怎么有效申请网络安全预算？

2000年前，古罗马的战车在驰道上奔驰，此时战车的轮距等于两匹马并排所需的空间，约为4.85英尺。

此一轮距，不仅仅为古罗马奠定了道路的宽度，也影响了后世英国马车的宽度标准；当第一辆电车诞生于英伦之岸，此传统尺寸被历史的车轮沿用，导致了早期铁路的轨距标准的形成，进而波及到现代的铁道宽度。美利坚在前往太空的道路上，其航天飞机所依赖的固体燃料助推器（SRBs），也因必须经由铁路运输至发射场，被这一古老尺寸所约束，不能跨出4.85英尺的界限。

这一切，不觉让人称奇。古罗马战车马之尾后见证的路径依赖，竟让现代美国航天飞船的助推器宽度，与千年以前战车辐轮的距离息息相连。

有时，网络安全的资金预算编制也颇似这古老而有趣的例子，常由当年预算出发，探讨来年预算能否略有扩充。如此往复，年复一年，层层叠加，莫非旧年之预算便是一切之本源。

据我个人网安从业经历来看，直至2014年前，企业网络安全经费多年难觅增长之迹，每年计划仅是前年续篇。防火墙与入侵检测如同网络安全的常青树，安全产业的发展步履维艰。

直至2014年2月，习总书记在中央网络安全和信息化领导小组（2018年改为中国共产党中央网络安全和信息化委员会）第一次会议上的讲话，“没有网络安全就没有国家安全”从此深入人心。

2016年11月，随着《网络安全法》的颁布与实施，我国网络安全产业也拉开了近十年高速发展的序幕。企业对于网络安全的重视程度明显上升，强合规驱动企业对以往落后的网络安全架构进行全面升级改造，网络安全预算也迎来了大幅增长。

历史似乎又开始其轮回。缺乏严重外部事件的催化，或内部系统更新改造的驱动，企业在网络安全方面的预算又显出增长乏力之态。这新一轮马屁股理论的周期似再次开启，企业对网络安全的预算落入了一种新的平稳期或者说停滞期。

根据咨询公司S-RM发布了一份基于年超5亿美元的600名企业高管的调研报告，2023年，严重的网络安全事件的平均直接成本同比增长11%，达到了170万美元，企业规模越大，IT系统越复杂，数据泄露和被勒索软件攻击的可能性就越高。报告还展现了一定的IT预算数据，过去一年，企业将绝大部分预算分配在了IT基础设施换代升级上，以迎合数据字转型，而在网络安全上的预算仅增长了3%。

企业网络安全预算需要考虑哪些因素

在申请网络安全预算之前，各位CSO们必须要有一个清晰的认知前提：虽然近年来网络安全的重要性持续提升，但公司的最终目的是盈利，网络安全是成本中心，从本质上决定容易遭到削减，因此如何把握安全性与经济性之间的平衡就十分关键。

IANS Research的调研显示，多年快速增长之后，随着全球不稳定性和通胀压力的加剧，企业的网络安全支出开始逐渐减少，2022~2023年预算周期中预算增长下降了65%。

IANS Research在2023年4月到8月间调查访问了550位CISO，发现各行各业的网络安全资金分配普遍下降。“各行各业中，预算增长下降最多的是科技公司，同比增长从30%下降到了5%。超过三分之一的企业冻结或削减了网络安全预算。”

很显然，结果比我们想象的还要糟糕。在经济周期向好的时代，网络安全预算持续增加，这给网安行业一种无比繁荣的假象。事实上，当企业遭遇周期性下跌时，网络安全预算的削减来的是那么突然而又理所当然。

企业没钱了，首先需要考虑怎么活下去，至于网络安全可以先放放。因此如何依据企业的实际情况，说服公司高层与董事会，并且成功向上申请足够的网络安全预算，是一个技术活儿~

