部分拒绝将 评估经济效率的方法作为证明信息安全成本合理性的唯一工具,而转向不仅考虑问题的货币方面的更高层次的分析。采用这种方式,就不需要为中小型项目的成本经济性进行论证了(保卫每一分钱)。支持这种灵活方法的一个重要因素是,信息安全行业的特殊性在于新的威胁不断涌现。因此,今天实施某项特定的保护措施可能在经济上不合理,但明天的情况可能会发生变化。鉴于成本论证和预算通常每年进行一次,因此组织可能会面临一年内没有必要的保护措施的风险。
我们提出的方法的本质是分别
证明实施每项具体保护措施 伊朗电报数据 的成本(OPEX 和 CAPEX),并考虑其具体情况。例如,那些显然旨在默认执行监管要求的措施需要采用不太正式的方式来证明其合理性。
一般来说,它可能看起来像这样:
- 实施所有必要的监 部分拒绝将 管要求,作为组织信息安全的无条件基础。
- 根据 CISO 的 部分拒绝将 专家意见确定可在财务门槛以下花费资源(如果高级管理层不允许设置这样的门槛,并要求对每一分钱进行严格的正式解释,那么就会出现一个合乎逻辑的问题:为什么他们会雇佣一个他们不信任其专家意见的 CISO)。
-
建立一套程序来协调超出既定
- 财务门槛 欧盟电话号码 的信息安全成本。对于全球性且昂贵的工作,该程序很可能按照上面描述的ROI方案进行。
- 形成计划的信息安全活动路线图。该路线图的基础可以是风险分析(包括定性分析),也可以是信息安全和 IT 服务的专家 约翰尼·李 意见。
- 按照既定程序对路线图中的各个项目进行答辩。在每种具体情况下,CISO 可以使用各种论据来证明项目的必要性:在可能的情况下,进行经济计算;在其他情况下,参考监管要求、过去的事件或信息安全方面的最佳实践。不存在单一的秘诀。
实施这种方法最重 部分拒绝将 要的是 CISO 能够向高级管理层清楚地传达信息安全的资金需求。