《信息周刊》研究部和国际商业机器公司(IBM)合作进行了2008年“中国信息安全调查”

结论一：《信息周刊》研究部调查显示，数据安全的危害性正在日益上升，未经授权的雇员对文件或数据的访问、带有公司数据的可移动设备遗失或失窃，这一危害将成为企业的主要信息安全事件类型，但并没有引起企业的重视。

信息技术市场调研公司高德纳公司(Gartner)早些时候曾进行一项关于数据被窃的调查，发现被访者中，只有25%的个案是源于不法之徒的恶意攻击，60%的问题却是由于移动设备丢失或被窃。通过与赛门铁克公司(Symantec)、Check Point公司、趋势科技公司等多家安全公司的交流，不难发现，便携式的移动设备，比如U盘、手机、iPod等，容量很大、携带方便，用这些移动设备读取数据时经常在不知不觉中，就充当了病毒的传播者。更可怕的是，有些移动设备一出厂的时候里面就带了木马病毒。而在企业当中，针对U盘等移动设备的控制手段相对较弱。

结论二：安内重于攘外

赛门铁克公司技术经理曹如玮表示，一般企业安全范围的重点是在防范所谓的外部黑客攻击，但是超过一半的威胁恰恰来自企业内部，外部攻击仅占46%。

其中，企业内部的威胁中，50%的被调查企业表示是因为整个流程的文件处理不妥善;另外60%是员工不小心的错误。96%的内部安全威胁是来自于非蓄意的动机和错误;只有1%才是真正的恶意行为。由此看来，内部威胁之所以“为所欲为”，归根结底，还是员工安全意识薄弱。未来越来越重视用户信息安全管理。

结论三：头痛医头，缺乏全局眼光，应当注重信息安全管理

　　“企业安全管理过于分散也是不容忽视的问题。”Check Point 软件技术有限公司安全顾问吴航表示。虽然市场上不乏优良的安全技术，但其部署往往是“头痛医头，脚痛医脚”，彼此间不能妥善协作，这不但会造成资源浪费，还会在安全部署上留下漏洞。

　　由于缺乏全局眼光，大多数企业仍然专注于保护网络，或是提供端点解决方案来抵御威胁，而没有建立以信息为中心的安全策略。《信息周刊》安全调查表明，23.1%的CIO认为，所在企业的信息安全策略有待改进;还有21.4%的CIO认为，信息安全策略、标准的执行力不够，导致企业抵御威胁的能力下降。

　　普华永道会计师事务所系统与流程管理部合伙人傅毓敏建议，在战略及管理流程方面，企业应该制定整体信息安全战略、业务持续及灾难恢复战略和计划、配置架构的标准和流程以及致力于知识产权和信息保护的政策和流程，并执行定期的穿透测试、威胁和弱点评估及风险评估。

结论四：首席信息安全官的设立可以视企业的规模等具体程度情况来定，可以专职与兼职，安全策略都需要企业管理层的积极参与，并从安全管理者的角度来制定和推行整个策略。

　　从《信息周刊》的调查来看，目前，只有13.9%的企业设立了这一职位。在28.2%的企业里，IT部门负责人兼任首席安全官;有27.8%的企业，由安全管理员担负该职责。IBM李明表示，首席信息安全官的设立可以视企业的规模、信息化推进的程度等具体程度情况来定，但不论是设立专职，还是兼职而为，安全策略都需要企业管理层的积极参与，并从安全管理者的角度来制定和推行整个策略。

从上面四个结论来看，都离不开信息安全管理。