全球知名的信息技術研究和顧問公司Gartner近期發(fā)布的“IT關鍵指標數(shù)據(jù)”顯示，各企業(yè)機構在IT安全與風險管理方面的支出平均占到IT總預算的5.6%。但IT安全支出占IT預算的比例介于約1%至13%之間，并可能在衡量項目成功與否時充當了一種誤導性指標。

評估安全風險

客戶往往希望知道自己在信息安全方面的支出是否與其所在行業(yè)、地區(qū)內(nèi)的其他公司，以及同等規(guī)模的公司不相上下，以此來評估是否應對安全性和相關項目進行財務投入。

然而，有關行業(yè)平均值的籠統(tǒng)對比并不會對企業(yè)的具體安全狀態(tài)有多大幫助。企業(yè)的支出可能與同行處于同一水平，但企業(yè)的投資方向可能有誤，因而存在極大隱患。又或者，企業(yè)的支出可能使用得當，但風險偏好仍與同行有所不同。

Gartner認為，2020年之前，大部分企業(yè)機構將繼續(xù)誤將IT安全支出的均值作為評估安全態(tài)勢的一種指標。

在不了解業(yè)務要求、風險容忍度和滿意率水平的情況下，IT安全支出占IT預算比例的這一指標自身并不能為適當分配IT或業(yè)務資源提供有效的對比信息。

此外，單單IT支出統(tǒng)計數(shù)據(jù)一項無法衡量IT效率，而且也不能成為衡量成功IT企業(yè)機構的一種標準。它們只能提供關于平均費用的指導性意見，而不涉及復雜性或具體需求。

鑒別“真實的”安全預算

詳盡的安全支出通常按硬件、軟件、服務（外包與咨詢）和人員各項進行細分。但是，由于未能充分反映企業(yè)在IT安全領域投資的真正規(guī)模，因此關于詳細安全支出的任何統(tǒng)計數(shù)據(jù)本質上都“缺乏力度”。這是因為安全特性均被融入硬件、軟件、活動或項目之中，并非直指安全性。

Gartner根據(jù)經(jīng)驗判斷，許多企業(yè)完全不了解自身的安全預算。部分原因在于極少有成本核算系統(tǒng)將安全細分為單獨的核算項目，許多與安全相關的流程都不是由安全專管人員所完成，因此無法準確地按照人員數(shù)量進行統(tǒng)計。

大多數(shù)情況下，首席信息安全官（CISO）無法深入了解整個企業(yè)的安全支出情況。

為了確定真實的安全預算，CISO應關注多個方面，例如：具備嵌入式安全功能的網(wǎng)絡設備、可能納入終端用戶支持預算的桌面保護、企業(yè)應用、外包或托管的安全服務、業(yè)務連續(xù)性或隱私計劃，以及可能由人力資源部提供資金支持的安全培訓等。

Gartner“IT關鍵指標數(shù)據(jù)”研究結果顯示，在安全狀況良好的企業(yè)機構內(nèi)，其安全支出占IT預算的比例有時低于平均值。20%支出最低的企業(yè)包括以下兩大截然不同的類型：

一是因支出不足而無法獲得安全保障的企業(yè)。

二是已實施最佳IT運營與安全實踐以降低IT基礎架構總體復雜度并盡力減少安全漏洞的安全型企業(yè)。

Gartner認為，各企業(yè)應將4%至7%的IT預算投入IT安全領域。若擁有成熟的系統(tǒng)，則在該區(qū)間內(nèi)降低預算。若完全開放且面臨風險，則在該區(qū)間內(nèi)提高預算水平。這些是指由CISO掌管和負責的預算，而非“真實”或總體預算。

為了切實重視信息安全，各企業(yè)機構必須首先評估其面臨的風險，并且清醒地認識到在名目繁多的賬目內(nèi)，CISO的安全預算和“真實的”安全預算都有可能未將所有安全支出包含在內(nèi)。

而那些真正了解企業(yè)機構內(nèi)部所有的安全功能（包括必要但卻丟失的功能），以及如何提升這些功能的CISO將極有可能利用間接投資的方式贏得支持。