謝至恩甫瀚諮詢 (Protiviti Inc.) 技術風險實務總經理 Rocco Grillo 表示:「隨著法規遵循需求的增加與商譽風險快速升高,保護客戶與員工的資料和智慧財產已成為前所未見的重要課題。」Grillo 進一步指出:「然而,資料安全破壞與身分竊取事件卻持續發生。雖然控管無法確保百分之百的防護性,但公司仍需針對資訊安全與風險管理做適當程度的調查程序。已有數個計劃經驗證,可有效維護及增加機密資料的安全性與保護性,而在防止重要資訊遭竊或遺失方有著非常大的成效。坐等危機或資安事件發生後再趕忙善後的管理方式將成為歷史了 – 人人皆須主動出擊。」
本文目錄
資料防護領導組織的最佳實務做法
法規遵循稽核結果最佳的公司,即為資料遺失量最低的組織。這些公司展現出極佳的核心能力,不但可極力降低資料遺失並提升法規遵循效能,還盡可能減少資料破壞所造成的財務衝擊 (請參閱之前的報告「為何企業需要花費於法規遵循上:面臨信譽及營收的風險」(Why Compliance Pays: Reputations and Revenues at Risk),並確保競爭優勢。核心能力包括:
組織結構與策略
- 執行世界級的法規遵循計劃
- 記錄並維護政策、標準與程序
- 重新組織內部控管、 IT 安全與風險管理功能,以充分利用客戶關係與運作卓越表現
客戶關係
- 定義政策執行者的角色與責任
- 識別及管理業務與財務風險
- 提供員工訓練並管理所制定政策中的例外
營運優異表現
- 將內部稽核範圍擴大至大部分的營運功能 (business functions)
- 強化控管目標與風險的關聯性
- 減少控管目標數量
- 落實經過評量的控管
- 執行程序性控管的自我評估
- 增加技術控管評估的頻率
- 執行完整的 IT 變革管理計劃
- 使用 IT 變革管理來防止未經授權的使用或變更
關於本研究報告
IT Policy Compliance Group 的研究主題來自於贊助成員與一般成員的意見所建立的研究規劃,以及根據最近研究所彙集的新發現。這份報告最新標竿係在 2007 年 2 月至 5 月間針對 454 個組織所進行的調查而來,正負誤差為 4.5% 。本次調查中大部分 (90%) 參與標竿評比的組織多位於美國,其他 10% 來自於其他國家,包括:澳洲、加拿大、法國、德國、愛爾蘭、日本、西班牙以及英國
IT Policy Compliance Group 會員資格
IT Policy Compliance Group 也發表了新加入的會員類別:諮詢會員 (Advisory Membership) 。建立「諮詢會員」目的在於為該組織未來執行的研究訂定標準化的建議與指示,提供最新部落格的存取,以及建立、指導及參與工作組織。該組織中的一般會員將重新命名為「夥伴會員」(Associate Membership) 。
如需相關資訊或下載最新的研究報告「保護機密資料的核心能力」,請造訪 www.ITPolicyCompliance.com 。
關於 IT Policy Compliance Group
IT Policy Compliance Group 致力於促進協助 IT 安全專業人員符合該組織政策與法規遵循目標之研究與資訊的發展。其成員由數個領導組織所組成,包括 Computer Security Institute 、 The Institute of Internal Auditors 、 Protiviti 、 ISACA (Information Systems Audit and Control Association) 、 IT Governance Institute 與 Symantec Corporation (NASDAQ: SYMC) 。該組織進行實證標竿評比研究來決定可改善組織之 IT 法規遵循結果的最佳實務。如需更多相關資訊,請造訪 www.ITPolicyCompliance.com 。