ISACA調查發現「滿足法規要求」為企業信息科技於本年之首要焦點 黑客活動、保護私人資料、業務與信息科技落差為企業帶來鉅大挑戰香港,2011年4月28日 — 國際信息系統審計協會(ISACA)最近向全球126個國家,逾2,400名從事信息科技、保安,以及審計與標準合規服務的專才,進行一項全新的重要會員調查。結果顯示,於未來12至18個月,影響其信息科技的首要業務問題,將會是企業如何滿足法規要求。 ISACA為服務超過95,000名信息科技管治、標準合規及保安專才的國際組織。根據是次調查,其會員須面對法規遵守、管治及信息保安管理等傳統難題,仍然是企業在信息科技範疇的重大挑戰。監管趨升、資料外泄,以及雲端運算和個人科技產品等新科技的冒起及在工作應用上愈益普,亦為企業帶來不斷增加的複雜性和危機。調查結果已載錄於《2011年商業 / 科技重大範疇調查報告》(Top Business/Technology Issues Survey Results 2011),並於www.isaca.org/deliverables供免費下載。 持有註冊信息系統審計師(CISA)資格,身兼ISACA指引及常規委員會成員的Viacom信息科技審計副總裁Tony Noble表示:「今年的調查結果,比以往更清晰地反映出信息科技不應被獨立管理。隨著政府規例及對消費者私隱關注增多,加上黑客活動愈趨頻繁,企業信息科技資產面對的挑戰,實在遠比想像為多。調查同時顯示出一個明顯觀念──企業從業務角度出發,認為信息科技應被分隔管理。故此,更好地結合業務及信息科技,將可創造更大價值。」
根據《商業 / 科技重大範疇調查報告》的結果,以下為影響信息科技的主要業務因素及其加權評分*: • 法規遵守(評分:4.6) • 企業信息科技管理及管治(評分:4.4) • 信息保安管理(評分:4.1) • 災難復原 / 業務連續性(評分:3.1) • 信息科技危機管理的困難(評分:2.5) • 虛弱點管理(評分:2.1) • 持續的流程改進及業務彈性(評分:2.0) 調查結果顯示,雲端運算、流動設備管理、虛擬化及商業資訊等四方面,今年不再列於首七名得分最高的位置,但預料此四項因素在未來的會員調查中,將顯示出其重要性逐漸增加。 法規遵守最為備受關注 企業在嚴峻的環球經濟環境中,不但要努力維持增長,同時亦要遵從愈見增多的法規及標準,預料於未來的12至18個月,巴塞爾協議(Basel)、多德.弗蘭克法案(Frank-Dodd)、個人可標識信息(PII)、反追蹤(Do Not Track)、清償能力監理標準II(Solvency II)及經濟與臨床醫療資訊技術法案(HITECH Meaningful Use)等新增或經修改的監管制度,以及逐漸收緊的全球稅務及私隱條例,將對企業資訊科技造成重大影響。就企業須要滿足法規要求而言,53%受訪者認為,職責分隔及特許的存取監測制度是最備受關注的技術問題。 企業信息科技管治須注重項目風險管理 調查顯示,企業信息科技管理及管治愈來愈受到重視,此與國際信息科技管治協會(ITGI)在《全球企業信息管治情況報告》(global status report on GEIT)得出的結果相吻合。ITGI的報告顯示,95%的受訪高級行政人員認為企業信息科技管治實屬重要。根據《商業 / 科技重大範疇調查報告》,45%受訪者認為,在企業信息科技管治中,項目風險管理至為重要。 保安漏洞趨升,管理的價值愈顯重要 隨著資料外泄和遺失事件備受傳媒廣泛報導,以及大批資金投放在先進的保安技術之上,各類型機構都開始認識到,信息保安的重點在於如何充分管理信息。ISACA會員指出,企業在制定信息保安定向時缺乏高級管理人員的參與,是一項極需關注的問題,合共有80%受訪者認為此事項屬於重要或十分重要。 持有CISA資格的ISACA董事兼陶氏化學公司(The Dow Chemical Co.)企業核數師Greg Grocholski表示:「2010年,維基解密和僵屍網絡『宙斯』的出現,以及身份盜用的情況愈趨嚴重,可見保安威脅的種類和數量正持續增加。保安並非信息科技獨有的問題,而是眾人都須要注意的事項。倘若有機構未能把保安工作貫徹到底,任何的努力都只會白費心機。」 業務管理人員缺乏災難應變意識,阻礙業務復原步伐 一切商務活動均會面對被迫中斷的風險,原因可以是水災、電力中斷、恐怖襲擊,或是社會動亂。雖然軟件科技日益提升,但企業要維持業務持續不斷營運,永遠是一個難以達成的目標。ISACA的調查顯示,87%受訪者認為業務管理人士在發生災難時,未有意識到自己有責任去維持關鍵業務的運作,是至為嚴重的問題。 針對《商業 / 科技重大範疇調查報告》所歸納的業務問題,ISACA將會在即將舉辦的研討活動中尋求應對之策。於2011年5月15至19日在美國內華達州拉斯維加斯舉行的「北美洲電腦審計、監控及安全會議」(CACS conference),將會探討信息科技存在的人為因素,並會專題討論社交媒體、雲端運算及流動設備等方面的發展情況。另外,於2011年6月27至29日在美國馬里蘭州國家海港(National Harbor)舉行的「全球大會」,則會就ISACA十分關注的信息科技審計、管治、監控、保安及風險管理等範疇,提出業內至為精闢獨到的見解。 國際信息系統審計協會簡介 國際信息系統審計協會(ISACA®,網址:www.isaca.org) 是全球公認提供信息系統標準合規及保安、企業信息科技管治,以及信息科技相關風險與遵循之知識、認證、社群、倡導與教育訓練的領導組織,會員遍布逾 160 個國家,總數超過 95,000 人。ISACA®成立於 1969 年,是一個非牟利的獨立組織。除了主辦國際會議,出版《國際信息系統審計期刊》(ISACA® Journal),並制定國際公認的信息系統的審計與監控標準,以協助其成員締造一個信賴可靠,優值的信息系統。同時,為促進與証明各人的信息技術及知識 ,ISACA推出各項全球公認的專業認證,如:註冊信息系統審計師(CISA®)、註冊信息安全經理(CISM®)、企業信息科技管治認證(CGEIT®)及風險和信息系統監控認證(CRISC)。 現在可於Twitter緊貼ISACA最新動向: http://twitter.com/ISACANews 於 LinkedIn加入ISACA : ISACA (Official) * 「加權評分」指平均排名乘以受訪者的回應數目,得出的分數能夠反映受訪者排列每項受訪問題的重要程度,分數愈高代表愈為重要。
- 新聞稿有效日期,至2011/05/29為止
聯絡人 :羅淑敏 聯絡電話:3141 8095 電子郵件:yvonna.law@knprhk.com
上一篇:ISACA延長CRISC認證豁免考試期限
下一篇:安研科技「地震防災研討會」、高科技廠商熱烈參與
|