企业每年应该在安全人员身上花多少钱？

根据安全分析公司IANS和猎头公司Artico发布的一项调查，安全人员的薪酬水准并不低于任何IT从业人员。安全各专业中，包括SecOps和治理、风险和合规（GRC），在高收入的25%人群中，平均年薪为52.3万美元，加上股权薪酬就有64万美元的总额。相关研究人员指出，这些排名前25%的员工，他们的“底薪”大多因专业而异，比如身份和访问管理主管的平均年薪为36万美元，副CISO的平均年薪为46.5万美元，产品安全部门主管的平均年薪为44.7万美元。

同时，关于此报告的观点，国内安全专家刘志诚和何艺也曾对这个报告表达过观点。刘志诚认为，从行业角度来看，44万年薪（人民币）对传统行业里的中高层工程师来说算是比较高的，但是在互联网行业，尤其是大厂里则算入门级的水平，超百万的不在少数。而安全因岗位及工作能力的差异，还有在综合能力是否具有跨界和创新素质等，都会影响薪资水准，100万到300万年薪都有可能。

其次，何艺表示，安全行业作为相对稀缺的工种，薪资自然要比相同水平的研发、运维高一些。年薪44万在行业里算是比较低的薪资水平，在何艺的圈子里，年薪数百万甚至千万的都有，如果再加上股票期权，薪酬还会更高。

显然，薪酬高低并不是最主要的原因。国外安全专家表示，由于安全产业常以监管合规为主，因此安全常常会被定义为成本中心。因为其无法为企业带来看得见的收入和价值，就只是为了满足政策或抵御“可能出现”的威胁和风险。这也就导致了大部分企业对于安全的需求不会很高，像那种“一个人的安全部门”在企业里比比皆是，所以岗位的稀少也让很多渴望就职安全的从业者不得不选择其他的IT岗位。

其次，即便企业顺利招聘到安全从业者，也很难吸引和留住他们。事实表明，安全从业人员往往背负着极重的任务和职责，他们会面临倦怠。国外安全专家表示，超过65% 的安全从业人员曾考虑过辞职。因此，在供需侧的双方，无论是企业还是从业者，对人才稀缺这件事似乎都没有啥有效的解决办法，更不要说一名需经过各种磨砺和提升的CISO了，其对企业而言实在难得。

对此，国外安全专家指出，随着互联网环境日益混乱，越来越多的网络犯罪分子无底线肆虐，CISO被猎头公司物色到的概率要比其他职位高出40%。这种趋势下，CISO很难拒绝，因为往往下家会给出极好的报酬。

所以，首席执行官、董事会和人力资源主管有责任记住，优秀的CISO是最受欢迎的公司角色，他们永远不缺“追求者”。因此高管必须不断评估能够采取什么举措让优秀的CISO满意，来留住这所谓的安全劳动力。

除此之外，报告还发现，企业的安全组织通常将自己分为三大结构，其主要基于公司规模。所谓的“财富公司”是年收入超过60亿美元的超大型企业，其中超过一半的公司有副CISO，四分之一的公司具备一名处理全球安全问题的“全球CISO”。

往下，“大型企业”的衡量标准，从年收入60亿美元降至4亿美元，这些公司会在其CISO岗位之下设置两到三层支持人员，并倾向于在特定领域设置专门的负责人和领导。最后，“中型企业”的衡量标准，为年收入5000万至4亿美元的公司，其特点是团队规模较小，每个安全成员都有多重身份。

该报告对1195名CISO和网络安全工作人员进行了调查，调查显示，各种专业人员的存在往往与公司规模成正比。比如企业年收入在10亿美元时，SecOps主管的角色就会变少，而随着企业的年收入不断增加，安全团队的各种员工数量也会增加，像GRC、架构和工程以及身份和访问管理等岗位也会变得更加普遍。

报告称，员工总数与企业年收入也成正比。在企业年收入达到1亿美元时，大多数公司会拥有1到9名安全从业人员，而那些所谓的“财富公司”往往拥有至少20名的安全人员，最大的公司甚至有50人或100人的安全团队。

报告提出，网络安全团队与公司需求协调是CISO的重要考虑因素。数据显示，在各个行业，大约15%的企业需要为其安全组织增加一名安全运营负责人，而对于这15%的需求来说，应用安全负责人可能是最好的雇佣对象，其次是IAM负责人。

