賽門鐵克發表IT Policy Compliance Group最新標竿研究報告「保護機密資料的核心能力」(Core Competencies for Protecting Sensitive Data)。這份報告整合了來自全球 450 多個企業組織的回應,歸納出每 10 個中只有一個企業組織具有令人稱羨的資料防護,足以保護其機密資料。報告中也分析資料防護領域中領先與落後公司之間的差異,進而提供最佳實務做法的建議,造就更理想的資料防護效能、提升法規遵循及維護競爭優勢。
研究中最驚人的發現之一,就是機密資料保護與法規遵循結果之間的關聯:保護機密資料表現優良的公司,在法規遵循稽核上也有很好的表現。幾乎所有 (96%) 機密資料遺失率最低的組織,同時也是法規遵循缺陷最少,較不需修正即可通過法規稽核的組織。相對的,大部分 (64%) 機密資料遺失率高的組織,同時也是法規遵循缺陷最多而必須修正方可通過稽核的組織。
這份報告所歸納的核心能力類別分為組織結構與策略、客戶關係以及營運優異表現等三個面向。藉由分析機密資料遺失量最低的公司 (領先組織) 與遺失量最高的公司 (落後組織),將可發現定義較少的政策或控管目標、進行頻次較多的評估、以及利用 IT 變革管理來防止未經授權的使用或變更,是很重要的事。
• 領先組織平均定義 30 個控管目標,每 19 天執行一次評估。這些公司每年發生資料遺失與遭竊的次數約為二到三次,法規遵循缺失發生數則低於兩次。
• 落後組織平均定義 82 個控管目標,每 230 天執行一次評估。這些公司每年發生資料遺失與遭竊的次數為 13 次以上,法規遵循缺失發生數則為 22 次以上。
國際電腦稽核協會(ISACA) 國際總裁 Lynn Lawton (擁有CISA、FCA、FIIA、PIIA、FBCS CITP等資格) 表示:「最近有幾個事件顯示了資料遺失對組織的信譽與策略目標會造成多大的傷害。確實制定以風險為基準的控管來防止資料遺失與遭竊,並定期測試這些控管,是相當重要的事。」Lawton進一步指出:「成功的組織專注於挑選最為相關的控管,而不是盲目執行一大堆無關的控管。調查結果清楚顯示,相較於持續增加複雜難懂、不協調而又各自為政的控管,選擇、執行及溝通關鍵控管並定期評估其效能才是實用而有效的方法。」
研究顯示,就控管而言,其品質的重要性其實還不及針對特定風險控管的適當性與控管評估頻率來得重要。企業組織若未執行適當風險控管,且又不常評估程序控管與技術控管是否有效,將很可能造成資料遺失及遭竊。那些不設定控管目標、且又控管評估不足的公司,即為資料遺失率與遭竊率最高的公司。
甫瀚諮詢(Protiviti Inc.)技術風險實務總經理 Rocco Grillo 表示:「隨著法規遵循需求的增加與商譽風險快速升高,保護客戶與員工的資料和智慧財產已成為前所未見的重要課題。」Grillo進一步指出:「然而,資料安全破壞與身分竊取事件卻持續發生。雖然控管無法確保百分之百的防護性,但公司仍需針對資訊安全與風險管理做適當程度的調查程序。已有數個計劃經驗證,可有效維護及增加機密資料的安全性與保護性,而在防止重要資訊遭竊或遺失方有著非常大的成效。坐等危機或資安事件發生後再趕忙善後的管理方式將成為歷史了 - 人人皆須主動出擊。」
資料防護領導組織的最佳實務做法
法規遵循稽核結果最佳的公司,即為資料遺失量最低的組織。這些公司展現出極佳的核心能力,不但可極力降低資料遺失並提升法規遵循效能,還盡可能減少資料破壞所造成的財務衝擊 (請參閱之前的報告「為何企業需要花費於法規遵循上:面臨信譽及營收的風險」(Why Compliance Pays: Reputations and Revenues at Risk),並確保競爭優勢。核心能力包括:
組織結構與策略
• 執行世界級的法規遵循計劃
• 記錄並維護政策、標準與程序
• 重新組織內部控管、IT 安全與風險管理功能,以充分利用客戶關係與運作卓越表現
客戶關係
• 定義政策執行者的角色與責任
• 識別及管理業務與財務風險
• 提供員工訓練並管理所制定政策中的例外
營運優異表現
• 將內部稽核範圍擴大至大部分的營運功能(business functions)
• 強化控管目標與風險的關聯性
• 減少控管目標數量
• 落實經過評量的控管
• 執行程序性控管的自我評估
• 增加技術控管評估的頻率
• 執行完整的 IT 變革管理計劃
• 使用 IT 變革管理來防止未經授權的使用或變更
關於本研究報告
IT Policy Compliance Group 的研究主題來自於贊助成員與一般成員的意見所建立的研究規劃,以及根據最近研究所彙集的新發現。這份報告最新標竿係在2007 年 2 月至 5 月間針對 454 個組織所進行的調查而來,正負誤差為 4.5%。本次調查中大部分(90%)參與標竿評比的組織多位於美國,其他10%來自於其他國家,包括:澳洲、加拿大、法國、德國、愛爾蘭、日本、西班牙以及英國
IT Policy Compliance Group會員資格
IT Policy Compliance Group 也發表了新加入的會員類別:諮詢會員 (Advisory Membership)。建立「諮詢會員」目的在於為該組織未來執行的研究訂定標準化的建議與指示,提供最新部落格的存取,以及建立、指導及參與工作組織。該組織中的一般會員將重新命名為「夥伴會員」(Associate Membership)。
如需相關資訊或下載最新的研究報告「保護機密資料的核心能力」,請造訪 www.ITPolicyCompliance.com。
關於 IT Policy Compliance Group
IT Policy Compliance Group 致力於促進協助 IT 安全專業人員符合該組織政策與法規遵循目標之研究與資訊的發展。其成員由數個領導組織所組成,包括 Computer Security Institute、The Institute of Internal Auditors、Protiviti、ISACA (Information Systems Audit and Control Association)、IT Governance Institute 與 Symantec Corporation (NASDAQ: SYMC)。該組織進行實證標竿評比研究來決定可改善組織之 IT 法規遵循結果的最佳實務。如需更多相關資訊,請造訪 www.ITPolicyCompliance.com。
熱門新聞
2026-02-01
2026-01-30
2026-01-30
2026-01-30
2026-01-30