「法規遵循」成為企業引進資安服務的最大因素

專門提供財務專業服務的Ernst & Young在上周三發表一份企業資訊安全應用調查報告，指出「法規遵循」（Regulatory compliance）已成為企業資訊安全服務最受重視的一環，首度超越蠕蟲及病毒。

有鑑於美國陸續頒布沙賓法案（Sarbanes-Oxley Act of 2002），以及即將於2006年底施行的巴賽爾新資本協定（Basel II），讓資訊安全業者在杜絕駭客及蠕蟲之外開闢了一個新戰場。其中，前者要求企業營運及財務都必須透明化，後者則要求金融產業必須提撥同等額度的風險資金，創造風險管理服務熱潮。

而這些法案對企業的影響也在此次Ernst & Young的調查中表露無遺。

根據Ernst & Young針對全球1300家企業的調查，有接近2/3的企業受訪者透露「法規遵循」已成為該企業資安最主要的動力來源，排名超越蠕蟲、病毒及視訊會議。

Ernst & Young資訊安全科技資深經理Rudy Bakalov表示，這真是個令人驚訝的結果，但非常高興看到「法規遵循」成為最受企業重視的服務，不過，即使如此，大多數的資訊安全業者仍然將注意力放在戰術議題上而非策略問題。

Rudy Bakalov說明，例如有約90%的資安業者提供策略、規章訓練等「法規遵循」工具，但其中僅有41%的資安業者重新改造資訊安全功能或是資訊架構以成為「法規遵循」製程的一部份。

國外科技媒體Computerworld採訪許多企業也發現，當企業要購買資訊安全相關服務時，只要祭出「法規遵循」應用就會被管理部門接受，因為也許管理部門比科技部門更重視「法規遵循」這件事。（編譯／陳曉莉）