当前，随着信息安全形势的愈演愈烈，业界对于信息安全的关注度也日渐升温，与此同时，在信息安全保障过程中，绕不开投资回报率(ROI)这个问题。

投资回报率(ROI)属于财务分析的概念范畴，ROI是指通过投资而应返回的价值。企业常常通过ROI分析来帮助进行决策。如今许多企业的IT部门也在使用ROl，很多IT方案在实施之前都进行了ROI分析。而和IT部门密切相关的信息安全部门也开始做类似的工作，但是信息安全部门在考虑ROI时存在很多困难，比如：难以找到适用于企业信息安全环境的ROI评估模型和方法来、甚至是企业中一些人对信息安全ROI的决策参考价值不认可。

但我们谈信息安全的ROI，就是为了方便解决企业在信息安全建设中的一些决策问题，特别是让决策者能明明白白地知道哪些安全投入能给企业带来最高的投资回报，即使决策者并不具备信息安全专业知识背景。巿面上流行的安全方案有很多并且不是能适应于所有企业。你得有寻找一些有效的方法来帮助你做出有效地判断和正确的决策。而信息安全ROI正是企业进行信息安全决策的重要工具之一。

几种对ROI的看法

但是由于企业的安全环境和需求差异较大，人们对安全的ROI很难形成统一的看法。比如：有些人认为信息安全是个只懂得花钱不懂赚钱的主。在安全上的投入好象没有看到有什么实际的投资回报。或者他们认为信息安全的ROI太低，所以不情愿为安全进行过多的投入。

有些人认为信息安全很重要，又或者是因为有上级或监管部门有强制性要求，所以他们不管有没有回报都得会去投入。既然是必须做的，也不用费心去考虑什么ROI的问题。他们本身并不关注ROI的大小，那怕ROI是零他们也得去做。

还有些人觉得ROI的想法很好，但是无法落地。有人甚至认为评估信息安全的ROI是在浪费时间，因为根本找不到有效的ROI分析方法。虽然也许他们也确实感觉到某些安全投入帮助企业防御了某某威胁、降低某些风险。但是他们无法说出一个具体的数值，换句话说，他们认可信息安全的ROI，但却无法量化它。

信息安全工作需要做ROI分析

我们知道有不少企业是因为恐惧而进行安全投入的，因为害怕感染病毒而购买防病毒产品，因为害怕外部网络攻击而部署防火墙和IDS。投资者都知道，因为恐惧或贪婪而投资，都是不理性的投资行为。也许会一时成功，但没人能保证这种投资理念能一直成功。而通过分析比较ROI来辅助进行投资，则被公认为一种理性的投资方式。因此笔者认为，企业在开展信息安全工作时是需要评估ROI的。

回顾几年前以前企业的信息安全建设思路，你会发现很多企业采取的是一种“堡垒”式的建设思路，这种思路比较简单，就是把需要保护的信息用高高的围墙保护起来。这时，我们可以通过简单地比较“围墙”的建造维护成本、被保护资产的价值来进行安全投资决策。但随着这几年信息技术的发展，企业的业务情况和安全形势变得非常多样化和更加复杂。比如：很多企业都开始使用移动办公了，为了在不影响移动办公的同时又要保障信息安全，企业只好不断地针对某个问题进行投入，安全的预算也不断增加。但企业不可能无上限的增加安全的预算。在有限的安全的预算下，这时就更需要评估安全投资的ROI，去评估哪些方案具有最高的ROI。可见，在如今威胁不断增加而安全预算有限的背景下，现代企业较从前更需要进行ROI分析了。

评估信息安全ROI的思路

虽然ROI的概念很好理解，但如何评估信息安全的ROI呢?很多企业都会认同这种看法：“分析信息安全的ROI是一项棘手的工作”。当我们动手评估一个信息安全方案的ROI时，很难找到一个适用的ROI估模型和方法。在网上可以找一些信息安全ROI分析的理论和案例，虽然可供企业参考借鉴。但最终还是需要企业根据自身实际情况来建设一套适合自己的ROI分析模型和方法。

D1Net评论：

信息安全保障工作，需要遵循正确的方法，在做出相关投资决策过程中，要基于成本、收益、风险权衡、性能、时间进展等诸多因素。在如今威胁不断增加而安全预算有限的背景下，现代企业在进行信息安全决策之前，企业的高层很需要知道一些关键ROI指标，企业应该积极建立适合自身的信息安全ROI评估模型和方法，以便决策者能更好地在最优的安全与最优的ROI之间权衡，最终做出最佳的安全决策，切不可盲目。