安全名单

　　医疗资料相关的健康保险可移植性与责任法案(Health Insurance Portability and Accountability Act, HIPAA)，财务数据相关的沙宾法案，或是和信用卡数据相关的支付卡产业标准(Payment Card Industry standard)仍将是企业主管强化安全的重要推手。罚款和吃牢饭的威胁“功不可没”。例如，和去年的40%相较，44%的受访企业表示，只要有法律或产业规范的地方，他们就会小心检查;43%说他们会监督使用者有没有遵循安全政策，和去年的37%相比有长足进展。稽核内部遵循风险者高达55%，去年为49%。

　　但我们切忌高兴得太早。虽然成绩有所进步，但距离100%还远着呢。许多公司仅仅照章行事—而且还疏忽了基本安全把关动作，曾任微软CSO与AT&T CISO与IT风险管理副总裁，现任W Risk Group主席的Karen Worstell说。

　　遵循法规和标准不见得保证就有完善的安全政策，Worstell说，原因有很多。其一，企业可能只制订了政策而不说明如何执行，但一样可以通过遵循稽核。另外，标准其实也有漏洞。

　　例如PCI要求企业必须安装防火墙来保护持卡人的数据。但Worstell指出，该标准仍然无法解决企业在安装了防火墙之后，是不是具有流程确保它是不是定期更新或监控其执行效率的问题。“信息安全仅符合PCI是不够的。”她说。Hannford超市在2007年12月到2008年3月之间就发生客户信用卡被窃情事，该公司那时已经取得“信用卡产业最高安全标准”─PCI符合认证。

　　而如果贵公司监控安全的范围仅及自家防火墙内，这也是不够的。但这正是现今企业的状况。今年度的调查发现到，企业并不知道，显然也不是很想知道，数据交给其它公司后会发生什么事，所以请做好鸡飞狗跳的心理准备。