投资回报率(ROI)属于财务分析的概念范畴，ROI是指通过投资而应返回的价值。企业常常通过ROI分析来帮助进行决策。如今许多企业的IT部门也在使用ROl，很多IT方案在实施之前都进行了ROI分析。而和IT部门密切相关的信息安全部门也开始做类似的工作，但是信息安全部门在考虑ROI时存在很多困难，比如：难以找到适用于企业信息安全环境的ROI评估模型和方法来、甚至是企业中一些人对信息安全ROI的决策参考价值不认可。

但我们谈信息安全的ROI，就是为了方便解决企业在信息安全建设中的一些决策问题，特别是让决策者能明明白白地知道哪些安全投入能给企业带来最高的投资回报，即使决策者并不具备信息安全专业知识背景。巿面上流行的安全方案有很多并且不是能适应于所有企业。你得有寻找一些有效的方法来帮助你做出有效地判断和正确的决策。而信息安全ROI正是企业进行信息安全决策的重要工具之一。

几种对ROI的看法

但是由于企业的安全环境和需求差异较大，人们对安全的ROI很难形成统一的看法。比如：有些人认为信息安全是个只懂得花钱不懂赚钱的主。在安全上的投入好象没有看到有什么实际的投资回报。或者他们认为信息安全的ROI太低，所以不情愿为安全进行过多的投入。

有些人认为信息安全很重要，又或者是因为有上级或监管部门有强制性要求，所以他们不管有没有回报都得会去投入。既然是必须做的，也不用费心去考虑什么ROI的问题。他们本身并不关注ROI的大小，那怕ROI是零他们也得去做。

还有些人觉得ROI的想法很好，但是无法落地。有人甚至认为评估信息安全的ROI是在浪费时间，因为根本找不到有效的ROI分析方法。虽然也许他们也确实感觉到某些安全投入帮助企业防御了某某威胁、降低某些风险。但是他们无法说出一个具体的数值，换句话说，他们认可信息安全的ROI，但却无法量化它。

信息安全工作需要做ROI分析

我们知道有不少企业是因为恐惧而进行安全投入的，因为害怕感染病毒而购买防病毒产品，因为害怕外部网络攻击而部署防火墙和IDS。投资者都知道，因为恐惧或贪婪而投资，都是不理性的投资行为。也许会一时成功，但没人能保证这种投资理念能一直成功。而通过分析比较ROI来辅助进行投资，则被公认为一种理性的投资方式。因此笔者认为，企业在开展信息安全工作时是需要评估ROI的。

回顾几年前以前企业的信息安全建设思路，你会发现很多企业采取的是一种“堡垒”式的建设思路，这种思路比较简单，就是把需要保护的信息用高高的围墙保护起来。这时，我们可以通过简单地比较“围墙”的建造维护成本、被保护资产的价值来进行安全投资决策。但随着这几年信息技术的发展，企业的业务情况和安全形势变得非常多样化和更加复杂。比如：很多企业都开始使用移动办公了，为了在不影响移动办公的同时又要保障信息安全，企业只好不断地针对某个问题进行投入，安全的预算也不断增加。但企业不可能无上限的增加安全的预算。在有限的安全的预算下，这时就更需要评估安全投资的ROI，去评估哪些方案具有最高的ROI。可见，在如今威胁不断增加而安全预算有限的背景下，现代企业较从前更需要进行ROI分析了。

评估信息安全ROI的思路

虽然ROI的概念很好理解，但如何评估信息安全的ROI呢?很多企业都会认同这种看法：“分析信息安全的ROI是一项棘手的工作”。当我们动手评估一个信息安全方案的ROI时，很难找到一个适用的ROI估模型和方法。在网上可以找一些信息安全ROI分析的理论和案例，虽然可供企业参考借鉴。但最终还是需要企业根据自身实际情况来建设一套适合自己的ROI分析模型和方法。

