压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　當前，隨著信息安全形勢的愈演愈烈，業界對于信息安全的關注度也日漸升溫，與此同時，在信息安全保障過程中，繞不開投資回報率(ROI)這個問題。

　　投資回報率(ROI)屬于財務分析的概念范疇，ROI是指通過投資而應返回的價值。企業常常通過ROI分析來幫助進行決策。如今許多企業的IT部門也在使用ROl，很多IT方案在實施之前都進行了ROI分析。而和IT部門密切相關的信息安全部門也開始做類似的工作，但是信息安全部門在考慮ROI時存在很多困難，比如：難以找到適用于企業信息安全環境的ROI評估模型和方法來、甚至是企業中一些人對信息安全ROI的決策參考價值不認可。

　　但我們談信息安全的ROI，就是為了方便解決企業在信息安全建設中的一些決策問題，特別是讓決策者能明明白白地知道哪些安全投入能給企業帶來最高的投資回報，即使決策者并不具備信息安全專業知識背景。巿面上流行的安全方案有很多并且不是能適應于所有企業。你得有尋找一些有效的方法來幫助你做出有效地判斷和正確的決策。而信息安全ROI正是企業進行信息安全決策的重要工具之一。

　　幾種對ROI的看法

　　但是由于企業的安全環境和需求差異較大，人們對安全的ROI很難形成統一的看法。比如：有些人認為信息安全是個只懂得花錢不懂賺錢的主。在安全上的投入好象沒有看到有什么實際的投資回報?；蛘咚麄冋J為信息安全的ROI太低，所以不情愿為安全進行過多的投入。

　　有些人認為信息安全很重要，又或者是因為有上級或監管部門有強制性要求，所以他們不管有沒有回報都得會去投入。既然是必須做的，也不用費心去考慮什么ROI的問題。他們本身并不關注ROI的大小，那怕ROI是零他們也得去做。

　　還有些人覺得ROI的想法很好，但是無法落地。有人甚至認為評估信息安全的ROI是在浪費時間，因為根本找不到有效的ROI分析方法。雖然也許他們也確實感覺到某些安全投入幫助企業防御了某某威脅、降低某些風險。但是他們無法說出一個具體的數值，換句話說，他們認可信息安全的ROI，但卻無法量化它。

　　信息安全工作需要做ROI分析

　　我們知道有不少企業是因為恐懼而進行安全投入的，因為害怕感染病毒而購買防病毒產品，因為害怕外部網絡攻擊而部署防火墻和IDS。投資者都知道，因為恐懼或貪婪而投資，都是不理性的投資行為。也許會一時成功，但沒人能保證這種投資理念能一直成功。而通過分析比較ROI來輔助進行投資，則被公認為一種理性的投資方式。因此筆者認為，企業在開展信息安全工作時是需要評估ROI的。

　　回顧幾年前以前企業的信息安全建設思路，你會發現很多企業采取的是一種“堡壘”式的建設思路，這種思路比較簡單，就是把需要保護的信息用高高的圍墻保護起來。這時，我們可以通過簡單地比較“圍墻”的建造維護成本、被保護資產的價值來進行安全投資決策。但隨著這幾年信息技術的發展，企業的業務情況和安全形勢變得非常多樣化和更加復雜。比如：很多企業都開始使用移動辦公了，為了在不影響移動辦公的同時又要保障信息安全，企業只好不斷地針對某個問題進行投入，安全的預算也不斷增加。但企業不可能無上限的增加安全的預算。在有限的安全的預算下，這時就更需要評估安全投資的ROI，去評估哪些方案具有最高的ROI?？梢?，在如今威脅不斷增加而安全預算有限的背景下，現代企業較從前更需要進行ROI分析了。

　　評估信息安全ROI的思路

　　雖然ROI的概念很好理解，但如何評估信息安全的ROI呢？很多企業都會認同這種看法：“分析信息安全的ROI是一項棘手的工作”。當我們動手評估一個信息安全方案的ROI時，很難找到一個適用的ROI估模型和方法。在網上可以找一些信息安全ROI分析的理論和案例，雖然可供企業參考借鑒。但最終還是需要企業根據自身實際情況來建設一套適合自己的ROI分析模型和方法。