近期,依据全球领先标准制定服务机构英国标准协会 (简称:BSI)完成的一项全球调查研究报告显示,由于针对企业的网络犯罪频发,全球许多企业已将信息安全管理提上董事会议程。调查中,多家公司总裁向BSI表示,企业加强对于企业间谍活动、网络黑客、意外或故意泄露公司数据,公司笔记本电脑丢失或被盗的防范措施的需求从未如此强烈。
根据对全球645家受访企业进行调查得出的结论表明:企业数据泄露风险是各企业最为关心的问题。在实施了信息安全管理体系(ISO 27001)的受访企业中,大约三分之二 (64%) 的企业认为,企业数据泄露风险是使其采用信息安全标准最重要的驱动力。除了关注风险外,BSI研究还显示,72%的企业担心网络犯罪造成财务损失。根据赛门铁克公司的***研究估算,全球网络犯罪造成的损失一年高达1140亿美元。而在中国,遭受的直接经济损失高达1640亿人民币(250亿美元),同时,处理网络犯罪浪费的时间价值为3720亿人民币(567亿美元)。从网络犯罪受害者人数来看,中国地区的网络犯罪相较于全球可能更加恶劣:去年,全球有4.31亿成人遭受过网络犯罪的侵害,这其中就有差不多一半的受害者(1.96亿人)在中国。
BSI 委托伊拉斯莫斯大学(一所拥有欧洲***商学院 — 鹿特丹管理学院的荷兰大学),分别对亚洲、美洲、欧洲和澳大利亚的 645 家企业进行调查。在接受此次调查的所有已采用ISO 27001和实施信息安全管理体系(ISMS)的企业中,60%的企业表示提高了满足合规要求的能力,39%的企业降低了安全事故数量,39%的企业减少了IT系统停机故障。接受此次调查的所有英国公司中,89%的公司对于实施ISO/IEC 27001 得到的总体收益在于可加强组织内的安全意识。
值得注意的是,在获得 ISO 27001认证证书的受访企业中,78%的企业董事会完全支持采用该标准并严格遵循标准的要求,从高管团队到普通员工全员贯彻并执行该标准。这表明董事会非常关注数据安全漏洞。几乎所有受访企业 (92%) 都认为,要应对信息安全威胁,高管层的支持至关重要,全球范围内的组织都表示非常有意愿彻底改变目前数据安全的保护方式。BSI此项研究调查涵盖了广泛的企业类型,其中27%来自于IT行业,另外 40% 分属于电信、金融服务、制造、工程、医疗和公共管理行业,此外,还有来自更多行业的企业参与了调查。
BSI委托伊拉斯莫斯进行的研究调查还显示,ISO 27001管理体系可直接应对企业相关信息安全的成本损失和风险挑战,在获得该标准认证的组织中,39% 的安全事故显著减少。同时,研究还显示,获得 ISO 27001 证书的认证企业中,近三分之一 (26%) 的企业已取得了明显的投资回报。
需要强调的是,根据BSI其他调查数据显示,2009 年至 2011 年期间,获得 BSI 颁发的 ISO 27001 证书的组织增加了 21%[i]。
目前为止,***的数据泄露事件包括:2008 年从哈特兰支付系统盗取了 1.3 亿个信用卡号码,造成财务损失达 1.4 亿美元;2005 年和 2006 年从零售商 TJX 盗取了 1 亿个账户,财务损失高达 2.56 亿美元[ii]。哈特兰安全事件付出的最昂贵代价在于声誉长期受损带来的影响。
惠普公司认为,企业网络犯罪受害者的情况只会变得更糟[iii],过去一年中,数据泄露造成的平均损失上升了 56%。
BSI 集团***执行官 Howard Kerr 表示:“在工作场所,科技的角色日益重要,严峻的经济形势意味着企业无法再忽视数据安全。世界各地的公司董事会最终会清醒地意识到,安全事故会招致代价高昂的损失和企业声誉风险,对有助于防止数据安全事件的标准的需求也变得比以往更加强烈。”
ISO 27001 的实施会对全球企业产生巨大影响。BSI研究显示,该标准将为企业带来显著的益处。87% 的受访者认为,这项标准的实施将对其公司产生积极或非常积极的影响。执行这项标准除了能够降低风险,82% 的受访者还表示,信息质量控制有所加强,44% 的受访者表示销售额有所增加,竞争优势得以提高。
l
【编辑推荐】
