组织应该在网络安全方面投入多少钱？

每个组织都需要开发自己的持续性流程来评估需求并证明安全支出的合理性。以下是两名首席信息安全官 (CISO) 对此给出的建议。

一个组织究竟应该在网络安全方面花费多少?答案很简单：根据具体情况而定。

影响组织具体花费的因素有很多，包括公司所从事的业务类型，其处理的个人或敏感数据或知识产权的类型，其面临的监管要求，其 IT 基础架构的复杂性，其成为恶意行为者攻击目标的可能性等等。

与 “一个组织应该在网络安全方面花费多少” 相比，一个更为重要的问题可能是：“一个组织应该如何确定需要在网络安全方面花费多少?” 企业组织通过开发持续性流程来确定适当的安全支出水平，对于有效保护系统和数据而言至关重要。

诸多因素推动安全支出

最近发布的一些研究报告展示了一些组织在安全方面的支出现状。CIO 网站于 2018 年 11 月针对全球 683 位 IT 高管进行的一项名为《2019 CIO状态调查》的报告显示，绝大多数受访者表示，IT 安全性支出只占据其公司IT总预算的 15%;近 1/4(23%)的受访组织将其 IT 总预算的 20% 或更多用于安全性方面。

调查还显示，企业规模似乎并不是一个重要的影响因素，因为就安全性占据 IT 总预算的份额而言，小型企业实际上与大型企业相差无几。而就行业而言，那些将预算的最高份额用于安全方面的行业主要有专业服务、金融服务和高科技领域。

当被问及 “2019年哪些业务计划将在推动其组织的 IT 投资中发挥最重要的作用” 时，40% 的 IT 主管表示需要增加网络安全保护。紧随其后的业务计划还包括提高响应的运营效率，改善客户体验，发展业务、改变现有业务流程以及提高盈利能力等等。

除此之外，根据 IDG Communications 对全球 664 名 “以安全为重点” 的专业人员进行的另一项调查显示，近 2/3 (60%) 的企业组织计划明年增加其安全预算，且平均增幅为 13%。

决定安全支出优先级的因素包括最佳实践 (74%)，合规性授权 (69%)，响应组织发生的安全事件 (35%)，董事会授权 (33%)，以及响应发生在另一个组织的安全事件 (29%)。

国际数据公司 (IDC) 的网络安全产品项目副总裁 Frank Dickson 表示，一般来说，组织应该将其 IT 预算的 7% 到 10% 用于安全方面。但是，如果您的基础架构非常复杂或受保护的资产极具价值，那么您也可以将预算份额提高至 15% 或更多。同样地，在某些情况下，5% 的预算份额也可能是合适的。

安全公司如何确定其安全支出?

HITRUST(提供风险管理和安全服务的公司)首席信息安全官 Jason Taule 表示，在 HITRUST 公司，安全预算多年来一直保持稳定，这反映我们的领导团队始终致力于认真对待安全和隐私问题，同时保持着一个足够严谨的计划 “以解决公司自身面临的威胁以及合作伙伴和将数据托管在 HITRUST 的客户所面临的风险敞口。”

1. 提高运营效率可确保安全支出稳定

Taule 指出，“安全预算多年来一直保持稳定” 的事实可能有些误导。与大多数企业组织一样，我们仍然需要涵盖更广泛的威胁和风险敞口，但同时也要实现更高的运营效率。因此，为了保持预算稳定，这两方面需要相互协调。简单来说就是，如果不提高运营效率，支出将逐年增加。

2. 控制框架定义了政策和需求

为了帮助确定公司应该在安全方面花费多少，HITRUST 采用了一个控制框架来定义它需要实施的技术、管理和物理政策、程序以及亮点产品。

Taule 表示，我们还做了有关于持续监控的事情(这件事也是我们建议客户做的)，并且已经实施了一些措施和指标来管理我们的安全计划。这里涉及到了管理问题，因为任何有关安全问题的决定都必须要有“反馈”，如此一来，组织才能够验证该决定是否实现了预期的效果，或是根据反馈信息和需求做出适当的调整。

3. 确定收益递减点

为了确定适当的支出水平，组织需要确定额外支出在降低风险方面所产生的边际收益(指增加一单位产品的销售所增加的收益，即最后一单位产品的售出所取得的收益)的程度。这是组织可以展示其尽职调查的关键点，因为得出的这个程度水平是经过精心推理且可辩护的。

4. 一些安全支出是强制性的