2000年前，古羅馬的戰車在馳道上奔馳，此時戰車的輪距等于兩匹馬并排所需的空間，約為4.85英尺。

此一輪距，不僅僅為古羅馬奠定了道路的寬度，也影響了后世英國馬車的寬度標準；當第一輛電車誕生于英倫之岸，此傳統尺寸被歷史的車輪沿用，導致了早期鐵路的軌距標準的形成，進而波及到現代的鐵道寬度。美利堅在前往太空的道路上，其航天飛機所依賴的固體燃料助推器（SRBs），也因必須經由鐵路運輸至發射場，被這一古老尺寸所約束，不能跨出4.85英尺的界限。

這一切，不覺讓人稱奇。古羅馬戰車馬之尾后見證的路徑依賴，竟讓現代美國航天飛船的助推器寬度，與千年以前戰車輻輪的距離息息相連。

有時，網絡安全的資金預算編制也頗似這古老而有趣的例子，常由當年預算出發，探討來年預算能否略有擴充。如此往復，年復一年，層層疊加，莫非舊年之預算便是一切之本源。

據我個人網安從業經歷來看，直至2014年前，企業網絡安全經費多年難覓增長之跡，每年計劃僅是前年續篇。防火墻與入侵檢測如同網絡安全的常青樹，安全產業的發展步履維艱。

直至2014年2月，習總書記在中央網絡安全和信息化領導小組（2018年改為中國共產黨中央網絡安全和信息化委員會）第一次會議上的講話，“沒有網絡安全就沒有國家安全”從此深入人心。

2016年11月，隨著《網絡安全法》的頒布與實施，我國網絡安全產業也拉開了近十年高速發展的序幕。企業對于網絡安全的重視程度明顯上升，強合規驅動企業對以往落后的網絡安全架構進行全面升級改造，網絡安全預算也迎來了大幅增長。

歷史似乎又開始其輪回。缺乏嚴重外部事件的催化，或內部系統更新改造的驅動，企業在網絡安全方面的預算又顯出增長乏力之態。這新一輪馬屁股理論的周期似再次開啟，企業對網絡安全的預算落入了一種新的平穩期或者說停滯期。

根據咨詢公司S-RM發布了一份基于年超5億美元的600名企業高管的調研報告，2023年，嚴重的網絡安全事件的平均直接成本同比增長11%，達到了170萬美元，企業規模越大，IT系統越復雜，數據泄露和被勒索軟件攻擊的可能性就越高。報告還展現了一定的IT預算數據，過去一年，企業將絕大部分預算分配在了IT基礎設施換代升級上，以迎合數據字轉型，而在網絡安全上的預算僅增長了3%。

企業網絡安全預算需要考慮哪些因素

在申請網絡安全預算之前，各位CSO們必須要有一個清晰的認知前提：雖然近年來網絡安全的重要性持續提升，但公司的最終目的是盈利，網絡安全是成本中心，從本質上決定容易遭到削減，因此如何把握安全性與經濟性之間的平衡就十分關鍵。

IANS Research的調研顯示，多年快速增長之后，隨著全球不穩定性和通脹壓力的加劇，企業的網絡安全支出開始逐漸減少，2022~2023年預算周期中預算增長下降了65%。

IANS Research在2023年4月到8月間調查訪問了550位CISO，發現各行各業的網絡安全資金分配普遍下降。“各行各業中，預算增長下降最多的是科技公司，同比增長從30%下降到了5%。超過三分之一的企業凍結或削減了網絡安全預算。”

很顯然，結果比我們想象的還要糟糕。在經濟周期向好的時代，網絡安全預算持續增加，這給網安行業一種無比繁榮的假象。事實上，當企業遭遇周期性下跌時，網絡安全預算的削減來的是那么突然而又理所當然。

企業沒錢了，首先需要考慮怎么活下去，至于網絡安全可以先放放。因此如何依據企業的實際情況，說服公司高層與董事會，并且成功向上申請足夠的網絡安全預算，是一個技術活兒~