首先，想要申请网络安全预算，需要知道网络安全投入主要有哪些方面，包括：

• 网络安全基础设施投入：包括防火墙、入侵检测系统、数据备份和恢复系统等硬件设备的购置和维护费用。
• 网络安全软件投入：包括杀毒软件、漏洞扫描工具、安全审计软件等软件的购买和更新费用。
• 网络安全服务投入：包括外包安全审计、安全咨询、安全培训等专业服务费用。
• 网络安全人力投入：包括安全团队的薪酬、培训和招聘费用。
• 应急响应与恢复预算：为应对安全事件，设立的应急处理和业务恢复所需的预算。

其次，在申请网络安全预算时还需要仔细考虑以下几个因素：

• 企业的网络安全风险评估：企业首先需要评估自身面临的网络安全风险，包括内部和外部的威胁来源，以及可能造成的损失。对于风险较高的领域，企业应该加大投入以保障网络安全。
• 企业的业务需求和发展战略：企业应根据自身的业务发展规模、业务涉及的敏感数据、业务对网络安全的依赖程度等因素，合理分配网络安全预算。
• 行业标准和法规要求：企业需参考行业标准和法规要求，确保网络安全预算满足监管部门的要求，降低法律风险。
• 成本效益分析：企业应对网络安全投入的成本与预期收益进行分析，选择性价比高的解决方案。
• 同行业竞争对比：参考同行业、同规模企业的网络安全投入，以确保自身在竞争中不处于劣势地位。

此外，为了更好地让高层相信安全预算的必要性，安全负责人还应建立一套网络安全预算监控机制，定期检查预算执行情况，评估网络安全投入的有效性。监控与调整主要包括以下几个方面：

• 预算执行情况的监控：定期检查网络安全预算的执行情况，确保资金按照预定目标进行投入。
• 安全状况的评估：定期评估企业的网络安全状况，了解安全投入是否达到预期效果。
• 预算调整：根据监控结果，及时调整网络安全预算，将有限资源投入到最需要的领域。
• 经验总结与持续改进：通过对网络安全预算执行情况的总结，提炼经验教训，持续改进预算制定和执行。

分享几个申请网络安全预算的方法

举起安全监管的大棒

网络安全预算和合规息息相关，近年来全球网络安全法规持续完善，极大地推动了企业安全建设与预算增加。以我国为例，从2019年12月1日等保2.0正式实施，到2020年1月1日《中华人民共和国密码法》正式实施。再到2021年，《数据安全法》、《个人信息保护法》、《关键信息基础设施保护条例》、《网络产品安全漏洞管理规定》等法律法规纷纷出台，网络空间法制化建设已经日趋完善。

从无法可依到有法可依，从合规性驱动到合规性和强制性驱动并重，合规依旧是增加网络安全预算的第一推手。

根据工信部发布的《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》提出，到2023年，网络安全产业规模超过2500亿元，年复合增长率超过15%。专家认为，随着网络空间法制体系建设的完善，网络安全的合规需求将持续井喷，成为支撑产业高速发展的核心引擎之一。

随着监管要求持续严苛，尤其是在数据安全和隐私保护领域。安全专家Patel说：遵守各种隐私法规和合同中的安全义务是必要的，但这同时也带来相应的成本，而且就趋势来看，这成本还在不断上升。

据媒体报道，此前推特(Twitter)将支付1.5亿美元隐私罚金，以和解一桩联邦隐私诉讼。以个人信息安全为代表的数据安全问题再次成为大众关注热点。

近年来，我国越来越重视数据安全的重要性，密集出台了《数据安全法》、《个人信息保护法》、《App违法违规收集使用个人信息行为认定方法》、等与个人隐私信息相关的法律法规及标准要求。可以说，隐私合规已经成为企业经营的必选项。

展示网络安全为企业节省的费用

尽管安全性当然是大多数组织关注的问题，但负责组织财务的人通常希望看到某种投资回报。对于高层来说，复杂、专业化的网安词汇晦涩难懂，但一个可靠有效的网络安全投入的成本收益分析往往可以打动他们，其中包括：

