Gartner調(diào)查報告稱:信息安全管理實踐正日趨完善
發(fā)布時間:2015-09-09全球領(lǐng)先的信息技術(shù)研究和顧問公司Gartner近日表示,越來越多除IT以外的其他部門也在設(shè)置安全保障,,這一趨勢反映了有效安全管理的必要性,。
根據(jù)Gartner公司有關(guān)終端用戶隱私,、IT風險管理,、信息安全,、業(yè)務(wù)連續(xù)性和合規(guī)管理的年度調(diào)查結(jié)果顯示:信息安全管理實踐正在日趨成熟,。2015年2月至4月,,Gartner在全球7個國家開展調(diào)查,964名在大型機構(gòu)工作的受訪者參與了調(diào)查,,這些大型機構(gòu)在2014財政年度的總收入不低于5000萬美元,擁有不少于100名員工,。
Gartner的副總裁兼院士級分析師Tom Scholtz表示:“人們對數(shù)字業(yè)務(wù)的風險意識日益增強,,再加上有關(guān)網(wǎng)絡(luò)安全事件的深度宣傳,促使IT風險列為董事會級別的討論事宜,,71%的受訪者表示,,IT風險管理數(shù)據(jù)影響董事會層面的決策。這也反映出,,越來越多的企業(yè)開始重視把應(yīng)對IT風險作為公司管理的一部分,。”
信息安全小組匯報程序從本質(zhì)上而言是企業(yè)有效管理的關(guān)鍵因素之一,。38%的受訪者明確表示,,最資深的負責信息安全報告的人員來自IT以外的部門。
Scholtz指出,,在IT以外的部門建立匯報程序的主要原因在于促進執(zhí)行與監(jiān)督相分離,,提升企業(yè)信息安全的形象,打破員工和利益相關(guān)者認為“安全只是IT問題”的思維定勢,。企業(yè)日益認識到,,必須將安全性作為企業(yè)風險問題進行管理,而不僅僅是一個IT運營問題,。人們逐漸了解到網(wǎng)絡(luò)安全挑戰(zhàn)已超越傳統(tǒng)的IT界限,,而深入到運營技術(shù)領(lǐng)域(OT)和物聯(lián)網(wǎng)(IoT)安全等領(lǐng)域。
支持安全項目的高管級別也在提高,。63%的受訪者表示,,他們的信息安全項目獲得的資助和支持來自IT以外部門的領(lǐng)導(dǎo)層,,這一調(diào)查數(shù)據(jù)相較于2014年的54%有了大幅上升。企業(yè)首席執(zhí)行官和董事會的支持率保持不變,,為30%(2014年是29%),,而指導(dǎo)委員會的支持率從7%升至12%。地區(qū)差異引人注目,,57%的北美受訪者表示信息安全項目獲得的支持來自IT以外部門,,明顯低于西歐的63%和亞太地區(qū)的67%。
Scholtz認為,,企業(yè)高管重視安全項目至關(guān)重要,,否則,安全項目將難以得到企業(yè)其他部門的必要支持,。在安全策略的有效性方面,,雖然有一半的受訪者表示管理層參與評估和審批這些策略,但僅30%的受訪者表示,,業(yè)務(wù)部門會積極參與到這些會影響其業(yè)務(wù)的策略制定中來,。雖然這與前幾年相比有了很大的改觀(2014年的數(shù)據(jù)為16%),但仍表明業(yè)務(wù)部門的參與度不高,。低參與度的主要原因是安全團隊與企業(yè)之間對風險的看法不一,,這可能會導(dǎo)致管控過度和管理不善,從而導(dǎo)致無效的審計結(jié)論,,最終降低生產(chǎn)力,。
