建立信息安全管理框架：投资回报计划

通常人们只是认为信息安全只是花钱的部门，不能产生直接的经济效益。
在一个企业内我们经常看到这样的情景：年终总结会上，销售经理们在为不断提高的销售业绩而沾沾自喜、弹冠相庆时，安全主管对自己的最高奖赏只能是向总经理汇报“平安无事”。 因此安全预算经常受到质疑，特别是在企业经营状态不佳时，首先受到压缩就是信息安全预算，然而企业决策者们往往没有意识到，过度压缩的安全预算，往往会使企业蒙受很大的风险。
“911”事件中，当Morgan Stanley 集团和American Express等公司能在世贸中心遭受攻击后数小时内迅速恢复服务时，没有人怀疑灾难恢复计划的重要性；“SARS”肆虐时，成功实施业务持续性计划的亚信、摩托罗拉、惠普等公司使人们看到面对这样的重大灾害时，企业怎样才能避免束手无策。
安全计划只有在安全事例发生后，才能证明其价值，然而只有在安全事件发生前，取得企业决策者们的支持才更有意义。这就需要安全主管与企业决策者们进行有效的沟通，不要企图用高深的技术数据说服高层管理者们。这样往往适得其反，安全主管与决策者们的最佳沟通方式就是投资回报计划，安全主管应当为安全预算做出一份有说服力的投资回报计划，来获得决策者们的理解与支持。
信息安全投资回报计划就是要研究信息安全的成本效益，其成本效益组成如下：
◆从系统生命周期看信息安全的成本：获取成本和运行成本；
◆从安全防护手段看信息安全的成本：技术成本和管理成本；
◆信息安全的价值效益：减少信息安全事故的经济损失；
◆信息安全的非价值效益：增加声誉、提升品牌价值。

如侵联删未允勿转：认证生态网 » 建立信息安全管理框架：投资回报计划