2007年7月20日消息，以事實(shí)為基礎(chǔ)的基準(zhǔn)研究國際組織：IT Policy Compliance Group今天發(fā)布題為《為什么需要合規(guī)性——風(fēng)險(xiǎn)之下的信譽(yù)與收入》（Why Compliance Pays: Reputations and Revenues at Risk）的最新基準(zhǔn)研究報(bào)告。報(bào)告指出，十家公司中有九家面臨因數(shù)據(jù)丟失及被盜而導(dǎo)致的財(cái)務(wù)風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)會給企業(yè)用戶造成損失，降低收入，甚至導(dǎo)致股價(jià)下跌；然而通過實(shí)施核心過程與技術(shù)控制，并至少對其進(jìn)行每兩周一次監(jiān)控，可以大幅降低這些風(fēng)險(xiǎn)。
在規(guī)模更大的企業(yè)中，如果公司當(dāng)前的運(yùn)營較為落后，每三年便可能出現(xiàn)一次公開披露的數(shù)據(jù)丟失。相比之下，業(yè)績最佳的企業(yè)已將數(shù)據(jù)丟失的可能性降低到每42年出現(xiàn)一次。這些基準(zhǔn)表明，在遵從方面表現(xiàn)出色的企業(yè)同時也是數(shù)據(jù)丟失最少、宕機(jī)導(dǎo)致業(yè)務(wù)中斷最少的企業(yè)。
賽門鐵克公司首席軟件工程師，IT Policy Compliance Group執(zhí)行總裁James Hurley說：“絕大多數(shù)企業(yè)及公共機(jī)構(gòu)仍在努力克服年度遵從缺乏率居高不下的問題，這一問題最終會導(dǎo)致業(yè)務(wù)中斷、數(shù)據(jù)丟失及失竊。盡管企業(yè)中出現(xiàn)數(shù)據(jù)丟失及業(yè)務(wù)中斷的可能性很大，但仍有許多遵從、風(fēng)險(xiǎn)及治理方法，如果部署得當(dāng)，可極大降低這些事件發(fā)生的頻率及其影響�！�
數(shù)據(jù)違背的代價(jià)
根據(jù)Attrition.org的數(shù)據(jù)丟失數(shù)據(jù)庫(Data Loss Database)，過去兩年來美國公開的數(shù)據(jù)失竊或丟失事件約為平均每年280起。由于消費(fèi)者、管理機(jī)構(gòu)及政府對數(shù)據(jù)泄漏的關(guān)注程度不斷提高，這一平均值很可能會持續(xù)上升。根據(jù)最新IT Policy Compliance Group報(bào)告，這些數(shù)據(jù)丟失情況會對業(yè)務(wù)造成巨大的影響。這些基準(zhǔn)表明，公開報(bào)道數(shù)據(jù)丟失的企業(yè)預(yù)計(jì)將會導(dǎo)致客戶及收入降低8%；對于上市公司而言，每股股價(jià)會下降8%；而對于公開披露了數(shù)據(jù)丟失及失竊的公司，平均每丟失一個客戶記錄便會造成100美元的額外損失。
遵從領(lǐng)先企業(yè)的最佳實(shí)踐
該研究表明，數(shù)據(jù)丟失及失竊情況最少的成功公司正在通過提高遵從結(jié)果推動IT運(yùn)營卓越性，尤其在IT一般控制、IT安全控制以及過程方面。更值得注意的是，這些基準(zhǔn)表明，數(shù)據(jù)丟失情況最少的企業(yè)至少每兩周便會根據(jù)目標(biāo)對控制進(jìn)行監(jiān)測和評估。
ISACA及IT Governance Institute國際總裁，注冊會計(jì)師Everett C. Johnson表示：“具有簡明IT控制目標(biāo)的有效IT管理流程，以及適當(dāng)?shù)膬?nèi)置IT控制組合可幫助企業(yè)制定策略，并以此為參照進(jìn)行持續(xù)評測。通過創(chuàng)建可評估、可重復(fù)的IT遵從項(xiàng)目，企業(yè)能夠生成足夠的數(shù)據(jù)，同時確保高水平遵從。”
根據(jù)數(shù)據(jù)丟失情況最少的企業(yè)正在執(zhí)行的工作，IT Policy Compliance Group報(bào)告提供了供企業(yè)參考的最佳實(shí)踐，幫助其提高IT遵從結(jié)果、降低業(yè)務(wù)宕機(jī)時間，減少數(shù)據(jù)丟失和失竊。這些方法包括：
◆實(shí)施更多、更適當(dāng)?shù)腎T控制
◆減少控制目標(biāo)，從而簡化對照這些目標(biāo)進(jìn)行的交流、評測及報(bào)告
◆針對業(yè)績目標(biāo)建立更高的標(biāo)準(zhǔn)
◆鼓勵形成IT卓越運(yùn)營的企業(yè)文化
◆至少每兩周對照目標(biāo)進(jìn)行對控制的監(jiān)控、評估及報(bào)告
◆將更多時間及精力用于實(shí)現(xiàn)控制自動化
除了增加IT預(yù)算用于IT安全控制外，潛在數(shù)據(jù)丟失情況最少且遵從缺乏率最低的公司正在重新分配資金，將外部合同的開支重新用于購買設(shè)備及軟件的額外投資，特別是針對自動化控制和流程的監(jiān)控和評測。
Protiviti Inc.技術(shù)風(fēng)險(xiǎn)實(shí)踐總經(jīng)理Rocco Grillo表示：“提倡控制的人一直面臨著被要求證實(shí)分配資源到額外控制上的合理性的壓力。該報(bào)告提供了支持證據(jù)，證明相應(yīng)的額外控制不僅得到保障，而且還是預(yù)防數(shù)據(jù)失竊及丟失所必不可少的。該報(bào)告還將系統(tǒng)恢復(fù)力與遵從聯(lián)系在一起，這是一個全新的觀點(diǎn)，正如該報(bào)告所指出的，有效控制與恢復(fù)力之間存在著緊密聯(lián)系�！�
IT Policy Compliance Group旨在執(zhí)行基準(zhǔn)研究以及推廣幫助IT專業(yè)人員成功克服策略與遵從挑戰(zhàn)的最佳實(shí)踐，該組織還宣布添加了兩名新成員：ISACA和IT Governance Institute。
如需了解更多信息或下載《為什么需要合規(guī)性——風(fēng)險(xiǎn)之下的信譽(yù)與收入》（Why Compliance Pays:  Reputations and Revenues at Risk）最新研究報(bào)告，請?jiān)L問www.ITPolicyCompliance.com。

標(biāo)簽： 安全 評測 數(shù)據(jù)庫 推廣

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。