2010 CSO(首席安全执行官)状态报告出炉

当今企业面临的安全风险越来越大，据2010年CSO(首席安全执行官)状态调查报告显示，各种规模的企业开始迅速上线先进的安全解决方案，但即便如此，企业仍然有更多的工作要做，最显着是安全考评和宣传工作。下面一起来看看本次调查问卷的结果。

1、根据每一项描述，给你的组织打分(使用百分数打分，越高表示越吻合该项描述)。

花点时间反省以下以上内容，对你的工作将有莫大的帮助。

从上表可以看出，6年前，受访者所在公司对安全风险管理普遍不重视，缺乏安全策略，CSO和安全培训，时至今日情况有所不同了，根据调查报告可看出，今年许多公司都建立了安全计划，包括策略，人事和培训。

除了互联网市场外，这十年还有什么技术能在企业中如此快速地得到普及?以前谈论安全总是挂在嘴上，没有实际行动，如果不是近年不断发生的攻击事件，可能还未推动企业下定决心在安全方面加大投入，但今天的CSO仍然需要更多的动力，才能推进安全建设工作。

上表显示的2010年结果并非偶然，这是这些年来每个领域进步的一种表现。

2、根据每一项描述，给你的组织打分(使用百分数打分，越高表示越吻合该项描述)。

上面这两个问题前面已经回答过，很多人都认为大公司在安全方面一定比小公司做得好，但事实恰恰相反，从这个现象我们真的应该好好反思。

我们去年就注意到存在这个现象了，但今年仍然存在有点超乎现象，在去年的调查中，我们希望藉此确定大型企业是否会过渡依赖过程，很多人都认为大型组织更倾向于精细化，一定会有专门负责安全的责任人，一定会有专门的安全培训，而很多小公司的管理人员和员工通常都会这样描述自己的职责“…，以及其它必要的职责”，充分展现小公司一人多职的现象。

但事实就是事实，位于印度Gurgaon Genpact公司的CSO Brian Connor简单明确地解释了这一现象，他认为这是因为安全管理人员与员工缺乏沟通造成的。

那该怎么办呢?弗吉尼亚社区学院系统的CSO Jason Richards开了一剂良方，定期组织所有人员参与演练，数据和场景全部模拟真实环境，这比辛辛苦苦创作内部简报有效得多。

3、在你的安全预算过程中使用了下列哪些方法?

(受访者可以选择多个选项作答)

从上面的表格可以清晰看出，使用常见的财务方法做预算的时候越来越少。

这些方法都是标准的，但用在安全预算方面是出了名的困难，例如，年度亏损预期是某个行业的专用术语，放在另一个行业就显得站不住脚。

Richards最后也放弃了这些方法，他说：“我认为将这些方法用在安全预算领域不是不可能，但的确有难度，一开始人们可能会使用它们，但后来发现很笨重就会渐渐放弃”。

但如果一点也不用这些正规的方法也会让人感到不安，Harland Clarke控股公司的CSO John Petrie说：“虽然这里列出的方法没有哪一个能完美体现安全的价值，但它们仍然是衡量安全价值的基础”。

Petrie在一封邮件中表示，衡量安全的价值除了衡量数据的价值外，还应该包括企业的营收(或损失)，安全事故响应成本，风险，声誉或其它方面，这些都不容易用具体的数字来衡量，现在我们正在开发一套全新的整体的衡量安全价值的方法，当然也包括了传统的TCO，ROI和EVA方法。

他举了一个例子，如果仅凭TCO和ROI就象领导推荐数据泄漏保护解决方案，肯定会遭到拒绝，但如果结合它能有效阻止员工泄漏机密数据或知识产权，效果就不一样了，他说：“这样就扩大了其价值，因此关于成本的讨论就少了，更多的是关注可接受的风险了”。

4、与过去12个月相比，你的整体安全预算有何变化?

上涨了：34%

持平：52%

降低了：14%

不确定：9%

这个趋势很正常，安全预算一直处于缓慢增长的态势。

5、过去的12个月中，你组织的领导是否给风险管理寄予了更多的价值?

寄予了更多的价值：54%

没有变化：40%

寄予了更少的价值：6%

这个结果也很正常，会有越来越多的管理者重视安全。

6、你的组织是否使用了正式的风险管理过程或方法?

2009 年

是的：46%

没有：57%

2010年

是的：57%

没有：43%

可以看出，很多企业开始采纳正式的企业风险管理(ERM)方法，ERM可能取代上面介绍的财务预算方法。

Security Risk Management公司的总裁Jeff Spivey在4月召开的CSO大会上做了ERM相关的报告，他表示企业在ERM方面投入越多，得到的回报也越大，因此制定一套完善的ERM计划并付诸实践，远比工作在EVA或以成本为基础的评估方式上更有效。

7、在过去12个月中，在调整安全制度方面花的时间有何变化?

增长了：56%

没有变化：42%

减少了：2%

可以看出，花在制度调整方面的时间呈持续上升的趋势。因此在制度建设方面建立一个明确有效的计划显得迫在眉睫。

关于本次调查和受访者

本次CSO状态调查是在线进行的，从中抽取了合格的样本进行统计，总共有227位安全专家参与了本次调查，他们来自各个行业，包括政府和非盈利组织(26%)，金融服务(22%)，高科技/电信/公用事业(15%)，制造业(12%)和医疗保健(9%)等。调查报告包括信息安全，隐私，欺诈保护，调查，审计，人员安全等很多方面的内容。