访者称内部欺诈事件增多。当前经济环境下，您是否注意到或感觉到贵公司面临的威胁发生了变化当前经济环境下，您是否注意到或感觉到贵公司面临的威胁发生了变化?13%19%25%41%44%内部欺诈增多外部欺诈增多内部攻击（如员工滥用职权、窃取信息等）增多外部攻击（如网络钓鱼、攻击网站等）增多未注意到发生变化信息安全风险管理信息安全风险管理信息安全风险管理指：(1)识别和了解潜在威胁和风险；(2)就确定风险程度进行评估；(3)风险整改；以及(4)持续执行前述活动。信息安全风险管理亦包括在企业内部进行必要的沟通和风险报告。（图中所示为受访者百分比）41%的受访者注意到外部攻击增多，25%的受访者称内部攻击增多。6驾驭变化:安永第12届年度全球信息安全调查7%非常担忧，但尚未采取措施缓解潜在风险25%不担忧26%非常担忧，正采取措施缓解风险42%有些担忧，正试图了解潜在风险风险管理（续）信息安全管理体系信息安全管理体系信息安全管理体系的核心是要有一套系统的、可重复执行的风险管理办法。这也正是大部分公司解决其信息安全风险所采用的办法。调查结果显示，44%的受访者目前拥有或正在落实其信息安全管理体系，另有32%的受访者正在考虑采用信息安全管理体系。信息安全标准亦正在许多企业的信息安全管理体系建设中起着越来越重要的作用。尽管只有8%的受访者获得正式的认证，36%的受访者表示正采用ISO/IEC27001:2005安全标准作为其信息安全管理体系的基础。信息安全标准可为企业提供一系列与信息安全风险管理相关的领先实务，是制定综合性和有效的信息安全管理体系的必由开端。（图中所示为受访者百分比）在当前经济环境下，贵公司对于近期离职员工可能采取报复行为的担忧程度在当前经济环境下，贵公司对于近期离职员工可能采取报复行为的担忧程度如何如何?与内部、外部攻击事件增多相比，更值得留意的是，多达75%的受访者提到对于昀近离职员工可能采取报复行为的担忧（其中33%的受访者表示非常担忧）。调查结果还显示，42%的受访者正试图了解与此相关的潜在风险，26%的受访者已采取措施缓解风险。75%的受访者流提到对于昀近离职员工可能采取报复行为的担忧。7驾驭变化:安永第12届年度全球信息安全调查贵公司是否已实施信息安全管理体系，对信息安全进行总体管理贵公司是否已实施信息安全管理体系，对信息安全进行总体管理?信息安全管理标准信息安全管理标准ISO/IEC27001:2005-为建立、实施、操作、监控、评估、维护和改进信息安全管理体系提供了一个模式。ISO/IEC27002:2005-列出了根据ISO/IEC27001:2005中的指引而可能实施的控制和控制机制，为在企业内建立、实施、操作、监控、评估、维护和改进信息安全管理确立了方针和一般原则。信息安全论坛：信息安全论坛：信息安全良好实务的标准——致力于从企业角度出发解决信息安全问题，为实施和评估企业信息安全工作提供了切实的基础。安永的观点安永的观点调查显示，企业面临的内、外部风险继续上升。为管理不断上升的风险，企业应制定应对措施以解决因裁员导致员工离开公司可能带来的风险。企业还应实施具体的风险评估，确定在此方面的潜在风险，并以风险为基础、建立适当的应对措施。信息安全风险管理是一项困难的工作，尤其是在不断变化的环境之下就更是如此，要求采用灵活的管理办法，集中解决昀重要的问题——保护企业的关键信息。企业需持“以信息为中心”的风险观，确保风险管理措施能够更好地与企业的信息流情况相配合。只有了解了关键业务过程中的信息使用情况，企业，尤其是信息安全部门，才能真正管理其安全需求。“以信息为中心”的安全观远远超越信息技术的范畴，要想成功实施此安全策略，就需要将信息安全职能与企业进行更紧密的结合。这将有助于改变企业内对于安全职能的看法，将其视为一个具灵活性、负责任的企业公民而非实现商业目标的“绊脚石”。24%否，也未予考虑32%否，但正考虑17%是，目前正在落实中19%是，但无计划取得认证8%是，已实施并获正式认证（图中所示为受访者百分比）8驾驭变化:安永第12届年度全球信息安全调查应对挑战总体来看，影响企业有效实施信息安全举措能力的挑战在过去几年中变化不大。排在前三位的仍是可用资源、预算和企业意识问题。然而，今年的调查结果显示，