精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

投資回報率(ROI)屬于財務(wù)分析的概念范疇，ROI是指通過投資而應(yīng)返回的價值。企業(yè)常常通過ROI分析來幫助進行決策。如今許多企業(yè)的IT部門也在使用ROl，很多IT方案在實施之前都進行了ROI分析。而和IT部門密切相關(guān)的信息安全部門也開始做類似的工作，但是信息安全部門在考慮ROI時存在很多困難，比如：難以找到適用于企業(yè)信息安全環(huán)境的ROI評估模型和方法來、甚至是企業(yè)中一些人對信息安全ROI的決策參考價值不認可。

但我們談信息安全的ROI，就是為了方便解決企業(yè)在信息安全建設(shè)中的一些決策問題，特別是讓決策者能明明白白地知道哪些安全投入能給企業(yè)帶來最高的投資回報，即使決策者并不具備信息安全專業(yè)知識背景。巿面上流行的安全方案有很多并且不是能適應(yīng)于所有企業(yè)。你得有尋找一些有效的方法來幫助你做出有效地判斷和正確的決策。而信息安全ROI正是企業(yè)進行信息安全決策的重要工具之一。

幾種對ROI的看法

但是由于企業(yè)的安全環(huán)境和需求差異較大，人們對安全的ROI很難形成統(tǒng)一的看法。比如：有些人認為信息安全是個只懂得花錢不懂賺錢的主。在安全上的投入好象沒有看到有什么實際的投資回報?；蛘咚麄冋J為信息安全的ROI太低，所以不情愿為安全進行過多的投入。

有些人認為信息安全很重要，又或者是因為有上級或監(jiān)管部門有強制性要求，所以他們不管有沒有回報都得會去投入。既然是必須做的，也不用費心去考慮什么ROI的問題。他們本身并不關(guān)注ROI的大小，那怕ROI是零他們也得去做。

還有些人覺得ROI的想法很好，但是無法落地。有人甚至認為評估信息安全的ROI是在浪費時間，因為根本找不到有效的ROI分析方法。雖然也許他們也確實感覺到某些安全投入幫助企業(yè)防御了某某威脅、降低某些風(fēng)險。但是他們無法說出一個具體的數(shù)值，換句話說，他們認可信息安全的ROI，但卻無法量化它。

信息安全工作需要做ROI分析

我們知道有不少企業(yè)是因為恐懼而進行安全投入的，因為害怕感染病毒而購買防病毒產(chǎn)品，因為害怕外部網(wǎng)絡(luò)攻擊而部署防火墻和IDS。投資者都知道，因為恐懼或貪婪而投資，都是不理性的投資行為。也許會一時成功，但沒人能保證這種投資理念能一直成功。而通過分析比較ROI來輔助進行投資，則被公認為一種理性的投資方式。因此筆者認為，企業(yè)在開展信息安全工作時是需要評估ROI的。

回顧幾年前以前企業(yè)的信息安全建設(shè)思路，你會發(fā)現(xiàn)很多企業(yè)采取的是一種“堡壘”式的建設(shè)思路，這種思路比較簡單，就是把需要保護的信息用高高的圍墻保護起來。這時，我們可以通過簡單地比較“圍墻”的建造維護成本、被保護資產(chǎn)的價值來進行安全投資決策。但隨著這幾年信息技術(shù)的發(fā)展，企業(yè)的業(yè)務(wù)情況和安全形勢變得非常多樣化和更加復(fù)雜。比如：很多企業(yè)都開始使用移動辦公了，為了在不影響移動辦公的同時又要保障信息安全，企業(yè)只好不斷地針對某個問題進行投入，安全的預(yù)算也不斷增加。但企業(yè)不可能無上限的增加安全的預(yù)算。在有限的安全的預(yù)算下，這時就更需要評估安全投資的ROI，去評估哪些方案具有最高的ROI?？梢姡谌缃裢{不斷增加而安全預(yù)算有限的背景下，現(xiàn)代企業(yè)較從前更需要進行ROI分析了。

評估信息安全ROI的思路

雖然ROI的概念很好理解，但如何評估信息安全的ROI呢?很多企業(yè)都會認同這種看法：“分析信息安全的ROI是一項棘手的工作”。當(dāng)我們動手評估一個信息安全方案的ROI時，很難找到一個適用的ROI估模型和方法。在網(wǎng)上可以找一些信息安全ROI分析的理論和案例，雖然可供企業(yè)參考借鑒。但最終還是需要企業(yè)根據(jù)自身實際情況來建設(shè)一套適合自己的ROI分析模型和方法。

這里與大家簡略分享一個信息安全ROI分析模型的創(chuàng)建過程，這個示例借鑒了風(fēng)險管理理論，也可以把風(fēng)險管理理論換成其它，但創(chuàng)建思路是相同的：

