投資回報率(ROI)屬于財務分析的概念范疇，ROI是指通過投資而應返回的價值。企業常常通過ROI分析來幫助進行決策。如今許多企業的IT部門也在使用ROl，很多IT方案在實施之前都進行了ROI分析。而和IT部門密切相關的信息安全部門也開始做類似的工作，但是信息安全部門在考慮ROI時存在很多困難，比如：難以找到適用于企業信息安全環境的ROI評估模型和方法來、甚至是企業中一些人對信息安全ROI的決策參考價值不認可。

但我們談信息安全的ROI，就是為了方便解決企業在信息安全建設中的一些決策問題，特別是讓決策者能明明白白地知道哪些安全投入能給企業帶來最高的投資回報，即使決策者并不具備信息安全專業知識背景。巿面上流行的安全方案有很多并且不是能適應于所有企業。你得有尋找一些有效的方法來幫助你做出有效地判斷和正確的決策。而信息安全ROI正是企業進行信息安全決策的重要工具之一。

幾種對ROI的看法

但是由于企業的安全環境和需求差異較大，人們對安全的ROI很難形成統一的看法。比如：有些人認為信息安全是個只懂得花錢不懂賺錢的主。在安全上的投入好象沒有看到有什么實際的投資回報。或者他們認為信息安全的ROI太低，所以不情愿為安全進行過多的投入。

有些人認為信息安全很重要，又或者是因為有上級或監管部門有強制性要求，所以他們不管有沒有回報都得會去投入。既然是必須做的，也不用費心去考慮什么ROI的問題。他們本身并不關注ROI的大小，那怕ROI是零他們也得去做。

還有些人覺得ROI的想法很好，但是無法落地。有人甚至認為評估信息安全的ROI是在浪費時間，因為根本找不到有效的ROI分析方法。雖然也許他們也確實感覺到某些安全投入幫助企業防御了某某威脅、降低某些風險。但是他們無法說出一個具體的數值，換句話說，他們認可信息安全的ROI，但卻無法量化它。

信息安全工作需要做ROI分析

我們知道有不少企業是因為恐懼而進行安全投入的，因為害怕感染病毒而購買防病毒產品，因為害怕外部網絡攻擊而部署防火墻和IDS。投資者都知道，因為恐懼或貪婪而投資，都是不理性的投資行為。也許會一時成功，但沒人能保證這種投資理念能一直成功。而通過分析比較ROI來輔助進行投資，則被公認為一種理性的投資方式。因此筆者認為，企業在開展信息安全工作時是需要評估ROI的。

回顧幾年前以前企業的信息安全建設思路，你會發現很多企業采取的是一種“堡壘”式的建設思路，這種思路比較簡單，就是把需要保護的信息用高高的圍墻保護起來。這時，我們可以通過簡單地比較“圍墻”的建造維護成本、被保護資產的價值來進行安全投資決策。但隨著這幾年信息技術的發展，企業的業務情況和安全形勢變得非常多樣化和更加復雜。比如：很多企業都開始使用移動辦公了，為了在不影響移動辦公的同時又要保障信息安全，企業只好不斷地針對某個問題進行投入，安全的預算也不斷增加。但企業不可能無上限的增加安全的預算。在有限的安全的預算下，這時就更需要評估安全投資的ROI，去評估哪些方案具有最高的ROI。可見，在如今威脅不斷增加而安全預算有限的背景下，現代企業較從前更需要進行ROI分析了。#p#

評估信息安全ROI的思路

雖然ROI的概念很好理解，但如何評估信息安全的ROI呢?很多企業都會認同這種看法：“分析信息安全的ROI是一項棘手的工作”。當我們動手評估一個信息安全方案的ROI時，很難找到一個適用的ROI估模型和方法。在網上可以找一些信息安全ROI分析的理論和案例，雖然可供企業參考借鑒。但最終還是需要企業根據自身實際情況來建設一套適合自己的ROI分析模型和方法。