从报告来看，公司规模似乎决定了安全从业者的人数，当然也可以说是市场对安全的普遍认知，影响了“企业该配备多少安全人员”的衡量标准。然而从现状来看，很难说当下的衡量标准就一定正确，毕竟在职的安全人员大多表现出疲惫、压力大等状况，这点国内外都一样。

另一方面，根据ESG和信息系统安全协会（ISSA）的研究报告，29%的受访者认为，当网络安全预算与其组织规模不相称时，企业很难留住安全劳动力。对比到国内，安在此前发布的《2023中国网络安全产品用户调查报告》中指出，2022年有超过44%的企业在年度中缩减了安全预算，2023年安全预算将进一步收紧；大型企业中，2023年安全预算持平或减少的占比为74.5%。很明显，我们正处于一个经济下行的时代。

对此，国外安全专家表示，该投入的还得投入，只要这钱花得明智，就可以帮助企业加强网络安全保护，而CISO也应该管理和最大限度地提高开支。对CISO而言，需要注意的是，安全计划长期资金不足就意味着企业内部存在沟通障碍，比如CISO无法充分解释自己需要什么或为什么需要；当然也有可能存在观念差距，比如首席执行官和董事会并不认可CISO所提出的安全目标，这是CISO在此过程中需要衡量的。

而对于经济下行的环境，国内安全专家表示，如果企业安全投入下降，就需要更加重视现有安全投入基础上的安全隐患排查和安全整改加固工作，做好安全管理与技术方面的基础工作，务必得做实做细。

建议CISO们通过加强专业学习、技能培训及行业交流，主动提升自己的专业认知和安全技能，为经济回暖后企业安全投入做好充足准备；让安全投入紧扣企业的业务发展战略，把有限的安全投入花在安全建设的正确位置，做到有的放矢，不花冤枉钱，实现安全从业的专业价值和使命。

关于安全预算的分配，国外安全专家表示，其需要考虑多个因素，包括企业面临的网络安全风险、业务需求和发展战略、行业标准和法规要求、成本效益分析以及同行业竞争对比等。

首先在制定网络安全预算时，应明确安全目标并与业务目标相一致。这将确保安全措施的有效性，并提高整体安全性。其次是要进行风险评估，比如评估组织内部和外部的风险因素，以更加准确地确定网络安全预算的需求。这将有助于提高预算的可行性和可持续性，同时确保资源的有效利用。

在预算安排时，应考虑到运营成本以及安全措施的需求。网络安全是一项全球、全企业范围的任务，预算应该包括相关硬件、软件、安全服务和培训等各个方面的支出。同时，还应考虑到整体的运营成本，确保预算的合理性和可持续性。

当然，企业更应根据自身的业务发展规模、业务涉及的敏感数据、业务对网络安全的依赖程度等因素，合理分配网络安全预算。同时可参考行业标准和法规要求，确保网络安全预算满足监管部门的要求，降低法律风险。而CISO应对网络安全投入的成本与预期收益进行分析，选择性价比高的解决方案。

而在这种种的网络安全预算中，人力投入的占比可以根据不同的企业和组织而有所不同。一般来说，规模较大的企业和组织需要投入更多的人力资源来维护网络安全，因为它们通常拥有更多的信息资产和更广泛的安全风险。

对于一些特定的行业，例如金融、医疗和政府等，对网络安全的要求更高，因此需要投入更多的资源来保证网络安全。此外，如果企业或组织面临更高的安全风险，例如处理敏感数据或遭受过网络攻击，那么它们也需要增加人力投入来应对这些风险。

在确定人力投入的占比时，企业或组织需要考虑以下因素：

1、企业或组织的规模和业务需求；

2、网络安全风险的性质和级别；

3、安全团队的结构和能力；

4、行业标准和法规的要求；

5、同行业和同规模企业的安全投入比较。

对于国内安全投入的现状，人员投入的占比，包括对安全人员薪酬和趋势的解读，国内安全专家如此建议。

知乎相关专家“杨杨”表示，当下企业在网络安全方面的投入现状存在一些问题。一方面，一些企业在网络安全方面的投入不足，导致缺乏足够的安全技术能力和资源，难以有效地保护企业的信息安全。另一方面，一些企业在网络安全方面的投入也存在过度的问题，过于追求安全技术的先进性和设备的豪华性，而忽略了实际的安全需求和成本效益。

