季瑞華

　　今年3月7日到5月4日，普華永道與CIO雜志、CSO雜志共同進行了一項全球范圍的信息安全狀況調查，超過119個國家、來自各個行業的7200位IT、安全、商務主管人士接受了這項調查。

　　其中有11%、760份的反饋是來自中國大陸和香港，數量僅次于美國。這項調查普華永道已經進行了9年，但是如此高比例的中國受訪對象數量還是第一次出現，也非常出乎我們的意料，這說明有越來越多的中國公司開始對信息安全感興趣。

　　不過，令人不太高興的是，調查結果顯示，盡管中國在信息安全人員方面投入得更多，但在常見的有關隱私安全與信息安全等大多數方面均處于落后狀態。

　　中國信息安全的不成熟已經影響到了經濟發展。調查顯示，中國受訪機構的金融損失比例為23%，知識產權盜竊比例為18%，這些指數均為受訪各國的最高值。在“定期的威脅與易受攻擊性評估”、“制訂知識產權保護策略與措施”等方面，中國受訪者的情況也都落后于全球平均水平。

　　另外，中國的公司還忽略了一些信息安全戰略和管理流程，比如，74%的中國公司沒有首席信息安全官(調查總數平均值為68%)，59%的中國公司沒有總體信息安全戰略(調查總平均值為43%)。

　　更為突出的是，只有很少部分的中國公司有知識產權的政策流程——這可能解釋了為什么在中國非法利用已知

　　與中國類似，印度在受到敲詐勒索、欺詐、竊取知識產權、金融損失等方面的比例也很高。但相比而言，印度從2006年起在信息安全實施與保護方面做出了明顯改進，聘用首席安全官(CSO)和首席信息安全官(CISO)的比例、執行整體安全戰略的比例、使用密碼的比例從2006年到2007年都有不同程度的上升。

　　我認為，中國各機構要趕上世界水平，首先要設立首席安全官和首席信息安全官等崗位，并由有適當經驗的人員擔任，同時聘請信息安全顧問。其次，應檢查它們在信息技術監管基礎設施方面的有效性，同時加強有效信息安全戰略、策略及相關管理流程的制定和落實。

　　調查結果值得注意的還有，雇員首次被列為最有可能制造信息安全事件的起因。大多數受訪者把現任雇員和前任雇員作為最有可能的攻擊源，超過了把黑客作為攻擊源的比例。電子信箱、濫用有效用戶賬號與許可是進行這種攻擊的主要方法。

　　歡迎訂閱《中國經濟周刊》，國內郵發代號2-977，國外訂閱代號：W5372，訂閱電話010-65363436，更多訂閱信息請登陸：www.ceweekly.cn。

　　更多精彩評論，更多傳媒視點，更多傳媒人風采，盡在新浪財經新評談欄目，歡迎訪問新浪財經新評談欄目。