• 风险收益分析：评估网络安全投入对降低安全风险的贡献，以及相应风险下降所带来的收益。
• 投资回报分析：分析网络安全投入对企业业务运营、品牌形象等方面的积极影响，以及相应的经济收益。
• 性价比分析：在满足安全需求的前提下，选择性价比高的解决方案，实现投入产出最大化。

值得一提的是，在进行成本收益分析时，CSO们可以展示部分实际案例，佐证其分析方法的正确性，例如：

• 可以节省 IT 部门的时间，从而减少加班时间，
• 可以避免可能会花费组织大量资金的监管处罚，
• 通过更好的保护数据保护降低保险费用等。

当然，上述例子只是很粗略的想法，每个企业的实际情况不同，CSO们需要考虑组织的安全项目如何在自己的独特情况下产生投资回报。为清楚起见，包含节省成本的元素很重要，比如我们可以引用所在行业的数据泄露的平均成本。

再比如凸显网络安全部门已经经过严格的比价操作，为企业定制了最具性价比的方案。这里可以体现的数据有：

• 实施每个潜在解决方案的总成本（这可能包括许可、人工、支持和硬件成本），
• 为什么IT部门要提出一个特定的解决方案，
• 准备好解释使用最便宜的供应商可能会放弃什么，
• 每个供应商相对于其他供应商提供什么等。

不要单打独斗

安全不是一个部门的事情，因此在要预算时尽量不要单打独斗，而是要拉上队友们一起，以此证明申请安全预算的必要性。

举个例子，可以和审计人员进行充分沟通，清楚他们的审计要求非常重要，同时安全人员可以借沟通机会向审计人员灌输相应的网络安全理念。John作为一家公司的CISO，他每周都会与其企业的审计人员举行会议，会议内容往往会同时包括合规性和安全性。在公司进行ISO 27001信息安全管理更新时，审计团队能够清楚地阐明他们需要安全团队提供什么，而CISO在收集了审计人员所要求的信息后可以及时作出正确的回应。这样审计部门/安全部门和公司都会更加轻松，这其实也是公司高层和董事会乐于看到的情况，彼此还可能留下些许香火情。

当然，向审计人员灌输网络安全基础知识存在一定的难度，特别是那些来自大型咨询公司的审计师，他们只是背了公司发给他们的清单或者规章制度，要求他们在审计得提出相关的问题，但完全不了解安全和风险背景。在这些事例中，他的客户只通过他们的“规章制度”在审核，但从根本上没有安全性。

比如，曾经有个审计员询问过公司是否拥有防火墙，IT 经理回答是，然后审计员就过了，而事实是，企业虽然有防火墙，但它仍在包装中且尚未安装。“这审计人员其实一点都不懂，防火墙根本没做任何事，它甚至都未被安装。因此，审计人员需要进行正确的审核，他们需要了解安全的背景、技术的背景，包括该学会如何提出问题。”

在国内，安全审计员的角色似乎还并未普及，但与此相仿的有我们的监管人员，因此同样可以对标。安全从业人员在为企业管理风险时，一样可以和相关的监管人员多沟通，一方面是为了更好的满足合规要求，另一方面也可以交流相关的行业经验，因为二者所处的角度不同，所以必然会有对信息安全相辅相成的交集存在。

全靠同行衬托

没有绝对的网络安全，换句话说，网络安全无论投入多少人力/物力都无法做完。那怎么评价网络安全建设阶段性成果？一个很好的衡量指标是和同行进行对比。对于董事会和公司高层来说，网络安全术语无法理解，但是你要说和同行业同体量的竞对相比，网络安全体系强在哪里，那他们就很好理解了。

因此，网络安全做的好不好，全靠同行来衬托。而当你发现自己比同行做的不好时，正是一个绝佳的申请网络安全预算的理由，同行不能输！！！

原文始发于微信公众号（FreeBuf）：怎么有效申请网络安全预算？