首先，想要申請網絡安全預算，需要知道網絡安全投入主要有哪些方面，包括：

• 網絡安全基礎設施投入：包括防火墻、入侵檢測系統、數據備份和恢復系統等硬件設備的購置和維護費用。
• 網絡安全軟件投入：包括殺毒軟件、漏洞掃描工具、安全審計軟件等軟件的購買和更新費用。
• 網絡安全服務投入：包括外包安全審計、安全咨詢、安全培訓等專業服務費用。
• 網絡安全人力投入：包括安全團隊的薪酬、培訓和招聘費用。
• 應急響應與恢復預算：為應對安全事件，設立的應急處理和業務恢復所需的預算。

其次，在申請網絡安全預算時還需要仔細考慮以下幾個因素：

• 企業的網絡安全風險評估：企業首先需要評估自身面臨的網絡安全風險，包括內部和外部的威脅來源，以及可能造成的損失。對于風險較高的領域，企業應該加大投入以保障網絡安全。
• 企業的業務需求和發展戰略：企業應根據自身的業務發展規模、業務涉及的敏感數據、業務對網絡安全的依賴程度等因素，合理分配網絡安全預算。
• 行業標準和法規要求：企業需參考行業標準和法規要求，確保網絡安全預算滿足監管部門的要求，降低法律風險。
• 成本效益分析：企業應對網絡安全投入的成本與預期收益進行分析，選擇性價比高的解決方案。
• 同行業競爭對比：參考同行業、同規模企業的網絡安全投入，以確保自身在競爭中不處于劣勢地位。

此外，為了更好地讓高層相信安全預算的必要性，安全負責人還應建立一套網絡安全預算監控機制，定期檢查預算執行情況，評估網絡安全投入的有效性。監控與調整主要包括以下幾個方面：

• 預算執行情況的監控：定期檢查網絡安全預算的執行情況，確保資金按照預定目標進行投入。
• 安全狀況的評估：定期評估企業的網絡安全狀況，了解安全投入是否達到預期效果。
• 預算調整：根據監控結果，及時調整網絡安全預算，將有限資源投入到最需要的領域。
• 經驗總結與持續改進：通過對網絡安全預算執行情況的總結，提煉經驗教訓，持續改進預算制定和執行。

分享幾個申請網絡安全預算的方法

1.舉起安全監管的大棒

網絡安全預算和合規息息相關，近年來全球網絡安全法規持續完善，極大地推動了企業安全建設與預算增加。以我國為例，從2019年12月1日等保2.0正式實施，到2020年1月1日《中華人民共和國密碼法》正式實施。再到2021年，《數據安全法》、《個人信息保護法》、《關鍵信息基礎設施保護條例》、《網絡產品安全漏洞管理規定》等法律法規紛紛出臺，網絡空間法制化建設已經日趨完善。

從無法可依到有法可依，從合規性驅動到合規性和強制性驅動并重，合規依舊是增加網絡安全預算的第一推手。

根據工信部發布的《網絡安全產業高質量發展三年行動計劃(2021-2023年)(征求意見稿)》提出，到2023年，網絡安全產業規模超過2500億元，年復合增長率超過15%。專家認為，隨著網絡空間法制體系建設的完善，網絡安全的合規需求將持續井噴，成為支撐產業高速發展的核心引擎之一。

隨著監管要求持續嚴苛，尤其是在數據安全和隱私保護領域。安全專家Patel說：遵守各種隱私法規和合同中的安全義務是必要的，但這同時也帶來相應的成本，而且就趨勢來看，這成本還在不斷上升。

據媒體報道，此前推特(Twitter)將支付1.5億美元隱私罰金，以和解一樁聯邦隱私訴訟。以個人信息安全為代表的數據安全問題再次成為大眾關注熱點。

近年來，我國越來越重視數據安全的重要性，密集出臺了《數據安全法》、《個人信息保護法》、《App違法違規收集使用個人信息行為認定方法》、等與個人隱私信息相關的法律法規及標準要求。可以說，隱私合規已經成為企業經營的必選項。

