SINGAPORE, July 11, 2017 (GLOBE NEWSWIRE) -- 全球許多企業決策者並無留意即將生效的《通用資料保護條例》(General Data Protection Regulation,簡稱GDPR)的影響,對PCI-DSS和ISO27001/2等其他法規也一無所知,五分之一的受訪者承認甚至不知道他們的機構應遵守哪些法規。上述結果來自獲NTT Group旗下專業資訊安全公司NTT Security委託發佈的《2017年風險:價值》(Risk:Value)報告,該報告旨在了解企業決策者如何看待資訊安全對其業務所帶來的風險和價值。
此次調查訪問了11個國家的1,350名非IT高管人員,發現全球範圍只有四成(40%)受訪者認為他們的機構須遵守歐盟的GDPR。最令人擔憂的是五分之一(19%)的受訪者承認他們不知道應遵守哪些條例。在英國,目前僅有39%的受訪者知道GDPR是有關合規事宜,20%承認他們對此一無所知,這一情況在歐洲以外地區更加嚴重。例如在美國、澳洲和香港,分別只有25%、26%和29%的企業決策者認為他們要遵守GDPR,儘管事實上這條法規適用於任何持有或收集歐洲公民資訊的企業。
該條例將於2018年5月25日生效,立法機關僅給予企業不足一年時間遵循新法規,嚴格規範資料的保密性和安全性,未遵守者將面臨高達2,000萬歐元或全球年營收4%的罰款(以較高者為準)。
資料管理和存放是GDPR的重要組成部分,而《風險:價值》報告亦顯示三分之一的受訪者不知道他們的機構資料存放在何處,僅47%受訪者表示他們的全部關鍵資料已經妥善存放。在知道資料存放處的受訪者中,不足半數(45%)的受訪者表示自己「確實知道」新規定對他們機構資料存放將帶來什麼影響。金融服務及銀行業和電腦服務及科技行業的受訪者最有可能清楚資料存放處以及所需遵循的法規。
「在這個充滿不確定因素的環境下,機構唯一可以肯定的只有一件事,亦即在日曆上記下2018年5月25日這一天」,NTT Security的安全性原則及聯盟高級副總裁Garry Sidaway表示:「儘管GDPR是歐洲的一項資料保護舉措,但在全球範圍內,任何在歐洲向個人收集或保存可識別身份資料的機構都會受到此法規影響。我們的報告明確顯示,不少人對此毫不知情或是置之不理。不幸的是,許多機構認為合規是昂貴且價值微小、甚至毫無價值的舉措;但如果出現違規,他們可能因而喪失業務發展機會,或者要向監管機關繳納巨額罰款。」
量化威脅-聲譽、營收和辭職
- 八分之一的受訪者認為資訊安全措施不當是業務的「單一最大風險」。他們最常提出的風險是「競爭對手搶佔市場份額(28%)」。
- 根據《風險:價值》報告,57%的決策者認為在某些情況下,資料外洩根本無法避免。
- 資料外洩的影響有兩個方面,受訪者們預期外洩會影響其長期業務經營,同時也會帶來短期財務損失。逾半數(55%)的受訪者表示資料外洩會導致客戶失去信心,51%認為這會導致名譽受損,43%則認為導致財務損失,另有13%和9%的受訪者認為將會導致企業員工流失和高管辭職。
- 預估平均成本回收從2015年的90.7萬美元增至2017年的135萬美元。
- 對營收的預估影響從2015年的12.51%降至9.95%,但仍然居高不下。
- 僅逾五成(56%)決策者表示避免安全攻擊是董事會議程的常規專案,這表明需採取更多舉措令董事會正視這個問題。
- 受訪者們估計,他們機構平均僅有15%的IT預算投放在資訊安全上,儘管此數位已經高於2015年的13%和2014年的10%。許多受訪者表示用於資訊安全方面的開支低於研發(31%)、銷售(28%)和營銷(27%)。
需要推廣資訊安全文化
- 56%的企業決策者表示他們的機構制定了正式的資訊安全政策,這一數字高於2015年的52%。略超過四分之一(27%)的受訪者表示相關政策正在落實之中,但是1%的機構沒有相關政策或沒有計劃實施。
- 然而,儘管絕大多數(79%)受訪者聲稱他們的安全政策已在機構內部積極推行,但只有少數(39%)受訪者表示其員工完全知悉該政策。德國及奧地利(85%)在政策貫徹執行方面高於平均水準,美國(84%)和英國(83%)亦然。
- 按國家劃分,已制訂正式資訊安全政策的受訪者比例懸殊,瑞典只有30%制訂相關正式政策,但英國卻有72%。按行業來看,醫療服務行業位居榜首,業內69%的企業表示已實施正式資訊安全政策,金融業則位居第二(66%)。
- 不足一半(48%)的機構制定了應急計畫,31%的受訪者表示正在落實中。但是僅47%的受訪決策者完全獲悉應急計畫的細節。
下載《2017年風險:價值》報告:www.nttsecurity.com/RiskValue2017.
其他《風險:價值》報告資源: https://www.nttcomsecurity.com/en/templates/WideangleLandingPage.aspx?p=2875&pv=14629.
編輯注釋:
調查對象
NTT Security委託Vanson Bourne進行《2017年風險:價值》調查,於2017年3月至5月期間採訪了美國、英國、德國、奧地利、瑞士、法國、瑞典、挪威、香港、澳洲和新加坡的1,350名非IT部門企業決策者(35%為總裁級別)。受訪機構均有500名以上員工,這些機構選自多個核心行業,其中約三分之一的受訪者來自金融服務業。
關於Vanson Bourne
Vanson Bourne是一家獨立的科技行業專業市場調查公司。該公司遵循嚴格的研究原則,並具有資格向技術與業務部門高層決策者資訊意見,提供詳細且嚴謹可信的調查分析,在業界聲譽卓著。如需了解更多資訊,請訪問:www.vansonbourne.com。
關於NTT Security
NTT Security是NTT Group旗下的專業資訊安全公司。我們借助於嵌入式安全服務,讓集團旗下公司(Dimension Data、NTT Communications和NTT Data)能夠為客戶的數位化轉型需求提供可靠的商業解決方案。NTT Security擁有10家安全運營中心(SOC)、7家研發中心和1500多名安全專家,每年在六大洲處理數十萬起安全事件。
NTT Security透過為NTT Group旗下公司提供合理的諮詢和託管服務組合,確保資源得到高效使用,最大限度地利用當地資源和發揮公司的全球能力。NTT Security屬於全球最大的資訊和通訊技術(ICT)公司之一NTT Group(日本電信電話株式會社)旗下公司。欲知更多詳情,請訪問nttsecurity.com。