2017/09/26

報告顯示僅一成企業的資料防護能力及格

謝至恩2007-12-281min0
最新研究顯示企業組織在資料防護方面有待加強,IT Policy Compliance Group 的研究指出只有1/10的企業能做到令人滿意的資料防護。

賽門鐵克發表IT Policy Compliance Group最新標竿研究報告「保護機密資料的核心能力」(Core Competencies for Protecting Sensitive Data)。這份報告整合了來自全球 450 多個企業組織的回應,歸納出每 10 個中只有一個企業組織具有令人稱羨的資料防護,足以保護其機密資料。報告中也分析資料防護領域中領先與落後公司之間的差異,進而提供最佳實務做法的建議,造就更理想的資料防護效能、提升法規遵循及維護競爭優勢。

研究中最驚人的發現之一,就是機密資料保護與法規遵循結果之間的關聯:保護機密資料表現優良的公司,在法規遵循稽核上也有很好的表現。幾乎所有 (96%) 機密資料遺失率最低的組織,同時也是法規遵循缺陷最少,較不需修正即可通過法規稽核的組織。相對的,大部分 (64%) 機密資料遺失率高的組織,同時也是法規遵循缺陷最多而必須修正方可通過稽核的組織。

這份報告所歸納的核心能力類別分為組織結構與策略、客戶關係以及營運優異表現等三個面向。藉由分析機密資料遺失量最低的公司 (領先組織) 與遺失量最高的公司 (落後組織),將可發現定義較少的政策或控管目標、進行頻次較多的評估、以及利用 IT 變革管理來防止未經授權的使用或變更,是很重要的事。

  • 領先組織平均定義 30 個控管目標,每 19 天執行一次評估。這些公司每年發生資料遺失與遭竊的次數約為二到三次,法規遵循缺失發生數則低於兩次。
  • 落後組織平均定義 82 個控管目標,每 230 天執行一次評估。這些公司每年發生資料遺失與遭竊的次數為 13 次以上,法規遵循缺失發生數則為 22 次以上。

國際電腦稽核協會(ISACA) 國際總裁 Lynn Lawton (擁有CISA、FCA、FIIA、PIIA、FBCS CITP等資格) 表示:「最近有幾個事件顯示了資料遺失對組織的信譽與策略目標會造成多大的傷害。確實制定以風險為基準的控管來防止資料遺失與遭竊,並定期測試這些控管,是相當重要的事。」Lawton進一步指出:「成功的組織專注於挑選最為相關的控管,而不是盲目執行一大堆無關的控管。調查結果清楚顯示,相較於持續增加複雜難懂、不協調而又各自為政的控管,選擇、執行及溝通關鍵控管並定期評估其效能才是實用而有效的方法。」

研究顯示,就控管而言,其品質的重要性其實還不及針對特定風險控管的適當性與控管評估頻率來得重要。企業組織若未執行適當風險控管,且又不常評估程序控管與技術控管是否有效,將很可能造成資料遺失及遭竊。那些不設定控管目標、且又控管評估不足的公司,即為資料遺失率與遭竊率最高的公司。


    Pages: 1
  • 2
關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416