原文标题：NTT Security的《风险：价值》报告表明，认为GDPR合规与其业务息息相关的全球高管不足五成，另有五分之一承认他们对此一无所知

    相当比例的受访者承认不知道企业的数据存储在何处，甚至不晓得机构的关键数据是否安全存储

    SINGAPORE, July 11, 2017 (GLOBE NEWSWIRE) -- 全球许多企业决策者并无留意即将生效的《一般数据保护条例》（GDPR：General Data Protection Regulation）的影响，对PCI-DSS和ISO27001/2等其他法规也一无所知，五分之一的受访者甚至承认不知道他们的机构需要遵守哪些法规。以上调研结果来自获NTT Group旗下专业信息安全公司NTT Security委托发布的《2017年风险：价值》（2017 Risk:Value）报告，该报告旨在了解企业决策者如何看待信息安全对其业务所带来的风险和价值。

    这次调研采访了11个国家的1,350名非IT高管人员，发现全球范围内只有四成（40%）受访者认为他们的机构须遵守欧盟的GDPR。最令人担忧的可能是五分之一（19%）的受访者承认他们不知道所需遵守的具体法规。在英国，目前仅39%的受访者认为GDPR是合规问题，20%承认他们对此一无所知，这一情况在欧洲以外地区更加严重。例如在美国、澳大利亚和香港，分别只有25%、26%和29%的企业决策者认为他们要遵守GDPR，但事实上这条法规适用于任何保留或收集欧洲公民信息的企业。

    该条例将于2018年5月25日生效，所以企业只余下不足一年的时间落实措施，以遵守有关数据保密和安全的严格新规，未有遵守者将面临高达2,000万欧元或全球年营收4%的罚款（以较高者为准）。

    数据管理和存储是GDPR的重点环节，而《风险：价值》报告亦显示三分之一的受访者不知道他们机构的数据存储在何处，仅47%受访者表示他们的全部关键数据已经安全地存储。在得悉数据存储所在地的受访者中，不足半数（45%）的受访者表示自己“确实知道”新规对他们机构的数据存储将带来什么影响。金融服务及银行业和计算机服务及科技行业的受访者大多比较清楚数据的存储所在地以及所需遵循的法规。

    “在这个充满不确定因素的环境下，机构唯一能够肯定的只有一件事，那就是必须在日历本上记下2018年5月25日这一天。”NTT Security的安全策略及联盟高级副总裁Garry Sidaway表示：“GDPR是属于欧洲的一项数据保护举措，但是在全球范围内，向欧洲任何人士收集或保存可识别个人身份资料的机构都会受到此法规的影响。我们的报告清楚表明，不少人对此毫不知情或是置之不理。可惜，许多机构认为合规是几乎没有效益可言且毫无价值的高成本工作；但是，如果出现违规，他们可能因而丧失业务发展机会，或者要向监管机关缴纳巨额罚款。”

    量化威胁－声誉、营收、决策者辞职

    八分之一的受访者认为信息安全措施不得力是业务的“单一最大风险”。他们最常提出的风险是“竞争对手抢占市场份额（28%）”。

    根据《风险：价值》报告，57%的决策者认为在某些情况下，数据外泄根本无法避免。

    数据外泄的影响有两个方面，受访者们预期，长远来看，外泄会影响其经营业务的能力，同时也会带来短期的财务亏损。受访者当中，逾半数（55%）表示数据外泄会导致客户失去信心，认为会导致名誉受损的有（51%），认为产生财务亏损则有（43%），而分别有13%和9%的受访者认为将会导致企业的员工流失和高管辞职。

    估计的平均补救成本从2015年的90.7万美元增至2017年的135万美元。

    对营收的估计影响从2015年的12.51%降至9.95%，但这仍是一个不容忽视的数字。

    仅逾五成（56%）决策者表示避免安全攻击是董事会议程的常规项目，这表明需要采取更多举措方可让董事会认真正视这个问题。

    受访者们估计，他们机构平均只把15%的IT预算投放在信息安全上，尽管此数字已经高于2015年的13%和2014年的10%。许多受访者表示花在信息安全方面的开支低于研发（31%）、销售（28%）和市场营销（27%）。

    需要推动信息安全的文化

    56%的企业决策者表示他们的机构制定了正式的信息安全政策，这一数字高于2015年的52%。略超过四分之一（27%）的受访者表示相关政策正在落实之中，但是1%的机构完全没有这方面的政策或是没有计划落实。

    不过，绝大多数（79%）的受访者表示他们的安全政策已在机构内部积极贯彻执行，少数（39%）表示员工完全知悉政策的存在。德国及奥地利（85%）在政策贯彻执行方面高于平均水平，美国（84%）和英国（83%）亦然。

    在国家层面，表示已制订正式信息安全政策的受访者百分比比例悬殊，瑞典只有30%制订相关正式政策，但英国却有72%。按行业来看，医疗服务行业领先榜首，业内69%的企业表示实施正式的信息安全政策，金融业则位居第二（66%）。

    不足一半（48%）的机构制定了事故应变计划，31%的受访者表示正在落实中。但是，仅47%的受访决策者完全获悉事故应变计划所包括的细节。

    下载《2017年风险：价值》报告： www.nttsecurity.com/RiskValue2017.

    其他《风险：价值》报告资源： https://www.nttcomsecurity.com/en/templates/WideangleLandingPage.aspx?p=2875&pv=14629.

    编辑注释：

    调研对象

    NTT Security委托Vanson Bourne进行《2017年风险：价值》（2017 Risk:Value）调研，于2017年3月至5月期间采访了美国、英国、德国、奥地利、瑞士、法国、瑞典、挪威、香港、澳大利亚和新加坡的1,350名非IT部门企业决策者（35%属于首席级别）。受访机构均有500名以上员工，这些机构选自多个核心行业，其中约三分之一的受访者来自金融服务业。

    关于Vanson Bourne

    Vanson Bourne是一家独立的科技行业专业市场调研公司。该公司依托于严格的研究原则，加上能于各行各业咨询部门高管决策者有关技术和业务职能的意见，提供详细且严谨可信的调研分析，在业界声誉卓著。如需了解更多信息，请访问：www.vansonbourne.com.

    关于NTT Security

    NTT Security是NTT Group旗下的专业信息安全公司。我们借助于嵌入式安全服务，让集团旗下公司（Dimension Data、NTT Communications和NTT Data）能够为客户的数字化转型需求提供可靠的商业解决方案。NTT Security拥有10家安全运营中心（SOC）、7家研发中心和1500多名安全专家，每年在六大洲处理数十万起安全事件。

    NTT Security通过为NTT Group旗下公司提供合理的咨询和托管服务组合，确保资源得到高效使用，最大限度地利用当地资源和发挥公司的全球能力。NTT Security隶属于全球最大的信息和通讯技术（ICT）公司之一NTT Group（日本电信电话株式会社）。欲知详情，请访问nttsecurity.com。

    如需更多了解信息，请联络媒体办公室（t. press@nttsecurity.com）或访问www.nttsecurity.com。