監管環境下的安全風險管理(doc 26頁)

一、 當前全球信息安全狀況–AYZX全球信息安全調查
二、 對信息技術風險管理日益重視的關鍵動因
三、 索克斯法案/COSO模型
四、 降低信息技術風險–AYZX安全管理框架
五、 總結發展的趨勢。原因如下：

AYZX2004年全球信息安全調查?在2004年2月至6月期間，我們利用一套多層次的問卷進行了麵對麵的訪談調研?全球有1,225多個機構參加了這次調查?參加調查的機構中包括了來自世界51個國家的規模最大，並且業績最好的公司
主要發現:?忽視人力投入–管理層願意進行技術產品的采購，但是不太願意對人力投資進行優先考慮–隻有不到半數的被調查機構為他們的雇員提供持續的安全和控製培訓–不到30%的被調查機構在2004年把“增強雇員信息安全培訓並提高雇員信息安全意識”作為首要任務之一?低估來自公司內部的威脅–對機構的最大的安全威脅來源於“病毒，特洛伊木馬和蠕蟲”，此外也來自內部雇員在信息係統方麵的不當行為

..............................