最新报告揭示管理成本控制存在巨大潜力

北京 ，2009年3月2日 IT Policy Compliance Group今天发布了题为《加强管理信息安全与审计可改善业绩》的最新基准研究报告。该报告在对全球2600多家企业进行调查后得出结论，由于当前全球经济危机所带来的负面影响，68%的企业在信息安全方面投入明显不足。该报告同时指出，对大多数公司来说，若在信息安全与审计管理最佳实践方面持续增加投入可使其获得超过200%的经济回报。

这个由计算机安全协会（Computer Security Institute）、国际内部审计师协会（The institute of Internal Auditors）、甫瀚公司（Protiviti）、国际信息系统审计与控制协会(ISACA)、IT治理协会（IT Governance Institute）以及赛门铁克公司（NASDAQ:  SYMC）共同支持的新研究报告主要探讨了以下内容：基于风险的并且以成效为导向的信息安全预算方式；有助于业务和财务风险管理的IT实践；IT审计方面的支出大幅度降低。
       
赛门铁克公司首席研究经理兼IT Policy Compliance Group 总经理Jim Hurley指出： “正如购买免赔保险一样，所有公司都希望能够将客户数据被盗所产生的财务风险和损失或IT系统中断而导致的业务损失控制在一定范围之内，但是，该研究结果表明，由于一家公司的损失承受度非常之低，所以即便在小处着眼加以改进，也将带来极高的经济回报。”

最关键的业务风险

在IT可能带来的各种风险中，各公司将以下三项列为最关键的业务风险：敏感信息的保密性；IT信息、资产和控制的完整性；IT服务的可用性。IT PCG报告利用现有的评判基准，针对这三种风险对公司绩效的影响进行评估，该基准调查的主要结果可分为三类：

最差结果： 19%的公司每年经历15次以上的数据丢失或被盗事件，80小时以上因IT故障带来的业务中断，15种以上不符合IT审计要求的缺陷。

正常结果：  68%的公司运营水平“正常”，每年经历3-15次数据丢失或被盗事件，7-79小时以上因IT故障带来的业务中断，3-15种以上不符合IT审计要求的缺陷。

最佳结果： 只有13%的公司获得最佳的结果，每年经历3次以下的数据丢失或被盗事件，因IT故障带来的业务中断在7小时以内，3种以下不符合IT审计要求的缺陷。这些公司每年从这些方面获得的经济回报为22%至3000%不等。

令人意外的是，表现最差和表现最好者之间造成差异的主要原因并非安全预算的多少。事实上，参与调查者安全预算的差异微乎其微，归根结底还是如何使用这些预算。根据本次报告，获得最佳结果、最少经济损失的组织所采用的最佳实践主要有以下五种：
1. 高级管理团队参与管理风险
2. 确定风险优先级，改善控制，使流程自动化
3. 对控制和风险不断进行评估
4. 采用技术控制、政策和IT变化管理
5. 实施综合汇报制度

财务表现

调查表明，与这些IT风险相关的财务结果几乎与IT管理这些风险所实施的最佳实践完全对应。毫无疑问，采用最佳实践的公司所经历的财务损失成本与频率都是最低。而获得最差结果的公司则浪费了过多的成本，其因数据丢失和被盗所损失的成本相当于全年收入的9.6%，因业务中断所损失的成本几乎相当于全年收入的3%。

在收入达50亿美元的公司范围内，获得最差结果的企业，其数据丢失或被窃及业务中断所带来的总成本竟高达3.29亿美元，而实施了最佳实践的企业所损失的总成本仅为225万美元 – 比前者低149倍。
     
Jim Hurley 表示：“企业可以选择坐等紧急情况出现时被迫重新确定优先级；或者他们可以预先决定，部署这些已被行业证实的最佳实践以实现最佳利益。”

研究同时发现，实际上那些拥有最佳结果的公司在审计费用和支出方面比其他企业低35%至52%。对于这些公司来说，合理调整用于降低风险、损失和审计费用的支出所带来的经济回报与公司能够承担的损失相比要高出1000-500,000%。

来自IT Policy Compliance Group 成员的观点

IT治理协会IT风险特别行动小组成员Brian Barnier说：“这一报告清楚地表明，公司可从安全性、可用性和其他IT相关业务风险的有效管理中受益，包括主动下载COBIT（信息及相关技术的控制目标）框架等最佳实践，帮助企业采取具体措施有效降低风险，使IT价值最大化。”
        
甫瀚公司(Protiviti) 负责信息安全和数据隐私实践的总经理Rocco Grillo说：“IT Policy Compliance Group的研究揭示，那些致力于改善自己IT安全风险管理的公司将得到各种实惠，包括降低财务风险发生率以及节省IT监管审计费用和支出等，IT PCG的发现使业内推断的最佳实践获得了肯定：那些采用自上而下的管理方式、拥有专人管理和监督业务经营的组织有着最具成本效益、最全面的信息安全计划。”