调查报告

　

　

　

　

2008 中国信息安全管理与审计实施现状在线调查:我们诚挚邀请您参与，并衷心感谢您的支持！

Future S IT Leader Online Survey通过系列在线调查的方式，旨在以第三方的立场，持续测量在中国信息化建设高速发展过程中IT管理的价值。本次调查中的问题，参照国际通用标准ISO/IEC27001:2005和IT治理框架COBIT设计，主要了解中国境内已经实施或计划实施信息安全管理与审计的政府机关和企事业单位对信息安全管理与审计的认可程度以及实际应用情况。
为确保调查质量，本次调查采用实名制方式。我们承诺将对您的反馈保密，并只进行统计分析，在征得您的同意之前不会对您提供的信息进行个案分析。

本次调查结果将有助于您和你的同事了解和比较贵公司目前在信息安全管理与审计中所处的水平，并发现组织实施信息安全管理与审计的最佳路径和关键成功因素。
作为对您参与的回报，您将在调查结果公开前免费抢先获得调查报告，并且优先获得"Future S R14: 2008 信息安全管理与审计峰会" 的注册邀请。此外，我们为了表示对您的支持的感谢，还准备了众多幸运的惊喜：
1.上海信息化培训中心SITC的千元幸运星奖学金。
2.Future S R14 会议嘉宾VIP入场券。

