前言
任何企业对投资都有回报的要求,回报可能是直接的「利润」,达到短期、长期的目标,或者通过投资减少损失。因此每个项目的决策者在每笔投资前都要衡量 ROI,证明该投资能达到的效果和收益,以便在项目结束时可以考核和衡量项目是否成功。
同时通过 ROI 的分析为下一笔预算请求,提供支持性的证据。不过信息安全投资的 ROI 分析,对每个决策者都是很艰难的事情。因为安全投资对大多数企业来说,并不能带来非常直接的收益和利润。
本文主要目的就是和决策者进行讨论,希望通过一些简单的工具和最佳实践,简化 ROI 评估,为决策者在进行信息安全投资时,提供一些决策依据。当然现在信息系统多种多样,各种软件和系统差异性非常大,单一通过简单的工具无法覆盖所有的可能性,但笔者相信这是一个非常有益的探索。
基本概念介绍
ROI:在任何企业或者个人投资,都是通过项目结束后对投资的效果和收益进行评估投资效果,在金融上来讲叫做投资回报率(ROI)。ROI 通常是通过如下的公式来计算的: ROI = (收入- 投资总额) / 投资总额×100%。
举个例子,张三负责投资项目,他和老板申请了2000元的启动资金,张三和老板约定收入五五分成,项目结束后总共收入10000元,老板得到5000元,投资回报率计算如下 (5000 - 2000) / 2000 = 150%
安全投资回报率(ROSI):ROI 适用于所有投资,安全投资也不例外,安全投资决策者也需要知道信息安全投资的底线在哪里,哪些地方进行安全投资是收益最高的,哪些安全产品是投资回报率最高的。在信息安全投资领域,ROSI 能给决策者提供定量的指标:
- 是否对信息安全投资过度,造成浪费
- 信息安全缺乏是否会对企业收益造成影响
- 安全投资到什么程度就够了
- 什么安全产品或者方案对企业有利
安全投资的一些困惑:传统的投资回报率计算方式并不十分适合信息安全投资,安全投资并不能带来利润,它通常是防止公司财产损失,换句话说就是投资安全不要期望有利润回报。因此计算信息安全投资回报率应该计算通过安全投资避免了多少损失。
最低0.47元/天 解锁文章
1311
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
