跳转至

安全预算

总体说明

安全预算是企业安全建设的保障,是企业安全负责人必解之题。但却没有标准答案,本文是尽可能收集了,监管、安全公司、咨询公司等大佬的一些观点,供参考。

不同行业有明显差异,金融银行对外宣称10% 同一个公司不同的安全建设阶段也是不同的 目前情况是 5%~10%

工信部 网络安全产业高质量发展三年行动计划(2021-2023 年)

总体要求 > 发展目标 > 需求释放 明确"电信等重点行业网络安全投入占信息化投入比例达 10%。重点行业领域安全应用全面提速,中小企业网络安全能力明显提升,关键行业基础设施网络安全防护水平不断提高"

推动电信和互联网行业网络安全能力升级。指导电信、互联网等重点行业企业加大网络安全投入,推进网络安全与信息化同步规划、同步建设和同步使用,健全网络安全管理和技术保障体系。深入开展网络安全资产测绘、监测预警、检测评估、信息共享,健全基于网络侧的木马病毒、移动恶意程序和高级威胁行为等异常行为安全监测与处置手段。强化电信、互联网行业网络安全风险评估和应急演练,增强网络安全威胁防范、隐患处理和应急处置能力,持续提升安全防护体系成熟度水平。加强数据全生命周期安全保护,实施分类分级管理,开展数据安全风险评估,提高个人数据、重要数据安全保护水平,保障人民群众的生命财产安全和个人隐私安全。

推动关键行业基础设施强化网络安全建设。推动能源、金融、交通、水利、卫生医疗、教育等行业领域加强资产识别、设备防护、边界防护、身份认证、数据安全、应用安全等技术手段建设,提升重要系统、关键节点及数据的安全防护能力。支持建立态势感知、通报预警、应急响应、安全运营等安全机制及纵深防护体系,不断提高风险防范和应急处置能力。推进零信任、人工智能等技术应用,提升防护体系效能。

智慧城市安全。适配智慧城市政务、交通、能源、制造、教育、医疗等业务场景,构建“一脑,三云”的网络安全防御能力集群,加强异构安全能力联动水平,打造动态安全防御体系。鼓励打造智慧城市安全大脑,建设网络安全“智能云”,搭建全景安全知识库、网络安全监测分析引擎及大数据中心,以全局视角提升网络安全感知、分析、响应、决策等能力。打造网络安全“靶场云”,建设数字孪生靶场,为城市安全能力验证等提供支撑。构建网络安全“服务云”,聚集智慧城市安全规划、建设、运营等服务资源,保障城市安全有序运行

关于印发医疗卫生机构网络安全管理办法的通知 2022-08-29

第三十条 各医疗卫生机构应保障开展网络安全等级测评、风险评估、攻防演练竞赛、安全建设整改、安全保护平台建设、密码保障系统建设、运维、教育培训等经费投入。新建信息化项目的网络安全预算不低于项目总预算的 5%

齐向东:没有10%的预算占比,就没有可靠的网络安全保障

“没有10%的预算占比,就没有可靠的网络安全保障。”奇安信集团董事长齐向东在3月21日下午的公司内部年会上说,因为我国政企机构网络安全投资占信息化比例只有3%,距离工信部2021年发布的《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》中要求达到10%占比尚有3.3倍距离,再考虑数字化转型加速,网络安全产业拥有指数级增长空间。

放眼全球网络安全市场,我国网络安全投入占比不足的问题非常突出,以美国网络安全投入和中国的差距为例:从网络安全预算占IT预算比重来看,美国政府在IT上每投入10块钱,就有2块钱花在安全上。其中2021财年美国政府的网络安全预算占IT预算的比重是20.4%,国土安全部、司法部的这一比重更高,分别为35.7%和28.5%。

近年来,各行各业的数字化转型持续深入,网络攻击事件也频频发生,安全形势日益严峻,今年1月,加拿大铜山矿业公司遭到勒索攻击,矿厂被迫关停;2月,全球最大的半导体设备制造商美国应用材料公司因上游供应商遭到勒索软件攻击,预计给公司造成17亿元损失;3月,空中客车位于德国的工厂因物流服务供应商遭受网络攻击,部分业务被迫停产。

齐向东指出,网络不安全,生活不踏实。过去做网络安全,考虑的是怎么防护电脑病毒、让电脑能够正常工作。现在很多人都想象不到,正在接受手术的病人、驾驶智能汽车的司机、我们每天使用的电、水、煤气,甚至我们的国家安全,都与网络安全工作密切相关。

网络和数据安全产业是维护网络空间安全的重要基础,产业的质量和水平决定着国家网络和数据安全保障能力的高低。工业和信息化部党组成员、副部长张云明表示,与实现制造强国、网络强国、数字中国建设目标相比,与实现高质量发展要求相比,我国网络安全产业还有较大差距,数据安全产业处于蓄势起跑阶段,加快发展任重而道远。

齐向东说,网络安全表面上看是技术问题,但实际上可以用投资问题来概括。数字时代,我们的数字化系统更加复杂、面临的网络安全威胁更加严峻,网络安全已经变成基础设施,而基础设施的好坏,与投资数额直接相关。网络安全投资要占IT总投资的10%以上,和我们目前现状3%相比已经有了很大改善,但和美国的预算占比16%到35%相比,还处在初级水平。可以说,没有10%的预算占比,就没有网络安全保障。

参考文档

齐向东:没有10%的预算占比,就没有可靠的网络安全保障
网络安全产业高质量发展三年行动计划 (2021-2023年)
关于印发医疗卫生机构网络安全管理办法的通知 2022版
CSO说安全 | 董永乐:5步锁定千万安全预算
一份关乎网安人饭碗的报告:2021企业安全建设预算调研 | FreeBuf咨询

Back to top