请在2008年4月11日前参与本次调查。


*姓名:	*邮箱:
*公司:	*电话: (请填写"区号+电话号码")
*手机:
*为必填项目

1. 您是否是上海信息化培训中心学员

A. 是
B.否

2. 您参加过以下哪些培训或获得过以下哪些资质？

A.ITIL
B.IS020000
C.COBIT
D.CISSP
E.CISA
F.ISO27001
G.Prince2
H.以上都无

3. 以下哪个最能描述您在公司中的角色

A. 技术总监-CIO
B. 运营总监-CTO
C. 高级IT经理
D. 项目经理
E. IT架构师
F. IT审计师
G. 质量控制经理
H. 风险控制经理
I. 软件开发人员
J. IT咨询师
K. 培训师
L. 非IT人员

4. 贵公司（或公司的主业）属于以下哪个行业？

A. 能源和电力
B. 制造
C. 金融
D. 通信
E. 医疗保健
F. 日常消费品
G. 咨询服务类
H. 政府部门
I. 其他

5. 贵公司年营业额是多少？（请选择一项）

A. 500万元（人民币，下同）以下
B. 500万元～1000万元
C. 1000万元～5000万元
D. 5000万～1亿元
E. 1亿元～5亿元
F. 5亿元以上

6. 您从事IT工作的时间有：

A. 3年以下
B. 3-5年
C. 5-10年
D. 10-20年
E. 超过20年

7. 贵公司IT部有多少人？

A. 1人
B. 2-5人
C. 5-25人
D. 26-100人
E. 101-500人
F. 500人以上

8.信息安全管理与审计是您工作中很重要的一部分

A. 非常赞成
B. 赞成
C. 无所谓
D. 不赞成
E. 完全不赞成

9.信息安全事件,事故发生时，我总是有预先计划好的措施应对

A. 非常赞成
B. 赞成
C. 无所谓
D. 不赞成
E. 完全不赞成

10.我的项目或活动变更中，总是会考虑信息安全，并对信息安全责任进行评估

A. 非常赞成
B.赞成
C.无所谓
D.不赞成
E.完全不赞成

11.评估其他人员的信息安全管理与审计工作是我日常工作中的一部分

A. 非常赞成
B.赞成
C.无所谓
D.不赞成
E.完全不赞成

12.我接受过信息安全管理与审计培训，并且一直在更新中

A. 非常赞成
B.赞成
C.无所谓
D.不赞成
E.完全不赞成

13.贵公司有定期的会议、专门的委员会或正式的框架等方式来确保信息安全管理与审计的落到实处

A. 非常赞成
B.赞成
C.无所谓
D.不赞成
E.完全不赞成

14.贵公司已经把信息安全、风险管理或IT风险管理集成到企业整体风险管理计划和流程中

A. 非常赞成
B.赞成
C.无所谓
D.不赞成
E.完全不赞成

15.信息安全管理与审计对贵公司整体战略哪些方面有帮助

A.加强公司的整体服务水平
B.推动公司战略项目的展开
C.保护知识产权
D.提升客户体验

16.您认为公司应该把信息安全管理外包？

A. 非常赞成
B.赞成
C.无所谓
D.不赞成
E.完全不赞成

17.您认为公司应该把信息审计外包？

A. 非常赞成
B.赞成
C.无所谓
D.不赞成
E.完全不赞成

18.贵公司的信息安全实践主要有哪些影响和驱动因素？

A. 符合业务需要
B. 数据保护
C.与法规保持一致
D.新技术驱动
E.其他

19.贵公司使用哪些方法来评估自身信息安全的状况：

A. 对照公司相关政策进行自评
B.对照国际标准自评（如ISO 27001, COBIT等）
C.内部审计
D. 外部审计

20.与一年前相比，你所在的公司是否更易受到恶意代码攻击，并出现更多安全漏洞？

A.是
B.一样
C.否
D. 不知道

21.如果你所在公司的IT系统比一年前更易受到安全攻击,那么你认为原因是什么?

A.安全威胁的手段更高明,途径更多，比如SQL injection漏洞，无线攻击
B.更多恶意企图（比如身份盗窃、数据破坏、敲诈勒索等）
C.关键技术产品存在安全漏洞
D.补丁产品使用不当
E.IT架构陈旧过时
F.安全产品不兼容或互操作性差
G.内部开发的软件未对信息安全予以关注

22.如果你所在公司的IT系统比一年前更易受到安全攻击,那么你认为从策略方面原因是什么?

A.信息安全策略不完善
B.执行安全政策不利
C.高级管理层对此缺乏关注或兴趣
D.安全政策跟不上组织结构的变化
E.预算限制
F.采用或更多地采用外包服务
G.雇用或更多地雇用临时员工

23.与2006年相比，2007年你所在的企业在信息安全管理与审计方面的投入有什么变化？

A.增加
B.减少
C.保持不变
D.不知道

24.你所在公司面临的最大安全挑战是什么？

A.管理安全问题的复杂性
B.预防安全漏洞的出现
C.加强安全策略
D.缺乏专业资源和专业知识,提高用户安全意识
E.评估风险
F.缺乏管理层的支持,获得充足的资金支持
G.控制用户对系统和数据的访问权限

25.过去一年中，你所在公司曾出现过哪类安全漏洞或遭遇过哪些类型的攻击？

A.病毒,蠕虫,拒绝服务攻击
B.网络钓鱼,篡改Web脚本语言
C.应用软件被操纵
D.身份盗窃
E.电信或未经授权的入口
F.移动（无线）应用入侵
G.数据库受到安全威胁
H.非法的资料或数据交易,内容管理系统漏洞
I. 无
J.不知道

26.上题的攻击对你公司产生了哪些后果？

A.网络瘫痪,包括电子邮件系统在内的业务应用系统瘫痪
B.信息的机密性遭到破坏
C.知识产权盗窃
D.法律责任
E.欺诈
F.严重的经济损失
G.其他

27.你所在公司如何进行信息安全风险评估？

A.由内部IT团队（没有CIO）进行评估
B.由首席信息安全官带领内部IT团队进行评估
C.我们没有定期的安全风险评估
D.采用风险评估软件
E.内部审计团队和首席信息安全官一起进行评估
F.外包给风险评估服务公司

28.你所在的公司如何处理信息安全风险评估得出的结果？

A.完善IT安全策略降低风险
B.修补信息安全漏洞
C.策略性地应用评估结果来争取更多预算
D.没有采取特别的补救措施

29.你所在公司的信息安全策略由谁制定？

A.首席信息官（CIO）,副总裁,信息系统总监
B.总裁,首席执行官（CEO）,管理总监
C.经理,信息安全部门负责人,IT部门
D.安全管理部门
E.首席信息安全官(CISO)
F.安全管理员
G.内部审计部门
H.风险管理部门
I.首席财务官（CFO）,财务总监
J.监察委员会
K.顾问
L. 公司无正式信息安全策略

30.未来一年中，从战术层面上讲，你所在公司将采取下列哪些安全措施？

A.培养并提高用户的信息安全意识
B.安装更好的访问控制软件,安装监控软件,确保远程接入安全
C.进行安全审计
D.进行风险评估,安全测试
E.对业务部门进行信息安全培训
F.整合安全系统
G.将业务部门纳入最佳安全业务实践

31.你所在公司信息安全审计以下列哪个相关标准为主要依据？

A．ISO-IEC 17799
B．COSO
C．COBIT
D．ITIL
E．NIST SP800系列
F. 其它
G. 无信息安全审计

　

　

2006-2010 版权所有上海信息化培训中心传真：021-62123450 E-mail：training@sh.cei.gov.cn

法律申明｜隐私条款｜网站地图