安全建设的成本

概述

随着企业对IT的依赖程度越来越高，对安全的投入也越来越高。安全建设的投入应该是多少呢？这个不能一概而论，需要根据企业的业务和阶段来分析，这个可以参考之前的《安全建设的原则》和《安全建设的任务》。

一、业界情况

以美国白宫公布的2021财政年预算为例，美国联邦政府一直高度重视网络安全投入，其2021财年IT总预算为922亿美元，其中网络安全领域总预算188亿美元，比2020财年高出14亿美元。网络安全预算占IT预算的20.4%，也就是说，美国政府在IT上每投入10块钱，就有2块钱花在安全上。事实上，美国政府在网络安全上的实际花费往往高于公布的预算，2020财年美国联邦政府申请的网络安全预算是174亿美元，但实际支出184亿美元。

我国网络安全投入占信息化的比重低于世界平均水平。IDC数据显示，我国网络安全市场占信息市场的比重为1.87%，和美国政府20.4%的比重相差十倍，同时也低于全球3.74%的平均水平，无法满足数字化发展的需求。

所以在政协北京市第十三届委员会第四次会议上，北京市政协委员、奇安信集团董事长齐向东建议：在重大信息化项目和关键信息基础设施中，将网络安全投入占比提高至15%以上，打造标杆项目。

二、国内政策

国内等级保护是对网络安全投入建设的一个主要法律法规。等级保护的分成五个级别：

• 第一级 自主保护级：（无需备案，对测评周期无要求）此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成一般损害，不损害国家安全、社会秩序和公共利益。

• 第二级 指导保护级:（公安部门备案，建议两年测评一次）此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害。会对社会秩序、公共利益造成一般损害，不损害国家安全。

• 第三级 监督保护级：（公安部门备案，要求每年测评一次）此类信息系统受到破坏后，会对国家安全、社会秩序造成损害，对公共利益造成严重损害，对公民、法人和其他组织的合法权益造成特别严重的损害。

• 第四级 强制保护级：&