這里與大家簡略分享一個信息安全ROI分析模型的創建過程，這個示例借鑒了風險管理理論，也可以把風險管理理論換成其它，但創建思路是相同的：

第一步：了解的安全需求。

簡單來說，就是了解企業擁有什么、安全目標是什么。本例中利用風險的概念來幫助了自身的安全現狀和安全需求。通過設計一系列的問卷來收集企業的安全需求，比如：什么是企業要保護的、企業的業務目標是什么、采取了哪些措施來達成目標、可以容忍多大的風險等。 調查除了基于風險管理，還需要考慮每個行業或組織的一些獨特的安全需求，比如：在美國上市的公司需要符合SOX法案，銀行卡支付行業需要滿足PCI的合規要求，國內網上銀行需要的通過安全測評才能上線。

在這一步中，主要可以采用問卷為主的調查方式，收集答案并進行分析、歸納、反復確認，最終得到一份安全需求列表。該份安全需求列表需要得到企業高層的批準和認可。這份安全需求列表將是后續工作的關鍵基礎。

第二步：建立一個成本模型，進行成本分析。

當你弄清楚安全需求之后，還需要理解這些需求所包含的價值和成本。這就需要建立一個成本模型，把對各種安全需求轉換成一個個的評估指標，并對這些指標進行成本分析。比如：企業有一個細化的需求點是“公司郵件服務器需要重點保護”，則“公司郵件服務器”就備看成一個資產，企業需要識別出相關的信息資產及其價值、面臨的威脅、存在的弱點、保護這個資產所采取的各種措施的成本等。這些指標構成了一個模型。然后，通過成本分析把成本模型中的各種成本指標進行量化或部分量化。在本例中，企業可借助一些風險評估的方法進行成本分析，比如：信息安全風險評估的國家標準《GBT 20984-2007 信息安全技術 信息安全風險評估規范》等。

第三步：建立一系列ROI評估模板。

有了一系列的成本指標，就可以進行ROI的計算。ROI評估模板是定義好的ROI計算方法。由于針對不同對象的計算方法不同，所以企業需要建立多個ROI評估模板以便企業在具體工作中根據ROI分析的對象進行選擇。當然，也可以在需要時自行新建或更新新的評估模板。在本例中，在ROI評估模板中定義了如何去計算暴露因子(Exposure Factor，EF)、年度發生率(Annualized Rate of Occurrence，ARO)、單一損失期望(Single Loss Expectancy，SLE)、年度損失期望(Annualized Loss Expectancy，ALE)等指標的方法。具體算法可參考風險管理理論。

第四步：把ROI分析納入信息安全決策流程中。

在企業創建好以上ROI的成本模型以及評估模板之后，就可以把這它們作為一個信息安全ROI評估標準納入到企業的安全體系中去。在本例中，企業把前三步的過程和成查制作成一個企業安全標準《信息安全ROI分析操作標準》。并更新了安全策略，強調“在進行信息安全決策的過程中，要按指定的ROI評估標準《信息安全ROI分析操作標準》用進行ROI分析”。把ROI操作納入到企業的策略和流程中去，這樣才能保證ROI能被不被遺漏地規范執行。

創建一個信息安全ROI分析模型并不是一件容易的事情，你可能需要花費較長的時間創建模型、豐富模板和細節、改進你的模型。這不是一次性完成的工作，但是卻是一個很好的機會，值得企業深入研究。企業可以把自己的安全理念和價值觀注入到自己的ROI分析模型中去，也可以在其中嘗試一些新的安全理念和方法。

結語

信息安全投資決策應該要基于成本、收益、風險權衡、性能、時間進展等諸多因素。在如今威脅不斷增加而安全預算有限的背景下，現代企業在進行信息安全決策之前，企業的高層很需要知道一些關鍵ROI指標，企業應該積極建立適合自身的信息安全ROI評估模型和方法，以便決策者能更好地在最優的安全與最優的ROI之間權衡，最終做出最佳的安全決策。