2012年全球信息安全调查中国分析2011年11月课件.ppt

* .. .. * .. .. * .. .. * .. .. * .. .. They have an effective strategy in place. They consider their organisation proactive in executing it. And their insights into the frequency, type, and source of security breaches has leaped dramatically over the past 12 months. * .. .. 2012年全球信息安全调查 中国分析2011年11月   傅毓敏 普华永道上海办公室合伙人 风险与内控服务部 王治君 普华永道上海办公室经理 法务鉴证服务部 * 2012年全球信息安全调查 这是普华永道第9次年度调查，9,600名受访者是来自138个国家负责信息安全方面的高级管理人员； 13%的受访者来自中国大陆和香港； 目前，越来越难预测下次的网络攻击会在何时或以何种形式出现； 尽管如此，很多行业的信息安全高级管理人员对自己企业在信息安全管理上的有效性仍很有信心； * 2012年全球信息安全调查 随着信息安全事件发生的频率上升，与商业合作伙伴相关的风险也在加大； 相比2008年以来，企业在信息安全的投资，特别是早期预防并提供即时应对措施的相关重要资本和营运支出，有可能被更大幅度地推迟或取消； 网络犯罪日渐增多，且形式层出不穷，因此敏捷的反应及具有策略性的准备显得至关重要。 * 中国区的受访者来自于多种行业和不同规模的企业 * 小型(1亿美金) 33% 大型 ( 10亿美金) 32% 中型 (1-10亿美金) 25% 未知 5% 非盈利/政府/ 教育机构 5% * 由于在当今商业环境发生的重大变化，中国展现出在推动信息安全管理方面成为「领跑者」的风范 。  商业环境 对企业机密数据及中国企业所拥有的知识产权保护的重视程度有所增加。 更加强调国家/公司资产的保护。 中国企业加强了对研发活动的开展，更多跨国公司在中国设立研发中心及共享服务中心，所以需要更佳更强的数据安全措施。 法律与监管要求 国资委（SASAC）强调要用更完善的数据安全措施来确保中国国有企业的信息安全； 中国的数据隐私法还没出台。然而，中国的必威体育官网网址法对数据保护已形成了一定的保障。 相比全球其他国家，调查显示更多中国受访者认为自己的企业在信息安全策略制定和执行中，属于领跑者。 * 问题 26n11: 「那一个描述最好形容贵公司信息安全的做法?」 * 报告之数字可能未完全与原此数据一致, 因为四舍五入的影响。 对于信息安全的认知，这种感觉是否真实？是否存在自我感觉良好，但是实际与感觉有差异的情况？ 尽管在安全技术支出保持乐观态度, 但中国许多机构在「人员」、「流程」及「技术」三大主要因素的配合方面仍然滞后。 * 问题15: 　「贵机构有甚么数据私穏的保障?」 有关对个人资料私隐的保障 中国 2009 中国 2010 中国 2011 从2010年至2011年之间发生的变化 人员 58.0% 57.3% 59.7% +2.4% 流程 46.4% 45.9% 49.7% +3.8% 技术 60.2% 62.7% 63.4% +0.7% (加上之数不等于100%) 国资委强调要用更完善的数据安全措施来确保中国国有企业的信息安全。然而, 中国许多机构在平衡「人员」、「流程」以及「技术」三个方面有所滞后。 已确认及报告的安全事件数量已经略为减少，但其性质及后果却更为严重，并继续演变为新的威胁。 新技术在商业上的不断使用，例如使用移动设备来支持各种商业活动（作为新的客户或服务渠道）、社会交往等，都在带来新的威胁。 安全攻击已经从针对“系统”转至针对“个人”，或从“直接侵入”转至“诱惑”，以及引进新的攻击方法（例如：恶意软件）。 现有的“信息安全防护”机制未必能够预防、检测和阻止一些量身定做或特别制订的、更复杂的攻击。 网络犯罪分子继续开发网络攻击的新方法，包括： 针对于存储于终端（如笔记本电脑）上的用户保护信息的漏洞攻击 中间人沟通和网络钓鱼攻击 会话劫持 使用社交媒体和其他独特攻击方式 * 移动应用程序（apps)作为推动业务的有效工具已被广泛使用，大大改变了公司现有的风险状况。 * 移动终端越来越成为网上银行、电子交易平台、电子商城、在线预订等主流互联网应用的入口，可是这个入口并不安全； 在各大公司或银行开发电子交易平台或者网上银行时，由于开发周期仓促，造成对于信息安全特别是手机终端的信息安全重视不够，存在很多安全隐患，而