企业信息安全最佳支出比例及9大必要条件

企业信息安全最佳支出比例及9大必要条件

IT主管们一直建议，将IT预算的3%～8%用于安全方面。这一数字是Meta分析公司于本周在巴塞罗纳召开的第十四次年度论坛上给出的最佳指导方针。

Meta解释说，这一数字并不包括特别事务费用，也不包括诸如公共密钥基础设施实现的项目。

该公司补充说，今年的安全预算将像2000年和2001年的情况一样增加10%。

金融服务公司应将它们IT预算的8%用于安全方面的支出。能源公司应分配6.5%，电子商务公司应分配6%，零售商为5%，制造公司为3%。

据Meta公司安全与风险策略副总裁Tom Scholtz称，这些数字中并不包括业务连续发展和灾难救援资金，它们应占到2.5%～4%。

Scholtz说，安全方面的支出应是公司第三大关注的方面，应被视为一种资产保护税。

企业需要建立各自的安全计划，原因是继续采取一种亡羊补牢的解决方法将极大地增加企业的负债。Scholtz预计到2003年底，将有40%的企业建立类似计划，到2005年将有70%的企业建立各自的安全计划。

一个良好的计划要花费2～3年建立，应包括以下具同等重要性的9个方面：

（1）一个将安全与业务联系起来的管理结构；以及一种按季度进行支付以创建一个适当的安全环境的观点；

（2）一种可适应性的结构；

（3）一种支持权责恰当分离的组织方法；

（4）一个可带来持续性文化改变的计划；

（5）一个成熟的与安全有关的处理程序计划；

（6）一项支持本地管理研判的方案以决定适当的安全级别；

（7）执行决定当前环境安全程度的程序；

（8）执行使环境更安全的计划；

（9）执行确保安全满足当前业务各个方面需要的程序。 

本文原载于赛迪网