调查：通讯途径增多带来的安全风险

一项由数据安全公司Kiteworks进行的调查显示，大约有60%的组织在信息通过电子邮件或其它通讯途径传出后，无法追踪这些信息的去向及后续处理情况。

这是一个风险管理问题，因为数据泄露与信息离开组织的方式相关。

调查发现，组织所采用的通讯工具种类越繁多，比如电子邮件、文件共享、托管文件传输、安全文件传输协议以及Web表单等，信息被错误地传递到非预定接收地点的风险也随之增加。

调查报告称：“拥有七种以上通信工具的受访者经历了10多次数据泄露，比总数高出3.55倍。”

北美地区的组织面临的风险尤为严重，这是因为它们是众多通讯途径的主要使用者。

“在北美，令人震惊的是，80%的人使用四种或更多工具，”调查报告称。

高风险往往伴随着高昂的成本。违规行为不仅会导致直接的损失，比如运营中断、生产效率降低以及收入减少，还可能招致来自监管部门和法律的惩罚性罚款等额外成本。

对于近三分之二的组织来说，法律费用支出直达200万美元。企业规模扩大，所需承担的法律成本也随之上升。尤其在规模庞大的企业中——那些拥有约3万名员工的巨头企业——报告称在安全事件发生后，花费超过700万美元处理法律事务。

从对通信接收方数量数据的分析来看，我们可以明显发现通信工具的增多与违规风险增加之间的关系。大约三分之二的机构会与一千个甚至更多的第三方进行敏感信息的交换，这无疑增加了信息追踪和管理上的难度。

Kiteworks企业营销和研究副总裁Patrick Spencer在报告中指出：“随着组织越来越依赖数字通信和协作，以及第三方生态系统的发展，数据泄露相关的风险不断升级。”

大型企业往往面临着更高的风险。以一家拥有大约3万名员工的公司为例，其中近三分之一的部门通常会与5000多位外部接收者进行敏感信息的交流。

报告称：“当前各行业组织所面临的外部风险正达到前所未有的高度，而交换敏感信息的迫切性也进一步加剧了潜在威胁的严重性。”

本次调研数据来自全球范围内约600名风险管理与信息技术专业人士 的回答。

— 【 THE END 】—

通信网络安全服务能力评定工作框架-风险评估（三级）

资格要求

应达到本标准4.2风险评估服务商二级能力要求的所有条款，并在以下方面增强或增加要求：

规模与资产

单位正式编制员工应不少于100人；

注册资金应不少于3000万元人民币。

人员构成和素质要求

直接从事风险评估服务的人员不低于30人，大学本科以 上学历不少于80%；

从事风险评估的组织内至少应有12名具备3年以上通信 领域风险评估项目经验的安全工程师。

业绩要求

单位应具备3年以上的安全行业从业时间；

至少有6个项目中涉及风险评估服务的金额超过10万元人民币；

单位风险评估服务年业绩中电信网和互联网行业比重大 于或等于30%；

单位风险评估服务年业绩中电信网和互联网行业比重大 于或等于30%；

近5年没有出现因各阶段验收未通过或企业自身原因而废止的风险评估服务项目。

组织与管理要求

从事电信网和互联网安全风险评估服务的部门或团队应 为单位二级部门；

对项目实施过程中获取、保存、传播和销毁与安全事件 处理服务有关商业秘密信息等方面有明确的行之有效的控制手段。

质量保证要求

应依据ISO 9001质量体系标准制定完善的质量体系；

应依据ISO27001制定完善的信息安全管理体系规范 （ISMS）。

项目管理要求

项目管理制度应对项目立项、审批过程有明晰表述；

项目管理制度应对项目过程有控制方法或有依据标准， 应有对过程中发生的项目变更或变化进行管理的手段；

项目管理制度应对项目完成后的审计、验证、考核等内 容有管理办法；

应具备项目管理制度落实的证据，可以但不限于电子文 档、会议记录、过程管理表格等。

技术能力要求

深入了解电信网和互联网安全防护系列标准，并参与起 草制定国家或行业标准，对电信网和互联网的整体概念和传统 网和非传统网的若干网络单元有深入了解；

参与支撑国家或行业重大项目。

服务队伍要求

从事风险评估的队伍内至少应有5名经过电信网和互联 网安全防护技术和标准的系统培训的安全工程师；

从事风险评估服务的队伍内应至少有10名经过国家和相 关机构认可，针对安全风险评估服务能力的安全工程师（有相关的能力证书如：CIW、CISP、CISSP、CISA等）

应具有产品研发团队，其中大学本科以上学历人员占90% 以上；

具有专业的安全攻防队伍，有能力对各类主流操作系统、 主流数据库及为完成特定功能所开发的系统进行黑盒测试，并对代码进行白盒检查。

设备、设施与环境要求

应具有专业的攻防实验室，支撑国家相关部门；

应具有自主研发的检测工具（硬件或软件），并获得国 家相关部门的认可；

安全产品应在国家和行业领域占据领先地位，应获得国 家或行业权威认可证明

服务过程能力要求

从事风险评估的组织应具有以下基本能力： － 评估系统安全威胁的能力； － 评估系统脆弱性的能力； － 评估安全对系统的影响的能力； － 评估系统安全风险的能力； － 确定系统的安全需求的能力； － 确定系统的安全输入的能力； － 进行管理安全控制的能力； － 进行监测系统安全状况的能力； － 进行安全协调的能力； － 进行检测和证实系统安全性的能力； － 进行建立系统安全的保证证据的能力； － 根据风险评估结果进行系统整改的能力。

相关问答

好处:方便交流节省通讯费用可视聊天广泛交友利于键盘输入水平的提高坏处:浪费时间有一定风险可能遭遇网络骗局长时间上网损害视力好处:方便交流节...

巴塞尔银行监管委员会对操作风险的正式定义是:由于内部程序、人员和系统的不完备或失效,或由于外部事件造成损失的风险。按照发生的频率和损失大小,...

指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性,即网络系统中的任何信息要在一定传输范围和存放空间内可控。除了采用常规的传播站点和传...

ANT(AdvancedandAdaptiveNetworkTechnology)是一种无线通信技术,主要用于低功耗、短距离的传感器和设备之间的通信。下面是ANT网络的一些优缺点:优点:.....

存在号码疑似风险通信行为解决方法如下:1、绑定邮箱,在安全设置中,绑定一个邮箱,及时号码被盗,也能利用邮箱找回;2、重设密码,原密码太简单,建议重新设...

这些软件包括防火墙、媒体播放器(WindowsMediaPlayer),即时通讯软件(WindowsMessenger),以及它与MicrosoftPassport网络服务的紧密结合,这都被这些.....

分析SWOT分析是一种常用的市场分析方法,旨在评估一个人或企业的优势、劣势、机会和威胁。以下是通信工程师SWOT分析的一些要点:优势:1.技术能力:通...

1.网络安全风险:手机通过无线网络与外界进行通讯,容易受到网络攻击和病毒感染。未经授权的人员可能会通过网络进行远程访问并获取手机中的敏感信息,如个人隐...

企业的风险管理意识差的原因有以下四点。(一)企业结构失衡,缺乏风险意识。良好的组织结构不仅是企业内部审计有序进行的前提,也是企业完善风险管理体系的必...

[回答]虚拟手机号没有任何风险,虚拟运营商也是经过正规认证的。所谓的有风险,只有些人用虚拟运营商的号,实施诈骗。所谓的风险,是针对接到虚拟运营商号的...