赛门铁克公司近期发布《赛门铁克IT风险管理研究报告》（Symantec IT Risk Management Report）。报告指出，60%的受访者预期每年至少会发生一次重大IT事件，可能会使企业关键营运停止或中断。《赛门铁克IT风险管理研究报告》是一份全新的报告，调查为期12个月，至2006年10月为止，以量化与质化调查研究所得资料为基础，旨在协助IT管理高层及操作人员了解构成一套有效IT风险管理策略的要素。赛门铁克从全球、跨产业的企业机构中收集超过500份问卷资料，受访者涵盖IT经理人至IT高层管理者。

ING Renault F1车队IT经理Graeme Hackland 表示：“ING Renault F1车队的 IT基础架构对我们与客户和合作伙伴的关系来说至为重要，因此我们承诺将IT风险管理纳入重大企业策略的一环。在今日的环境之中，切实了解我们的风险概况以及如何改善资源的优先级以确保一套有效的IT风险管理策略，是我们的首要任务。”

企业机构预期会有安全漏洞存在与意外事件的发生

《赛门铁克 IT 风险管理研究报告》调查结果指出，多数受访者预期于最近的1至5年内将遭受某种安全或法规遵从事件的影响。其中，66%的受访者预期每5年至少会发生一次重大法规遵从事件。此外，58%的受访者预期每5年至少会发生一次重大资料流失（如由于数据中心停摆、数据毁损，或安全系统漏洞等事件而导致的数据流失）。

流程控管之推行落后技术控管

有效的IT风险管理需要将流程控管和技术控管之专业与投资做强而有力的整合。最有效的IT风险管理计划使用精选技术结合最佳实务流程的明确控管。《赛门铁克 IT 风险管理研究报告》显示，这次调查所访问的专家们，无论是位于组织内的各个层级、还是横跨各产业、规模、区域，都认为其组织在技术控管上的能力较流程控管来得更为有效。

报告调查结果指出，在流程控管中，验证（authentication）、授权（authorization）及存取（access）被评为有效性最高的项目， 68%的受访者认为自己组织在验证、授权及存取上有超过75 %的有效性。报告同时指出在判别、分类及管理IT资产上存有特定的流程控管问题。仅38 %的受访者认为自己在施行资产盘点、分类及管理流程控管上具有超过75 %的有的有效性。这些管控对于制订反映企业组织优先级的IT风险管理计划来说，是十分重要的基本原则。若缺乏谨慎的风险评估，所有资产极有可能被视为同等重要，因而造成某些资产过度保护，而有些资产反而保护不足的问题。

美国Enterprise Strategy Group高级分析师Jon Oltsik表示：“企业组织开始认知到采取主动而非被动管理手法对其IT风险管理策略的价值所在。”Jon Oltsik进一步指出，“有效的IT 风险管理需要企业组织兼顾技术和流程两个部分，清楚地认知到会造成其系统甚至整体业务冲击的各式不同风险，且具备相同共识。”

内部 IT 组织各职务对风险认知缺乏共识

《赛门铁克 IT 风险管理研究报告》显示，IT员工与IT高层管理者在看待其组织的IT风险漏洞时有显著差异，特别是与营运流程及法规遵从风险有关的风险认知。例如，有8%的IT高层管理者认为营运流程风险对IT作业是“严重风险”，而22%的IT总监视其为“严重”；另外23%的IT高层管理者认为法规遵从风险对IT作业是“严重风险”，但有16%的IT总监视其为“严重”。

赛门铁克相信，IT风险管理投资要取得成功，就要对所有IT领域及其业务之间进行有效校准。不同的内部IT观点甚至造成重要业务协调不良而产生风险。这样一来，就可能高估或低估了对控管项目所做的投资，导致资源浪费及无效的IT风险管理计划。

赛门铁克全球服务部门执行副总裁Greg Hughes表示：“随着企业组织在执行业务方面越来越依赖IT系统，IT风险已成为企业领导者的主要顾虑，并且应被视为重大营运风险管理策略的一环。《赛门铁克 IT 风险管理研究报告》为企业机构提供一份来自全球不同组织对IT风险的完整观点。”

全面性的风险管理方法能减少意外事件的发生

《赛门铁克 IT 风险管理研究报告》资料指出一项与标竿企业相关的趋势。报告中，赛门铁克将标竿企业定义为在16种实际施行控管领域的效度中，排名前25%的受访者。这些标竿企业虽遭遇较高程度的法规遵从及营运流程风险，但发生IT意外事件的频率较低。一份详细的分析显示标竿企业于不同的控件（包括流程控制）间具有高效率的表现，其产生之管理方法较具全面性。此数据亦指出绩效较低的组织通常着重于一小部份较具技术性的控制，而非施行大范围的控制领域。

《赛门铁克 IT 风险管理研究报告》提供企业组织所需要评估企业内部之IT风险管理策略有效性的指标与建议。