2.展示網絡安全為企業節省的費用

盡管安全性當然是大多數組織關注的問題，但負責組織財務的人通常希望看到某種投資回報。對于高層來說，復雜、專業化的網安詞匯晦澀難懂，但一個可靠有效的網絡安全投入的成本收益分析往往可以打動他們，其中包括：

• 風險收益分析：評估網絡安全投入對降低安全風險的貢獻，以及相應風險下降所帶來的收益。
• 投資回報分析：分析網絡安全投入對企業業務運營、品牌形象等方面的積極影響，以及相應的經濟收益。
• 性價比分析：在滿足安全需求的前提下，選擇性價比高的解決方案，實現投入產出最大化。

值得一提的是，在進行成本收益分析時，CSO們可以展示部分實際案例，佐證其分析方法的正確性，例如：

• 可以節省 IT 部門的時間，從而減少加班時間，
• 可以避免可能會花費組織大量資金的監管處罰，
• 通過更好的保護數據保護降低保險費用等。

當然，上述例子只是很粗略的想法，每個企業的實際情況不同，CSO們需要考慮組織的安全項目如何在自己的獨特情況下產生投資回報。為清楚起見，包含節省成本的元素很重要，比如我們可以引用所在行業的數據泄露的平均成本。

再比如凸顯網絡安全部門已經經過嚴格的比價操作，為企業定制了最具性價比的方案。這里可以體現的數據有：

• 實施每個潛在解決方案的總成本（這可能包括許可、人工、支持和硬件成本），
• 為什么IT部門要提出一個特定的解決方案，
• 準備好解釋使用最便宜的供應商可能會放棄什么，
• 每個供應商相對于其他供應商提供什么等。

3.不要單打獨斗

安全不是一個部門的事情，因此在要預算時盡量不要單打獨斗，而是要拉上隊友們一起，以此證明申請安全預算的必要性。

舉個例子，可以和審計人員進行充分溝通，清楚他們的審計要求非常重要，同時安全人員可以借溝通機會向審計人員灌輸相應的網絡安全理念。John作為一家公司的CISO，他每周都會與其企業的審計人員舉行會議，會議內容往往會同時包括合規性和安全性。在公司進行ISO 27001信息安全管理更新時，審計團隊能夠清楚地闡明他們需要安全團隊提供什么，而CISO在收集了審計人員所要求的信息后可以及時作出正確的回應。這樣審計部門/安全部門和公司都會更加輕松，這其實也是公司高層和董事會樂于看到的情況，彼此還可能留下些許香火情。

當然，向審計人員灌輸網絡安全基礎知識存在一定的難度，特別是那些來自大型咨詢公司的審計師，他們只是背了公司發給他們的清單或者規章制度，要求他們在審計得提出相關的問題，但完全不了解安全和風險背景。在這些事例中，他的客戶只通過他們的“規章制度”在審核，但從根本上沒有安全性。

比如，曾經有個審計員詢問過公司是否擁有防火墻，IT 經理回答是，然后審計員就過了，而事實是，企業雖然有防火墻，但它仍在包裝中且尚未安裝。“這審計人員其實一點都不懂，防火墻根本沒做任何事，它甚至都未被安裝。因此，審計人員需要進行正確的審核，他們需要了解安全的背景、技術的背景，包括該學會如何提出問題。”

在國內，安全審計員的角色似乎還并未普及，但與此相仿的有我們的監管人員，因此同樣可以對標。安全從業人員在為企業管理風險時，一樣可以和相關的監管人員多溝通，一方面是為了更好的滿足合規要求，另一方面也可以交流相關的行業經驗，因為二者所處的角度不同，所以必然會有對信息安全相輔相成的交集存在。

4.全靠同行襯托

沒有絕對的網絡安全，換句話說，網絡安全無論投入多少人力/物力都無法做完。那怎么評價網絡安全建設階段性成果？一個很好的衡量指標是和同行進行對比。對于董事會和公司高層來說，網絡安全術語無法理解，但是你要說和同行業同體量的競對相比，網絡安全體系強在哪里，那他們就很好理解了。

因此，網絡安全做的好不好，全靠同行來襯托。而當你發現自己比同行做的不好時，正是一個絕佳的申請網絡安全預算的理由，同行不能輸！！！