當今企業面臨的安全風險越來越大，據2010年CSO（首席安全執行官）狀態調查報告顯示，各種規模的企業開始迅速上線先進的安全解決方案，但即便如此，企業仍然有更多的工作要做，最顯著是安全考評和宣傳工作。下面一起來看看本次調查問卷的結果。

1、根據每一項描述，給你的組織打分（使用百分數打分，越高表示越吻合該項描述）。

 
  
花點時間反省以下以上內容，對你的工作將有莫大的幫助。

從上表可以看出，6年前，受訪者所在公司對安全風險管理普遍不重視，缺乏安全策略，CSO和安全培訓，時至今日情況有所不同了，根據調查報告可看出，今年許多公司都建立了安全計劃，包括策略，人事和培訓。

除了互聯網市場外，這十年還有什么技術能在企業中如此快速地得到普及？以前談論安全總是掛在嘴上，沒有實際行動，如果不是近年不斷發生的攻擊事件，可能還未推動企業下定決心在安全方面加大投入，但今天的CSO仍然需要更多的動力，才能推進安全建設工作。

上表顯示的2010年結果并非偶然，這是這些年來每個領域進步的一種表現。

2、根據每一項描述，給你的組織打分（使用百分數打分，越高表示越吻合該項描述）。

上面這兩個問題前面已經回答過，很多人都認為大公司在安全方面一定比小公司做得好，但事實恰恰相反，從這個現象我們真的應該好好反思。

我們去年就注意到存在這個現象了，但今年仍然存在有點超乎現象，在去年的調查中，我們希望藉此確定大型企業是否會過渡依賴過程，很多人都認為大型組織更傾向于精細化，一定會有專門負責安全的責任人，一定會有專門的安全培訓，而很多小公司的管理人員和員工通常都會這樣描述自己的職責“…，以及其它必要的職責”，充分展現小公司一人多職的現象。

但事實就是事實，位于印度Gurgaon Genpact公司的CSO Brian Connor簡單明確地解釋了這一現象，他認為這是因為安全管理人員與員工缺乏溝通造成的。
那該怎么辦呢？弗吉尼亞社區學院系統的CSO Jason Richards開了一劑良方，定期組織所有人員參與演練，數據和場景全部模擬真實環境，這比辛辛苦苦創作內部簡報有效得多。

3、在你的安全預算過程中使用了下列哪些方法？

  
（受訪者可以選擇多個選項作答）

從上面的表格可以清晰看出，使用常見的財務方法做預算的時候越來越少。

這些方法都是標準的，但用在安全預算方面是出了名的困難，例如，年度虧損預期是某個行業的專用術語，放在另一個行業就顯得站不住腳。

Richards最后也放棄了這些方法，他說：“我認為將這些方法用在安全預算領域不是不可能，但的確有難度，一開始人們可能會使用它們，但后來發現很笨重就會漸漸放棄”。

但如果一點也不用這些正規的方法也會讓人感到不安，Harland Clarke控股公司的CSO John Petrie說：“雖然這里列出的方法沒有哪一個能完美體現安全的價值，但它們仍然是衡量安全價值的基礎”。

Petrie在一封郵件中表示，衡量安全的價值除了衡量數據的價值外，還應該包括企業的營收（或損失），安全事故響應成本，風險，聲譽或其它方面，這些都不容易用具體的數字來衡量，現在我們正在開發一套全新的整體的衡量安全價值的方法，當然也包括了傳統的TCO，ROI和EVA方法。

他舉了一個例子，如果僅憑TCO和ROI就象領導推薦數據泄漏保護解決方案，肯定會遭到拒絕，但如果結合它能有效阻止員工泄漏機密數據或知識產權，效果就不一樣了，他說：“這樣就擴大了其價值，因此關于成本的討論就少了，更多的是關注可接受的風險了”。

4、與過去12個月相比，你的整體安全預算有何變化？

上漲了：34%

持平：52%

降低了：14%

不確定：9%

這個趨勢很正常，安全預算一直處于緩慢增長的態勢。

5、過去的12個月中，你組織的領導是否給風險管理寄予了更多的價值？

寄予了更多的價值：54%

沒有變化：40%

寄予了更少的價值：6%

這個結果也很正常，會有越來越多的管理者重視安全。

6、你的組織是否使用了正式的風險管理過程或方法？

2009 年

是的：46%

沒有：57%

2010年

是的：57%

沒有：43%

可以看出，很多企業開始采納正式的企業風險管理（ERM）方法，ERM可能取代上面介紹的財務預算方法。
Security Risk Management公司的總裁Jeff Spivey在4月召開的CSO大會上做了ERM相關的報告，他表示企業在ERM方面投入越多，得到的回報也越大，因此制定一套完善的ERM計劃并付諸實踐，遠比工作在EVA或以成本為基礎的評估方式上更有效。

7、在過去12個月中，在調整安全制度方面花的時間有何變化？

增長了：56%

沒有變化：42%

減少了：2%

可以看出，花在制度調整方面的時間呈持續上升的趨勢。因此在制度建設方面建立一個明確有效的計劃顯得迫在眉睫。

關于本次調查和受訪者

本次CSO狀態調查是在線進行的，從中抽取了合格的樣本進行統計，總共有227位安全專家參與了本次調查，他們來自各個行業，包括政府和非盈利組織（26%），金融服務（22%），高科技/電信/公用事業（15%），制造業（12%）和醫療保健（9%）等。調查報告包括信息安全，隱私，欺詐保護，調查，審計，人員安全等很多方面的內容。

原文出處：www.computerworld.com/s/article/9178655/State_of_the_CSO_2010_Progress_and_peril