SOC规划中,如何向管理层进行成本收益分析?

1回答

kermitkermit  项目经理 , 某知名零售企业
Jimat2010王磊磊jacy520等赞同了此回答
安全项目要进行传统的成本收益的分析都是很难的。安全要控制的是风险,风险本身就很难得去定量分析。管理层无非是想了解到有什么好处,需要花费什么。收益的话,第一需要解释清楚你的规划能做到什么。(比如,提高安全可视化,逐渐把安全和威胁从技术中带出来,能让业务方和管理层看到...显示全部

安全项目要进行传统的成本收益的分析都是很难的。安全要控制的是风险,风险本身就很难得去定量分析。管理层无非是想了解到有什么好处,需要花费什么。收益的话,第一需要解释清楚你的规划能做到什么。(比如,提高安全可视化,逐渐把安全和威胁从技术中带出来,能让业务方和管理层看到。能加强安全团队主动发现威胁并及时响应的能力。)第二需要解释为什么现在需要开始实施你的规划。可以从多个角度来说明,比如1.业务和环境的发展使得传统IT边界变得模糊,同时有更多的关键系统来支持业务,原有的安全架构和人力无法充分保障安全。2.同行已经开始实施了3.合规性。当然在说明收益的过程中,如果能总结内部现状拿出数据并参考权威机构的数据的话,那就更有说服力了。成本的话,建议采取小步快走的策略。从小到大,从有把握的到不太有把握的。通过建立起实际环境,让管理层能看到部分收益,从而逐步推进。

收起
 2017-12-28
浏览529

提问者

lxue数据库管理员, 某互联网公司

问题状态

  • 发布时间:2017-12-28
  • 关注会员:2 人
  • 问题浏览:2744
  • 最近回答:2017-12-28
  • 关于TWT  使用指南  社区专家合作  厂商入驻社区  企业招聘  投诉建议  版权与免责声明  联系我们
    © 2019  talkwithtrend — talk with trend,talk with technologist 京ICP备09031017号-30