根据Gartner公司有关终端用户隐私、IT风险管理、信息安全、业务连续性和合规管理的年度调查结果显示：信息安全管理实践正在日趋成熟。2015年2月至4月，Gartner在全球7个国家开展调查，964名在大型机构工作的受访者参与了调查，这些大型机构在2014财政年度的总收入不低于5000万美元，拥有不少于100名员工。 

“人们对数字业务的风险意识日益增强，再加上有关网络安全事件的深度宣传，促使IT风险列为董事会级别的讨论事宜，”Gartner的副总裁兼院士级分析师Tom Scholtz说道：“71%的受访者表示，IT风险管理数据影响董事会层面的决策。这也反映出，越来越多的企业开始重视把应对IT风险作为公司管理的一部分。”

信息安全小组汇报程序从本质上而言是企业有效管理的关键因素之一。38%的受访者明确表示，最资深的负责信息安全报告的人员来自IT以外的部门。

Scholtz先生补充说：“在IT以外的部门建立汇报程序的主要原因在于促进执行与监督相分离，提升企业信息安全的形象，打破员工和利益相关者认为“安全只是IT问题”的思维定势。企业日益认识到，必须将安全性作为企业风险问题进行管理，而不仅仅是一个IT运营问题。人们逐渐了解到网络安全挑战已超越传统的IT界限，而深入到运营技术领域（OT）和物联网（IoT）安全等领域。” 

支持安全项目的高管级别也在提高。63%的受访者表示，他们的信息安全项目获得的资助和支持来自IT以外部门的领导层，这一调查数据相较于2014年的54％有了大幅上升。企业首席执行官和董事会的支持率保持不变，为30%（2014年是29%），而指导委员会的支持率从7%升至12%。地区差异引人注目，57%的北美受访者表示信息安全项目获得的支持来自IT以外部门，明显低于西欧的63%和亚太地区的67%。 

Scholtz先生认为：“企业高管重视安全项目至关重要，否则，安全项目将难以得到企业其他部门的必要支持。因为一个企业的信息安全指导委员会（CISSC）主要由业务代表组成，随着管理功能日趋完善，我们希望支持该机构的管理层级别继续上升。事实上，有效的管理机构，如CISSC，已成为企业首席执行官、董事会和高级业务部门经理的授权代表。”

在安全策略的有效性方面，虽然有一半的受访者表示管理层参与评估和审批这些策略，但仅30%的受访者表示，业务部门会积极参与到这些会影响其业务的策略制定中来。虽然这与前几年相比有了很大的改观（2014年的数据为16%），但仍表明业务部门的参与度不高。低参与度的主要原因是安全团队与企业之间对风险的看法不一，这可能会导致管控过度和管理不善，从而导致无效的审计结论，最终降低生产力。