2007年7月20日消息，以事实为基础的基准研究国际组织：IT Policy Compliance Group今天发布题为《为什么需要合规性——风险之下的信誉与收入》（Why Compliance Pays: Reputations and Revenues at Risk）的最新基准研究报告。报告指出，十家公司中有九家面临因数据丢失及被盗而导致的财务风险。这些风险会给企业用户造成损失，降低收入，甚至导致股价下跌；然而通过实施核心过程与技术控制，并至少对其进行每两周一次监控，可以大幅降低这些风险。

    在规模更大的企业中，如果公司当前的运营较为落后，每三年便可能出现一次公开披露的数据丢失。相比之下，业绩最佳的企业已将数据丢失的可能性降低到每42年出现一次。这些基准表明，在遵从方面表现出色的企业同时也是数据丢失最少、宕机导致业务中断最少的企业。

    赛门铁克公司首席软件工程师，IT Policy Compliance Group执行总裁James Hurley说：“绝大多数企业及公共机构仍在努力克服年度遵从缺乏率居高不下的问题，这一问题最终会导致业务中断、数据丢失及失窃。尽管企业中出现数据丢失及业务中断的可能性很大，但仍有许多遵从、风险及治理方法，如果部署得当，可极大降低这些事件发生的频率及其影响。”

    数据违背的代价

    根据Attrition.org的数据丢失数据库(Data Loss Database)，过去两年来美国公开的数据失窃或丢失事件约为平均每年280起。由于消费者、管理机构及政府对数据泄漏的关注程度不断提高，这一平均值很可能会持续上升。根据最新IT Policy Compliance Group报告，这些数据丢失情况会对业务造成巨大的影响。这些基准表明，公开报道数据丢失的企业预计将会导致客户及收入降低8%；对于上市公司而言，每股股价会下降8%；而对于公开披露了数据丢失及失窃的公司，平均每丢失一个客户记录便会造成100美元的额外损失。

    遵从领先企业的最佳实践

    该研究表明，数据丢失及失窃情况最少的成功公司正在通过提高遵从结果推动IT运营卓越性，尤其在IT一般控制、IT安全控制以及过程方面。更值得注意的是，这些基准表明，数据丢失情况最少的企业至少每两周便会根据目标对控制进行监测和评估。

    ISACA及IT Governance Institute国际总裁，注册会计师Everett C. Johnson表示：“具有简明IT控制目标的有效IT管理流程，以及适当的内置IT控制组合可帮助企业制定策略，并以此为参照进行持续评测。通过创建可评估、可重复的IT遵从项目，企业能够生成足够的数据，同时确保高水平遵从。”

    根据数据丢失情况最少的企业正在执行的工作，IT Policy Compliance Group报告提供了供企业参考的最佳实践，帮助其提高IT遵从结果、降低业务宕机时间，减少数据丢失和失窃。这些方法包括：

    ◆实施更多、更适当的IT控制

    ◆减少控制目标，从而简化对照这些目标进行的交流、评测及报告

    ◆针对业绩目标建立更高的标准

    ◆鼓励形成IT卓越运营的企业文化

    ◆至少每两周对照目标进行对控制的监控、评估及报告

    ◆将更多时间及精力用于实现控制自动化

    除了增加IT预算用于IT安全控制外，潜在数据丢失情况最少且遵从缺乏率最低的公司正在重新分配资金，将外部合同的开支重新用于购买设备及软件的额外投资，特别是针对自动化控制和流程的监控和评测。

    Protiviti Inc.技术风险实践总经理Rocco Grillo表示：“提倡控制的人一直面临着被要求证实分配资源到额外控制上的合理性的压力。该报告提供了支持证据，证明相应的额外控制不仅得到保障，而且还是预防数据失窃及丢失所必不可少的。该报告还将系统恢复力与遵从联系在一起，这是一个全新的观点，正如该报告所指出的，有效控制与恢复力之间存在着紧密联系。”

    IT Policy Compliance Group旨在执行基准研究以及推广帮助IT专业人员成功克服策略与遵从挑战的最佳实践，该组织还宣布添加了两名新成员：ISACA和IT Governance Institute。