本文从“安全花多少钱才够”这个问题出发，提出科学地做安全预算的前提、原则，指出并不存在所谓的“预算基准”。文中还给出一种预算工程化的方法，帮助安全团队持续评估预算投入的成效，持续改进安全工作，提升安全能力成熟度。

安全花多少钱才够？这个问题很难。但是，身为CSO，必须回答。要回答这个问题，可以先问自己三个问题：

1.公司有什么样的风险偏好？

2.在哪方面的投入最有效？

3.如何让投入真正有成效？

你可能看出来了，这些问题还需要追问，深入细节找出答案。

预算投入的方向和目标是否正确，与公司的风险偏好、理想的安全能力成熟度是否一致?

■ 我们保护的每项资产（数据、系统或流程）的价值是否足以说明投资合理，或者，应该优先考虑其他资产？

■ 理想的安全能力成熟度和业务战略是否相称？

想要回答好这些问题，需要做好以下的准备工作：

▶ 建立资产库。早期不够成熟时，采取务实的方法，集中精力盘点和保护最关键的那些资产。

▶ 必须请董事会设定公司能容忍的风险上限和理想的风险水平，据此决定优先考虑哪些资产和威胁，申请多少预算。

对风险和安全能力的了解程度是否足以评估在哪些方面的支出最有效?

■ 主要目标是满足监管合规，还是降低风险并促进业务发展?

■ 掌握的情况是否足够细致、及时和准确，是否足以确定安全预算投入的优先级？

首先，将安全规划与相关的成熟度框架对应起来，然后，实事求是地说明目前的状况。董事会设定了风险容忍上限和理想的风险水平，根据后者确定了目标成熟度，然后，按每项投入对实现目标的贡献度排序并放进路线图。

对打算购买的安全产品或者服务了解多少？如何确保最初的计划成功？

■ 现有的工具和解决方案有这些能力吗？

■ 现有人员是否能有效地部署和管理具备这些能力的产品和服务？

盘点现有安全工具中没有用到的功能特性。如果一个新的工具有更好的同样功能，可能要考虑替换旧工具。始终计划好管理新购的安全产品或者服务并整合进现有流程，如果因此需要招聘新岗位，也要定个计划。确保安全建设的冗余是有意为之，而不是碰巧出现。

从2019年起，我一直在倡导一种做法：量出为入。

持家理财，公司经营的基本准则是量入为出，但在做安全预算时，我建议量出为入。

假如我身处一家员工人数接近5万的金融企业，老板今年批给我一个亿做安全，但我负责的安全团队只有10个人，那我会很惶恐。因为“在一定范围内，钱越多越好”，但这种情况下，一个亿就超过了“一定范围”。整个团队10个人，人均一千万，“花对地方”的比例不会高。其他的钱很可能会打水漂。

赚一个亿固然很难，但花好一个亿也许更难。如果我是做业务的，老板给我投一个亿，最起码希望拿回来两个亿，每年能赚个两千万。但我是做安全的，老板拨给我一个亿的预算，希望我做到什么效果呢？

■ 我能帮老板赚钱吗？

■ 我能帮老板省钱吗？

■ 我能帮老板升职吗？

■ 我能帮老板什么？

▶ 帮助企业提升抗风险能力，避免/减少潜在损失；

▶ 帮助企业完善能力拼图，提升治理水平；

▶ 帮助企业建立/强化壁垒，保持核心竞争力；

▶ 帮助企业顺应国家政策导向，履行企业社会责任。

万一真的给了一个亿，往哪里投？这其实是个伪命题。作为CSO，预算是我报的，老板才不会无缘无故给我一个亿。我报预算，要有高、中、低三档方案，预期成效也是三档。

■ 最高一档是理想方案，效果满分，预算高，大概率被否；

■ 中间一档是我最期望的；

■ 最低一档是我能接受的底线，突破底线可能会出大事。

因此，在制订预算方案时，需要考虑如下三方面的约束，谨慎申请：

以SOC为例，如果我打算2024年建SOC，我就需要考虑：

▶ 企业的整体组织架构对SOC的作用是推动还是阻碍？

▶ 安全团队内部的组织架构需要怎样调整才能容纳SOC？

▶ 安全团队现有的人员能力和水平能够把SOC的作用发挥到业界领先水平的多少比例？要达到业界中等偏上的水平，需要安全团队如何提升能力和水平？到SOC建成时能够提升到什么程度？

