Gartner的最新報(bào)告顯示安全預(yù)算的數(shù)目可能會(huì)誤導(dǎo)企業(yè)

Gartner咨詢公司的分析師指出，各機(jī)構(gòu)將平均5.6%的IT預(yù)算用于信息安全和風(fēng)險(xiǎn)管理。

信息安全上的花銷往往占到IT預(yù)算的1%到13%不等。Gartner公司警告說，只注重安全支出的規(guī)模可能會(huì)誤導(dǎo)企業(yè)，即使和同行對(duì)比也意義不大。

企業(yè)想知道他們的信息安全支出是否和同一行業(yè)、同一地區(qū)或同規(guī)模的企業(yè)相當(dāng)，來確定在安全及相關(guān)項(xiàng)目方面是否做到了該做的事情。

但是，僅僅粗糙地參照行業(yè)平均標(biāo)準(zhǔn)，是難以有效得知企業(yè)的安全水平的。企業(yè)很可能看似花了和同行一樣的錢，但卻因?yàn)橘Y金花錯(cuò)了地方而毫無安全可言。因此，企業(yè)應(yīng)當(dāng)在保有適當(dāng)投入的同時(shí)，擁有和不同于其他企業(yè)的風(fēng)險(xiǎn)防御偏好。

按照Gartner的觀點(diǎn)，至少在短期或更長(zhǎng)的時(shí)間內(nèi)，大多數(shù)的企業(yè)將繼續(xù)濫用平均信息安全支出的數(shù)據(jù)來衡量其安全計(jì)劃是否成熟。然而企業(yè)應(yīng)當(dāng)同時(shí)考慮自身的業(yè)務(wù)需求和風(fēng)險(xiǎn)承受能力，來評(píng)估其安全預(yù)算是否在正確的水平上。

安全工作往往由負(fù)責(zé)硬件、軟件、活動(dòng)或項(xiàng)目的部門兼管，而負(fù)責(zé)安全的員工也大多身兼數(shù)職。

Gartner的經(jīng)驗(yàn)是：許多組織甚至根本不知道他們的安全預(yù)算有多少。

這部分是因?yàn)楹苌儆胸?cái)務(wù)系統(tǒng)會(huì)為安全專門立項(xiàng)，而處理安全相關(guān)事務(wù)的往往也不是全職安全人員，因此根本得不到精確的人力開支。通常來講，首席信息安全官（CISO）沒辦法了解整個(gè)企業(yè)的安全支出。

怎么花預(yù)算是個(gè)大問題，這甚至比花多少更難以把握。安全預(yù)算通常被分用于硬件、軟件、服務(wù)（外包、咨詢）和人力四個(gè)方面。

根據(jù)Gartner的報(bào)告，安全的企業(yè)可以偶爾將安全開支縮減到比同行低的水平。那些安全支出最少的企業(yè)分成兩種：一類花費(fèi)少且不安全，一類花費(fèi)少但安全，后者實(shí)現(xiàn)了信息操作及安全的最優(yōu)處理，從而減少了整體復(fù)雜性帶來的開銷。

Gartner估計(jì)，企業(yè)應(yīng)該把4-7%的IT預(yù)算花在信息安全方面：有成熟的系統(tǒng)的企業(yè)花費(fèi)少些，而門窗洞開、風(fēng)險(xiǎn)較高的企業(yè)則花費(fèi)高些。這一數(shù)字只包括首席信息安全官能夠掌控和負(fù)責(zé)的預(yù)算，而非所謂的“實(shí)際”開銷或總開銷。