2007年7月20日消息，以事實為基礎(chǔ)的基準(zhǔn)研究國際組織：IT Policy Compliance Group今天發(fā)布題為《為什么需要合規(guī)性——風(fēng)險之下的信譽與收入》（Why Compliance Pays: Reputations and Revenues at Risk）的最新基準(zhǔn)研究報告。報告指出，十家公司中有九家面臨因數(shù)據(jù)丟失及被盜而導(dǎo)致的財務(wù)風(fēng)險。這些風(fēng)險會給企業(yè)用戶造成損失，降低收入，甚至導(dǎo)致股價下跌；然而通過實施核心過程與技術(shù)控制，并至少對其進行每兩周一次監(jiān)控，可以大幅降低這些風(fēng)險。
在規(guī)模更大的企業(yè)中，如果公司當(dāng)前的運營較為落后，每三年便可能出現(xiàn)一次公開披露的數(shù)據(jù)丟失。相比之下，業(yè)績最佳的企業(yè)已將數(shù)據(jù)丟失的可能性降低到每42年出現(xiàn)一次。這些基準(zhǔn)表明，在遵從方面表現(xiàn)出色的企業(yè)同時也是數(shù)據(jù)丟失最少、宕機導(dǎo)致業(yè)務(wù)中斷最少的企業(yè)。
賽門鐵克公司首席軟件工程師，IT Policy Compliance Group執(zhí)行總裁James Hurley說：“絕大多數(shù)企業(yè)及公共機構(gòu)仍在努力克服年度遵從缺乏率居高不下的問題，這一問題最終會導(dǎo)致業(yè)務(wù)中斷、數(shù)據(jù)丟失及失竊。盡管企業(yè)中出現(xiàn)數(shù)據(jù)丟失及業(yè)務(wù)中斷的可能性很大，但仍有許多遵從、風(fēng)險及治理方法，如果部署得當(dāng)，可極大降低這些事件發(fā)生的頻率及其影響�！�
數(shù)據(jù)違背的代價
根據(jù)Attrition.org的數(shù)據(jù)丟失數(shù)據(jù)庫(Data Loss Database)，過去兩年來美國公開的數(shù)據(jù)失竊或丟失事件約為平均每年280起。由于消費者、管理機構(gòu)及政府對數(shù)據(jù)泄漏的關(guān)注程度不斷提高，這一平均值很可能會持續(xù)上升。根據(jù)最新IT Policy Compliance Group報告，這些數(shù)據(jù)丟失情況會對業(yè)務(wù)造成巨大的影響。這些基準(zhǔn)表明，公開報道數(shù)據(jù)丟失的企業(yè)預(yù)計將會導(dǎo)致客戶及收入降低8%；對于上市公司而言，每股股價會下降8%；而對于公開披露了數(shù)據(jù)丟失及失竊的公司，平均每丟失一個客戶記錄便會造成100美元的額外損失。
遵從領(lǐng)先企業(yè)的最佳實踐
該研究表明，數(shù)據(jù)丟失及失竊情況最少的成功公司正在通過提高遵從結(jié)果推動IT運營卓越性，尤其在IT一般控制、IT安全控制以及過程方面。更值得注意的是，這些基準(zhǔn)表明，數(shù)據(jù)丟失情況最少的企業(yè)至少每兩周便會根據(jù)目標(biāo)對控制進行監(jiān)測和評估。
ISACA及IT Governance Institute國際總裁，注冊會計師Everett C. Johnson表示：“具有簡明IT控制目標(biāo)的有效IT管理流程，以及適當(dāng)?shù)膬?nèi)置IT控制組合可幫助企業(yè)制定策略，并以此為參照進行持續(xù)評測。通過創(chuàng)建可評估、可重復(fù)的IT遵從項目，企業(yè)能夠生成足夠的數(shù)據(jù)，同時確保高水平遵從�！�
根據(jù)數(shù)據(jù)丟失情況最少的企業(yè)正在執(zhí)行的工作，IT Policy Compliance Group報告提供了供企業(yè)參考的最佳實踐，幫助其提高IT遵從結(jié)果、降低業(yè)務(wù)宕機時間，減少數(shù)據(jù)丟失和失竊。這些方法包括：
◆實施更多、更適當(dāng)?shù)腎T控制
◆減少控制目標(biāo)，從而簡化對照這些目標(biāo)進行的交流、評測及報告
◆針對業(yè)績目標(biāo)建立更高的標(biāo)準(zhǔn)
◆鼓勵形成IT卓越運營的企業(yè)文化
◆至少每兩周對照目標(biāo)進行對控制的監(jiān)控、評估及報告
◆將更多時間及精力用于實現(xiàn)控制自動化
除了增加IT預(yù)算用于IT安全控制外，潛在數(shù)據(jù)丟失情況最少且遵從缺乏率最低的公司正在重新分配資金，將外部合同的開支重新用于購買設(shè)備及軟件的額外投資，特別是針對自動化控制和流程的監(jiān)控和評測。
Protiviti Inc.技術(shù)風(fēng)險實踐總經(jīng)理Rocco Grillo表示：“提倡控制的人一直面臨著被要求證實分配資源到額外控制上的合理性的壓力。該報告提供了支持證據(jù)，證明相應(yīng)的額外控制不僅得到保障，而且還是預(yù)防數(shù)據(jù)失竊及丟失所必不可少的。該報告還將系統(tǒng)恢復(fù)力與遵從聯(lián)系在一起，這是一個全新的觀點，正如該報告所指出的，有效控制與恢復(fù)力之間存在著緊密聯(lián)系。”
IT Policy Compliance Group旨在執(zhí)行基準(zhǔn)研究以及推廣幫助IT專業(yè)人員成功克服策略與遵從挑戰(zhàn)的最佳實踐，該組織還宣布添加了兩名新成員：ISACA和IT Governance Institute。
如需了解更多信息或下載《為什么需要合規(guī)性——風(fēng)險之下的信譽與收入》（Why Compliance Pays:  Reputations and Revenues at Risk）最新研究報告，請訪問www.ITPolicyCompliance.com。

標(biāo)簽： 安全 評測 數(shù)據(jù)庫 推廣

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。