赛门铁克(Symantec)发表IT Policy Compliance Group最新研究报告–「保护机密资料的核心能力(Core Competencies for Protecting Sensitive Data)」表示，每10个企业组织中只有1个具有令人称羡的数据防护，足以保护其机密数据。这份报告整合了全球450多个企业组织的响应，并分析资料防护领域中领先与落后公司的差异，提供最佳实务做法的建议，造就更理想的数据防护效能、提升法规遵循及维护竞争优势。

　　研究同时发现，保护机密资料表现优良的公司，在法规遵循稽核上也有很好的表现。几乎所有(96%)机密数据遗失率最低的组织，同时也是法规遵循缺陷最少，较不需修正即可通过法规稽核的组织。相对的，大部分(64%)机密数据遗失率高的组织，同时也是法规遵循缺陷最多而必须修正方可通过稽核的组织。

　　这份报告所归纳的核心能力类别分为组织结构与策略、客户关系以及营运优异表现等三个面向。藉由分析机密资料遗失量最低的公司(领先组织)与遗失量最高的公司(落后组织)，将可发现定义较少的政策或控管目标、进行次数较多的评估、以及利用IT变革管理来防止未经授权的使用或变更等相当重要。

　　其中，领先组织平均定义30个控管目标，每19天执行一次评估。这些公司每年发生资料遗失与遭窃的次数约为2到3次，法规遵循缺失发生数则低于2次。而落后组织平均定义82个控管目标，每230天执行一次评估。这些公司每年发生资料遗失与遭窃的次数为13次以上，法规遵循缺失发生数则为22次以上。

　　国际计算机稽核协会(ISACA)国际总裁Lynn Lawton表示，确实制订以风险为基准的控管来防止数据遗失与遭窃，并定期测试这些控管，是相当重要的事。成功的组织专注于挑选最为相关的控管，而不是盲目执行一大堆无关的控管。调查结果清楚显示，相较于持续增加复杂难懂、不协调而又各自为政的控管，选择、执行及沟通关键控管并定期评估其效能才是实用而有效的方法。

　　此份研究显示，就控管而言，其质量的重要性其实还不及针对特定风险控管的适当性与控管评估频率来得重要。企业组织若未执行适当风险控管，且又不常评估程序控管与技术控管是否有效，将很可能造成数据遗失及遭窃。那些不设定控管目标、且又控管评估不足的公司，即为资料遗失率与遭窃率最高的公司。

　　甫瀚咨询(Protiviti)技术风险实务总经理Rocco Grillo则表示，随着法规遵循需求的增加与商誉风险快速升高，保护客户与员工的数据和智能财产已成为前所未见的重要课题。但资料安全破坏与身分窃取事件却持续发生。虽然控管无法确保百分之百的防护性，但公司仍需针对信息安全与风险管理做适当程度的调查程序。

　　Rocco Grillo进一步指出，目前已有数个计划经验证，可有效维护及增加机密数据的安全性与保护性，而在防止重要信息遭窃或遗失有非常大的成效。坐等危机或资安事件发生后再赶忙善后的管理方式将成为历史了，也就是人人皆须主动出击。

　　法规遵循稽核结果最佳的公司，即为数据遗失量最低的组织。这些公司展现出极佳的核心能力，不但可极力降低数据遗失并提升法规遵循效能，还尽可能减少数据破坏所造成的财务冲击，并确保竞争优势。

　　而其组织结构与策略方面的核心能力包括执行世界级的法规遵循计划;记录并维护政策、标准与程序;重新组织内部控管、IT安全与风险管理功能，以充分利用客户关系与运作卓越表现。客户关系方面则包括定义政策执行者的角色与责任;识别及管理业务与财务风险;以及提供员工训练并管理所制定政策中的例外。

　　此外，在营运优异表现方面的核心能力包括将内部稽核范围扩大至大部分的营运功能(business functions);强化控管目标与风险的关联性;减少控管目标数量;落实经过评量的控管;执行程序性控管的自我评估;增加技术控管评估的频率;执行完整的IT变革管理计划;以及使用IT变革管理来防止未经授权的使用或变更。