这里与大家简略分享一个信息安全ROI分析模型的创建过程，这个示例借鉴了风险管理理论，也可以把风险管理理论换成其它，但创建思路是相同的：

第一步：了解的安全需求。

简单来说，就是了解企业拥有什么、安全目标是什么。本例中利用风险的概念来帮助了自身的安全现状和安全需求。通过设计一系列的问卷来收集企业的安全需求，比如：什么是企业要保护的、企业的业务目标是什么、采取了哪些措施来达成目标、可以容忍多大的风险等。 调查除了基于风险管理，还需要考虑每个行业或组织的一些独特的安全需求，比如：在美国上市的公司需要符合SOX法案，银行卡支付行业需要满足PCI的合规要求，国内网上银行需要的通过安全测评才能上线。

在这一步中，主要可以采用问卷为主的调查方式，收集答案并进行分析、归纳、反复确认，最终得到一份安全需求列表。该份安全需求列表需要得到企业高层的批准和认可。这份安全需求列表将是后续工作的关键基础。

第二步：建立一个成本模型，进行成本分析。

当你弄清楚安全需求之后，还需要理解这些需求所包含的价值和成本。这就需要建立一个成本模型，把对各种安全需求转换成一个个的评估指标，并对这些指标进行成本分析。比如：企业有一个细化的需求点是“公司邮件服务器需要重点保护”，则“公司邮件服务器”就备看成一个资产，企业需要识别出相关的信息资产及其价值、面临的威胁、存在的弱点、保护这个资产所采取的各种措施的成本等。这些指标构成了一个模型。然后，通过成本分析把成本模型中的各种成本指标进行量化或部分量化。在本例中，企业可借助一些风险评估的方法进行成本分析，比如：信息安全风险评估的国家标准《GBT 20984-2007 信息安全技术 信息安全风险评估规范》等。

第三步：建立一系列ROI评估模板。

有了一系列的成本指标，就可以进行ROI的计算。ROI评估模板是定义好的ROI计算方法。由于针对不同对象的计算方法不同，所以企业需要建立多个ROI评估模板以便企业在具体工作中根据ROI分析的对象进行选择。当然，也可以在需要时自行新建或更新新的评估模板。在本例中，在ROI评估模板中定义了如何去计算暴露因子(Exposure Factor，EF)、年度发生率(Annualized Rate of Occurrence，ARO)、单一损失期望(Single Loss Expectancy，SLE)、年度损失期望(Annualized Loss Expectancy，ALE)等指标的方法。具体算法可参考风险管理理论。

第四步：把ROI分析纳入信息安全决策流程中。

在企业创建好以上ROI的成本模型以及评估模板之后，就可以把这它们作为一个信息安全ROI评估标准纳入到企业的安全体系中去。在本例中，企业把前三步的过程和成查制作成一个企业安全标准《信息安全ROI分析操作标准》。并更新了安全策略，强调“在进行信息安全决策的过程中，要按指定的ROI评估标准《信息安全ROI分析操作标准》用进行ROI分析”。把ROI操作纳入到企业的策略和流程中去，这样才能保证ROI能被不被遗漏地规范执行。

创建一个信息安全ROI分析模型并不是一件容易的事情，你可能需要花费较长的时间创建模型、丰富模板和细节、改进你的模型。这不是一次性完成的工作，但是却是一个很好的机会，值得企业深入研究。企业可以把自己的安全理念和价值观注入到自己的ROI分析模型中去，也可以在其中尝试一些新的安全理念和方法。

结语

信息安全投资决策应该要基于成本、收益、风险权衡、性能、时间进展等诸多因素。在如今威胁不断增加而安全预算有限的背景下，现代企业在进行信息安全决策之前，企业的高层很需要知道一些关键ROI指标，企业应该积极建立适合自身的信息安全ROI评估模型和方法，以便决策者能更好地在最优的安全与最优的ROI之间权衡，最终做出最佳的安全决策。