第一步：了解的安全需求。

簡單來說，就是了解企業(yè)擁有什么、安全目標(biāo)是什么。本例中利用風(fēng)險的概念來幫助了自身的安全現(xiàn)狀和安全需求。通過設(shè)計一系列的問卷來收集企業(yè)的安全需求，比如：什么是企業(yè)要保護的、企業(yè)的業(yè)務(wù)目標(biāo)是什么、采取了哪些措施來達成目標(biāo)、可以容忍多大的風(fēng)險等。 調(diào)查除了基于風(fēng)險管理，還需要考慮每個行業(yè)或組織的一些獨特的安全需求，比如：在美國上市的公司需要符合SOX法案，銀行卡支付行業(yè)需要滿足PCI的合規(guī)要求，國內(nèi)網(wǎng)上銀行需要的通過安全測評才能上線。

在這一步中，主要可以采用問卷為主的調(diào)查方式，收集答案并進行分析、歸納、反復(fù)確認，最終得到一份安全需求列表。該份安全需求列表需要得到企業(yè)高層的批準(zhǔn)和認可。這份安全需求列表將是后續(xù)工作的關(guān)鍵基礎(chǔ)。

第二步：建立一個成本模型，進行成本分析。

當(dāng)你弄清楚安全需求之后，還需要理解這些需求所包含的價值和成本。這就需要建立一個成本模型，把對各種安全需求轉(zhuǎn)換成一個個的評估指標(biāo)，并對這些指標(biāo)進行成本分析。比如：企業(yè)有一個細化的需求點是“公司郵件服務(wù)器需要重點保護”，則“公司郵件服務(wù)器”就備看成一個資產(chǎn)，企業(yè)需要識別出相關(guān)的信息資產(chǎn)及其價值、面臨的威脅、存在的弱點、保護這個資產(chǎn)所采取的各種措施的成本等。這些指標(biāo)構(gòu)成了一個模型。然后，通過成本分析把成本模型中的各種成本指標(biāo)進行量化或部分量化。在本例中，企業(yè)可借助一些風(fēng)險評估的方法進行成本分析，比如：信息安全風(fēng)險評估的國家標(biāo)準(zhǔn)《GBT 20984-2007 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》等。

第三步：建立一系列ROI評估模板。

有了一系列的成本指標(biāo)，就可以進行ROI的計算。ROI評估模板是定義好的ROI計算方法。由于針對不同對象的計算方法不同，所以企業(yè)需要建立多個ROI評估模板以便企業(yè)在具體工作中根據(jù)ROI分析的對象進行選擇。當(dāng)然，也可以在需要時自行新建或更新新的評估模板。在本例中，在ROI評估模板中定義了如何去計算暴露因子(Exposure Factor，EF)、年度發(fā)生率(Annualized Rate of Occurrence，ARO)、單一損失期望(Single Loss Expectancy，SLE)、年度損失期望(Annualized Loss Expectancy，ALE)等指標(biāo)的方法。具體算法可參考風(fēng)險管理理論。

第四步：把ROI分析納入信息安全決策流程中。

在企業(yè)創(chuàng)建好以上ROI的成本模型以及評估模板之后，就可以把這它們作為一個信息安全ROI評估標(biāo)準(zhǔn)納入到企業(yè)的安全體系中去。在本例中，企業(yè)把前三步的過程和成查制作成一個企業(yè)安全標(biāo)準(zhǔn)《信息安全ROI分析操作標(biāo)準(zhǔn)》。并更新了安全策略，強調(diào)“在進行信息安全決策的過程中，要按指定的ROI評估標(biāo)準(zhǔn)《信息安全ROI分析操作標(biāo)準(zhǔn)》用進行ROI分析”。把ROI操作納入到企業(yè)的策略和流程中去，這樣才能保證ROI能被不被遺漏地規(guī)范執(zhí)行。

創(chuàng)建一個信息安全ROI分析模型并不是一件容易的事情，你可能需要花費較長的時間創(chuàng)建模型、豐富模板和細節(jié)、改進你的模型。這不是一次性完成的工作，但是卻是一個很好的機會，值得企業(yè)深入研究。企業(yè)可以把自己的安全理念和價值觀注入到自己的ROI分析模型中去，也可以在其中嘗試一些新的安全理念和方法。

結(jié)語

信息安全投資決策應(yīng)該要基于成本、收益、風(fēng)險權(quán)衡、性能、時間進展等諸多因素。在如今威脅不斷增加而安全預(yù)算有限的背景下，現(xiàn)代企業(yè)在進行信息安全決策之前，企業(yè)的高層很需要知道一些關(guān)鍵ROI指標(biāo)，企業(yè)應(yīng)該積極建立適合自身的信息安全ROI評估模型和方法，以便決策者能更好地在最優(yōu)的安全與最優(yōu)的ROI之間權(quán)衡，最終做出最佳的安全決策。