与计算机安全事故(incident)相关的金融诈欺平均成本接近$500,000美元，其次则是处理与殭尸计算机(bot)相关的组织网络成本达 $350,000美元。总体平均年损失 $300,000美元，单一事件的应变成本则较去年从$345,005降至$288,618，而资安事件通报者也自198单位降至144个单位。

遭受超过10件以上资安事件的发生率似乎有下降的趋势，但是在1-5、6-10件则有些许的增加，所以资安事件是否朝向更加隐匿的手法?或资安防御真的发挥效果?可能肇因于不同组织间的资安讯息分享有下滑的趋势，仅ISAC的参与有小幅增加。今年受访者认为资料外泄来自于内部员工的比例整体而言普遍降低许多 (Fig.12)，认为不是肇因于内部员工的竟高达51%，是内部安控、防制数据外泄发生效果抑或此风险被过度膨胀。 资安产品的采用率则以端点安全(NAC)、应用层防火墙(App Firewall)、加密(档案或传输)的增加比率最大。

恶意软件还是占大宗 (不过CSI 报告中还是使用病毒"Virus”字眼，似乎有点不符合实际状况) 高达 49%，而行动装置与笔记本电脑的遗失则紧追在后，占42% ，比起2007年来看反倒是有降低，(2007恶意软件有52%，行动装置与笔记本电脑的遗失 占50%)，内部员工误用的比率则较去年降低。DNS遭受攻击或存在弱点的现象普遍上升，较去年升高2%大约十分之一的企业有通报他们遭受到相关的DNS 事故。关于针对性攻击 (targeted attack)的比率从去年的 32% 稍降至今年的27%，这些指透过特制化的恶意软件针对特定企业或企业内特定对象如CEO、CFO等进行入侵或社交工程攻击。

值得庆幸的是今年在资安政策的完备度上，大幅提升了18个百分比，超过 68%的企业有正式的资安政策或正在发展正式的资安政策，同时也涵盖了数据保存政策以及软件开发程序的调查。在资安稽核方面，采用内部稽核与自动化工具均 超过5成，也有超过9成采用内部或外部的渗透测试( Penetration Testing)，再来看资安占IT预算的比率，探讨 企业愿意花多少预算在管理信息安全的风险，2008年有53%的组织保留5%及以下的IT预算做资安，比去年的61%来得下降，这样有好有坏，因为有高达 15%的受访者还不清楚预算的比例，但是在占IT预算8-10%的比例上比起2007年有上升的趋势，显见信息安全问题已经受到足够的重视或为不得不花钱 下去处理的现实问题。但是有越来越多的受访者表示，资安已经不是技术问题，而他们的预算不见得从IT部门来，反而是从稽核与内控、法务部门提拨，提升资安 在组织内的地位，可让为预算所苦恼的资安主管借镜，寻求奥援。

在去年的调查中，39%的受访者表示他们用投资报酬率(ROI) 作为一个资安投资的衡量指标，21%利用NPV( Net Present Value)，17% 使用IRR(Internal Rate of Return) 。而今年，有44%表示，他们使用ROI， 26%使用NPV而23%使用IRR，其实使用哪一种方式来衡量成效都是为了呈现资安预算是花在刀口上，也有同时使用多种指标的受访者。在未来经济状况不 被看好的状况下，资安是否会被牺牲掉呢？也许改用能够预防多少财务损失的方式会来的更恰当，因为多数资安建设已经大量在这几年建置完成，要在再拿出一个漂 亮的数字来证明你的成效的确有困难，不如从预防的角度搭配实际案例来呈现资安的价值。

数据源 / CSI''s ''2008 Computer Crime and Security Survey