组织应该在收集安详方面投入几多钱？

每个组织都必要开拓本身的一连性流程来评估需求并证明安详支出的公道性。以下是两名首席信息安详官 (CISO) 对此给出的提议。

一个组织毕竟应该在收集安详方面耗费几多?谜底很简朴：按照详细环境而定。

影响组织详细耗费的身分有许多，包罗公司所从事的营业范例，其处理赏罚的小我私人或敏感数据或常识产权的范例，其面对的禁锢要求，其 IT 基本架构的伟大性，其成为恶意举动者进攻方针的也许性等等。

与 “一个组织应该在收集安详方面耗费几多” 对比，一个更为重要的题目也许是：“一个组织应该怎样确定必要在收集安详方面耗费几多?” 企业组织通过开拓一连性流程来确定恰当的安详支出程度，对付有用掩护体系和数据而言至关重要。

诸多身分敦促安详支出

最近宣布的一些研究陈诉展示了一些组织在安详方面的支呈近况。CIO 网站于 2018 年 11 月针对环球 683 位 IT 高管举办的一项名为《2019 CIO状态观测》的陈诉表现，绝大大都受访者暗示，IT 安详性支出只占有其公司IT总预算的 15%;近 1/4(23%)的受访组织将其 IT 总预算的 20% 或更多用于安详性方面。

观测还表现，企业局限好像并不是一个重要的影响身分，由于就安详性占有 IT 总预算的份额而言，小型企业现实上与大型企业相差无几。而就行业而言，那些将预算的最高份额用于安详方面的行业首要有专业处事、金融处事和高科技规模。

当被问及 “2019年哪些营业打算将在敦促其组织的 IT 投资中施展最重要的浸染” 时，40% 的 IT 主管暗示必要增进收集安详掩护。紧随厥后的营业打算还包罗进步相应的运营服从，改进客户体验，成长营业、改变现有营业流程以及进步红利手段等等。

除此之外，按照 IDG Communications 对环球 664 名 “以安详为重点” 的专业职员举办的另一项观测表现，近 2/3 (60%) 的企业组织打算来岁增进其安详预算，且均匀增幅为 13%。

抉择安详支出优先级的身分包罗优越实践 (74%)，合规性授权 (69%)，相应组织产生的安详变乱 (35%)，董事会授权 (33%)，以及相应产生在另一个组织的安详变乱 (29%)。

国际数据公司 (IDC) 的收集安详产物项目副总裁 Frank Dickson 暗示，一样平常来说，组织应该将其 IT 预算的 7% 到 10% 用于安详方面。可是，假如您的基本架构很是伟大或受掩护的资产极具代价，那么您也可以将预算份额进步至 15% 或更多。同样地，在某些环境下，5% 的预算份额也也许是吻合的。

安详公司怎样确定其安详支出?

HITRUST(提供风险打点和安详处事的公司)首席信息安详官 Jason Taule 暗示，在 HITRUST 公司，安详预算多年来一向保持不变，这反应我们的率领团队始终致力于当真看待安详和隐私题目，同时保持着一个足够严谨的打算 “以办理公司自身面对的威胁以及相助搭档和将数据托管在 HITRUST 的客户所面对的风险敞口。”

1. 进步运营服从可确保安详支出不变

Taule 指出，“安详预算多年来一向保持不变” 的究竟也许有些误导。与大大都企业组织一样，我们如故必要涵盖更普及的威胁和风险敞口，但同时也要实现更高的运营服从。因此，为了保持预算不变，这两方面必要彼此和谐。简朴来说就是，假如不进步运营服从，支出将逐年增进。

2. 节制框架界说了政策和需求

为了辅佐确定公司应该在安详方面耗费几多，HITRUST 回收了一个节制框架来界说它必要实验的技能、打点和物理政策、措施以及亮点产物。

Taule 暗示，我们还做了有关于一连监控的工作(这件事也是我们提议客户做的)，而且已经实验了一些法子和指标来打点我们的安详打算。这里涉及到了打点题目，由于任何有关安详题目的抉择都必必要有“反馈”，云云一来，组织才气够验证该抉择是否实现了预期的结果，或是按照反馈信息和需求做出恰当的调解。

3. 确定收益递减点

为了确定恰当的支出程度，组织必要确定特殊支出在低落风险方面所发生的边际收益(指增进一单元产物的贩卖所增进的收益，即最后一单元产物的售出所取得的收益)的水平。这是组织可以展示其尽职观测的要害点，由于得出的这个水平程度是颠末全心推理且可辩护的。

4. 一些安详支出是逼迫性的

很少有组织可以或许奢望完全由本身来抉择在哪些方面花几多钱，大大都企业组织都面对着各类禁锢要求、客户祈望或是相助搭档的非凡要求，这些身分城市发生一些特另外支出程度。

在某些环境下，至少在初始阶段，企业也许可以或许在其订价中反应出部门用度。但最终，除了最严酷的要求，其他全部要求都将成为客户但愿企业支付的贸易本钱。

有些组织也许比其他组织更重视安详和隐私题目，乃至也许选择将其作为与竞争敌手区分的法门。因此，他们也许会选择在安详方面投入更多资金。

5. 举办一再性风险评估

在根下层面上，HITRUST 基于通例、按期和一再性风险评估答复了在安详方面耗费几多的题目。假如是风险没有产生改变，那么我们就不必要调解支出。假如我们得出的结论是，我们面对的是超出我们接管手段的风险程度，那么我们就必要对支出环境举办调解。重要的是要夸大，在安详方面耗费几多的题目没有一成稳固的谜底。

科罗拉多州是怎样实现安详支出增添的?

科罗拉多州本年在安详方面的支出为 2150 万美元(约占 IT 总支出的 6%)，高于 2018 年的 1270 万美元(约占 IT 总支出的 4%)。据科罗拉多州州长办公室首席信息安详官 Deborah Blyth 称，这是该州当局有史以来很大的安详预算增添。

1. 建设一个框架来权衡安详成熟度

一样平常来说，很难确定投入几多钱是足够的，以及恰当的支出程度应该是几多。科罗拉多州回收了一个框架——20 大安详节制(20 Critical Security Controls)，并按照该框架权衡安详成熟度。

然后，这种一连的成熟度评估被用于证明必要特另外资金，来实验特另外节制法子和子节制法子。假如资金阻碍我们全面实验这些子节制法子，我们也许会将其添加到预算哀求中。诸如不绝变革的机构需求和当前面对的威胁等身分也在我们的预算哀求中。

2. 鉴于当前的威胁证实支出需求

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!