▶ 企业现有的制度流程中，推动因素和阻碍因素分别有哪些？结合这些因素怎样制订扬长避短趋利避害的方案？

▶ 有SOC之后，安全职能对其他部门提供服务的内容和流程会有哪些变化？如何帮助其他部门尽快适应这些变化？

▶ 企业已经采用的技术和工具中有多少能帮助SOC发挥作用？在SOC建设的过程中需要补充哪些技术和工具，这些技术和工具在市场上处于什么状态？

除了上面这些问题，建设SOC还需要一个前提：SOC是当前各种可选的安全

投入中杠杆效应最大的项目。换句话说，最好是“万事俱备，只欠SOC”。

最常听到客户问：做这个项目，同行花了多少钱？还有一个问题也常见：同行做了吗？效果怎么样？

同行做项目的效果，同行投入的预算，对企业有参考价值。但也就是能做个参考。实际的情况是：如果同行投入偏高，老板会告诉我，咱们企业情况特殊；如果同行投入偏低，老板会说，他们比我们收入高都只投这些钱，咱们想办法再省省。

不同行业之间的差异，让很多企业基本不考虑不同行业的安全案例。这点其实很费解，要知道大规模邮件钓鱼、自动传播的勒索软件、病毒、自动化扫描、爬虫这些威胁不挑行业（现在甚至有渗透测试机器人）。当然，不同行业，甚至同一行业不同的企业，确实有自己的特殊情况需要认真对待。

电信运营商、银行、保险、证券、基金等处于严格监管下的行业，不同企业之间的相同点较多而差异较少。零售、电商、快递、物流、IT企业可能就差异大而相似少。安全的本质相同，但安全的定位和价值不同。具体到一家企业，可以考虑“风险定价”。

银行和保险主要做“风险的生意”。银行的每一笔贷款都有风险，银行贷款业务的主要利润也来自风险的理论值和实际发生值之差。保险公司的每一张保单都有风险，保单的主要利润也来自风险的理论值和实际发生值之差。

近年来，网络安全保险业务就可以看作一种用经济价值量化网络安全风险的方式。例如：假设保险公司一直愿意为企业承保网络安全。在T0时间点收取一年保费5000万，在一年后（T1时间点）收取下一年保费3500万。那么，在T0这个时间点可以申请的最大预算就是1500百万。

这种方法可以适用一家具体的企业，也可以适用不同行业的任何一家企业。前提就是保险公司愿意承保。

什么情况下保险公司愿意承保呢？首先还是有钱赚。什么情况下保险公司有钱赚呢？一是基数够大，适用统计规律/结论；二是因为网络安全事件而导致实际经济损失的概率理论值高于实际发生率。在一和二的基础上，实收保费>实际赔付金额+运营成本。

也就是说，安全工作的实际意义在于降低网络安全事件导致实际经济损失的额度和概率。所以，在提预算方案前可以问自己这个问题：每投入一百万，能降低“网络安全事件导致经济损失”的多少金额和多大概率。

做安全预算可以参考业务预算的方法。

企业的业务可以粗略地划分为两个阶段：成熟期，培育期。成熟期的业务对投入产出比有稳定的期望，量入为出即可。培育期的业务首年投入有可能看不到产出，这种情况下需要拉长到三年甚至五年来看。

例如：保险公司从批准开业到实现盈利需要约10年时间。本质上，保险公司的股东之所以愿意接受长达10年的回报周期，很大程度上因为保险是一种成熟业务，只要接下来的10年内经济发展速度稳定，政策环境没有颠覆性的变化，可以说是“稳赚”。

对应到安全，除了成熟期和培育期，还可以增加一个“试错期”。在尽力评估风险并且确定风险应对策略后，业务可以试错，安全也可以试错。例如：绝大多数态势感知（或者SOC）项目都是从试错开始的。因为试错比避免风险的方案成本更低（如：先咨询后建设运营）。

身为CSO/CIO，组织团队做三年的预算，把预算按安全项目所处的阶段（培育期、成熟期、试错期）分为三类，分别阐述投入回报，对高管层而言更容易理解，同意或者否决都更有依据（更科学）。采用每个季度做接下来三年预算的方法（简称“滚动预算法”）还可以让安全更有弹性。