对于网络安全人员的投入占比，不同的企业情况也有所不同。一些企业可能没有足够的安全岗位人员配备，甚至没有专职的安全岗位人员，导致安全工作的开展不够充分。而另一些企业则可能存在安全岗位人员配备过剩的问题，导致人力资源的浪费和成本的增加。根据一些研究报告的数据，一般来说，企业对于网络安全人员的投入占比在整体信息技术人员的3%-5%左右是比较合理的，但具体的比例还需根据企业的实际情况进行评估和决策。

某电商公司安全专家杨文斌表示，随着多年疫情的影响，公司整体业务影响较大，需要在多方面实施降本增效策略，安全预算作为成本中占比较大的一部分，也相应做出调整，对一些非必需或者冒进的安全投入进行了战略缩减。因公司管理层在网络安全方面的重视程度一直较高，网络安全团队人员整体处于合理配置区间，未出现人员缩减的现象，当然也未因阶段性的工作量负荷进行人员增补。

杨文斌指出，国家网络安全政策和行业安全特性引发安全人才需求爆炸式增长，安全人员的薪酬也呈现上涨趋势。此时企业更应该建立适合自身的薪酬体系，结合市场安全人才价位和企业现状合理统筹，在安全人才和支付薪酬之间寻求最佳平衡点，以恰当的薪资引进适用的安全人才。企业在安全团队或组织架构建设时，应充分了解企业的业务安全痛点，构建具有适应性的高效安全团队，避免药不对症的资源浪费。

某金融集团安全专家Kyle表示，其所在公司投入力度较之前相比有所降低，也变得更加谨慎，具体体现在平台建设和人员能力提升方面，人员数量略有下降，在降本增效的主基调下，非必要不投入。

而某金融科技公司安全专家蔚晨则指出，根据不同行业对于科技投入以及信息安全投入要求的不同，金融行业对于安全投入是有最低门槛的，例如证券业。“所以，建议有条件的企业，2023-2025 三个年度信息科技平均投入金额，不少于上述三个年度平均净利润的8%或平均营业收入的6%；其中网络和信息安全投入不低于信息科技投入总额的7%；信息科技专业人员不低于公司员工总数的6%，网络和信息安全专业人员不低于信息科技专业人员的3%，且不应少于4 人。”

蔚晨表示，在这里的安全投入和安全人员投入有一个隐形的含义：企业通常会把与安全相关的泛安全领域均纳入安全投入的范畴，例如网络设备、部分存储设备、移动设备、相关人员的薪酬等，因此也会把相关设备的管理人员也纳入安全人员的定义。所以通常意义下，企业内部的安全投入和安全人员投入都是不足的。

此外，蔚晨指出，相对于开发人员和运维人员，安全人员定义是一个很广泛的定义。很多企业会把科技的法律合规、科技审计、IT风险人员也纳入安全人员的定义中，所以安全人员的薪酬在不同岗位角色下，差距也是很大的，所以很难用一个简单的方式评估一名安全人员的薪资是否合理。比如工作三年的初级安全攻防人员，他们与同等工作年限的IT风险管理人员的薪资就很难进行类比。因此在不同企业中单独评价安全人员的薪酬，可能差距会很大，要细分出具体工作岗位进行类比才更合理。

蔚晨说：“当下的企业根据行业的差别，对于信息安全风险的敏感度差距也很大，因此安全投入的合理性需要放置在一定的行业背景、企业规模，以及业务特性下评价才会相对公正。例如当前情况下，数据出境的问题是很敏感的，那这个企业是否涉及海外业务，就对于他们在数据安全方面的资金投入和人员投入有着根本的区别。”

而随着国家法律法规、行业要求的不断细化，蔚晨表示，企业对于安全合规的投入以及重要性已经逐步显现，但是企业高层对于安全的定义、职责、人员要求和企业愿景还是一个比较模糊的地带。实际操作层面的安全人员如果达不到企业发展与业务规划的高度，这就会造成“一旦出现安全事件，企业对安全组织和安全人员的不信任”。