“信息安全问题正把很多中国企业的CIO、CSO推向危险的火山口。”这是一位著名专家去年发表的箴言。而今年,这种的情势似乎并没有怎么好转。
普华永道最新发布的《2008全球信息安全状况调查报告》显示,中国在信息安全的多数方面仍处于落后状态,尚需进一步改进。
调查显示,在中国有44%的信息安全事件与数据失窃有关,每个中国受访者平均汇报了285例安全事件,信息安全事件每年在中国造成的经济损失高达98万美元……这些都远高于全球平均水平。“可见,中国公司在信息安全方面还存在很大问题。” 普华永道系统和流程管理部合伙人傅毓敏告诉记者。
但从技术方面来看,中国确实保持着持续的进步。本次调查显示,受访的中国机构中有68%安装了应用防火墙,59%采取了互联网安全保护措施,此类安全技术的运用已经超过全球平均水平。这主要得益于中国各机构在安全基础设施方面进行的巨额投资。但如此巨额的投资、快速的技术进步却不能解决实践中信息安全问题,这是为什么?
“其实,问题主要出在信息安全的管理战略上。在这方面,中国的机构仍显著落后于全球平均水平。”傅毓敏告诉记者,中国的很多管理者认为,只要有了先进的技术装备就可以实现信息安全,因此对技术层面投入较多关注,而公司管理层面的信息安全流程、人员安全意识以及相应制度的重要性却被大大忽略了。调查数据就是最好的体现。
受调人群中,有30%的人不能回答关于公司最敏感信息风险的基本问题,44%的人不知道发生的安全事件属于哪种类型。甚至有35%的受访者不知道公司今年发生了多少次安全事件……
如此看来,更多的CIO、CSO还有很多功课需要补齐。傅毓敏指出,中国在信息安全的战略性安排上已经与近邻印度拉开了相当的距离,要想迎头赶上,势必需要提高管理层的安全意识,让他们明白信息安全和数据管理不仅仅是具备一个安全治理框架和技术支持这么简单,而是需要三个关键要素——人员、流程、技术的紧密结合,只有管理者把这个意识贯彻于整个公司,才能使信息安全真正到位。
回头来看,信息是企业生存发展的宝贵资源,而任何资源的运用又都离不开有效的管理,也许身担此类重任的CIO、CSO们得更多警醒自己,信息真的安全了么?