安全常常需要即时响应环境变化。包括但不限于：

每个季度更新预算，单独向高管层汇报预算变更背后的环境变化，提前让高管层对后续变更（通常是上调）年度预算有预期，在报批预算时更容易通过（可以借助于“信息科技管理委员会”“风险管理委员会”等虚拟组织的工作会议等汇报途径，加大安全在高管层的曝光频次）。

每季度更新预算还促使安全团队更有效地评估安全项目成效，从而更客观、更准确地认识到安全工作存在的不足、面临的挑战等，避免提出“不科学”或者有违企业整体认知的预算（如：安全预算的增幅显著高于IT预算增幅）。

CSO/CIO应简明扼要地向高管层汇报与企业安全预算紧密相关的三个关键因素：人员、技术和流程。

■ 人员

很多企业比较能接受花钱买设备或者软件，因为花掉的这些钱在财务记账时进入“资本/资产”科目。相比之下，企业不愿意在安全团队人员方面花“太多钱”。这里面既有出于企业整体薪酬体系的考虑，也有出于财务报表好看的考虑。企业员工的工资、社保等记入“费用”科目。出于几乎同样的理由，企业也不愿意花“太多钱”采购服务。不管是“咨询”“实施”“运营”还是其他。

但是，人员因素是安全最关键的要素。企业安全固然需要合适的技术与工具来支撑，但最终运用这些技术和工具来贯彻执行制度和流程的是人。安全团队人员胜任专业安全工作非常关键，非安全专业人员符合日常工作的安全要求也非常必要。咨询服务帮助企业优化安全管理体系，帮助安全团队提升专业技能，培训服务帮助全员提升安全意识和日常安全技能。

■ 技术

国内安全市场非常碎片化。这体现在两方面：头部安全企业的产品线多达上百种；年销售额在一千万元以上，一亿元以下的安全企业超过一千家。

基于这样的市场现状，企业应放弃并不存在的最优解——“不漏不重”地应对安全风险，追求最高费效比。实际情况就是：企业在安全保护和监控方面有丰富的选择，而产品之间也经常存在不必要的重叠，企业要做到完整，则不可避免地造成肉眼可见的浪费。

因此企业应该有一套自己的解决方案，让高管层（包括CFO、CEO等）心中有数。CSO/CIO需要组织团队列出解决关键安全风险所需的工具清单并且编制配套的预算，避免被诱导型的销售行为带入歧途。

例如：SOC项目应该创建一个仪表板，将来自各种安全工具/系统的重要信息汇集起来可视化展示，保证高管层能够实时监控关键威胁和应急响应流程。

■ 流程

做安全预算时，应考虑到有效地保护系统所需的流程也需要花钱。IT团队和非IT职能的员工都需要熟知日常网络安全保障，以及发生紧急安全事件时应遵循的协作流程和SOP。安全团队和外部专家团队（如果有）需要投入大量时间来设计、编制这些流程，并且通过演练来验证流程的有效性、效率等。

例如：备份数据、保护笔记本电脑、处理口令泄露、响应处置数据泄露事件等都需要可操作、可监督的流程。

另一个关键问题：安全项目做完后如何验证安全成效？安全项目做完之后会给业务带来多大的影响（例如：终端安全工具普遍会遇到用户抵触，原因就在于在终端安装软件让用户明显感觉到电脑运行卡顿）？

下面给出两个帮助理解的公式（不能用于严谨的计算）：

▶ 安全项目的收益=安全成效-业务系统运行性能下降-用户体验受损-其它负面影响；

▶ 安全成效=风险减免+企业声誉提升+竞争壁垒增加+其他正面作用。

安全花多少钱才够？这主要取决于企业的风险偏好、业务战略、安全能力成熟度的现状与目标。

安全预算最终需要解决的问题，不是花多少钱，而是遵循系统工程方法，迭代长期规划和决策。在考虑成本效率时遵循量入为出的原则，同时根据企业风险偏好全面评估对业务的影响。

下一步拟收集各行业有代表性的案例，提炼出制订安全预算的SOP，供企业在做安全规划时参考。