企业实施安全风险控管机制 新增成本如何计算

若想要识别、计算与管理公司的网络与其他硬件架构的安全风险，大多数的组织与企业都有一套风险控管的办法。这些方法的步骤往往相当的直接，最后的结论不是接受现有架构的风险，就是实施一套新的安全管理机制。

自然，当最后的解决方案是要实施一套新的安全管理机制，成本就变成一项重要的主题。然而要预估每项新的安全控管机制机制，需要知道许多细节，有时当你没有会计师帮忙时，会感到十分的疑惑。

那就让我们把风险控管在这个部分的问题作一描述。我们以下便详加叙述你在考虑新的安全控管机制时需要考虑的范围，以及如何把这些范围加以整合，成为一个最后企业的股东们可以了解的成本描述。

购买成本

这部分包含了新的安全控管机制中需要布建的硬件、软件、以及需要的服务。有些控管机制可能只是把一些既有设备上的功能开启；其他可能就需要购买新的装备跟软件--或甚至与外部的厂商签约来对你的企业提供一些功能。

架设成本

这是你公司的员工的工时成本，或是聘雇一个顾问，帮你安装并设定新的安全控管机制的成本。当你估算这个部分成本的时候，不要忽略了新的控管机制的设计、测试、布署等等流程。

运作成本

这部分包含了安全控管机制在管理、监控与维护上的持续成本。如果控管机制需要员工持续监控系统的动态，你就需要额外指派人手。另外，如果可能的话，你可能还要把每年的授权费用考虑进去。

发布成本

如果布署新的控管机制会导致工作流程或实行方针的改变，你就需要计算实行这些需要耗费的人力成本。这可能需要在公司内印制一些醒目标语与传单（同时需要这些东西的设计，打印与发布的成本），也可能只需要几份没有成本的电子邮件来通知政策的改变。

训练成本

这部分的成本包含目前的员工与使用者的训练。举例来说如果你要为远端使用者布建一个VPN（虚拟私人网络）的闸道伺股器，你需要教导公司员工这个闸道服务器使用、监控与管理的方法。同时你也需要教导使用者在处于远端时，如何创建并使用连线。

生产力成本

几乎所有的安全控管机制都或多或少影响使用者或管理者的生产力。因为在进行日常工作时步骤的增加或减少，一定会影响原先工作的速度与效率，同时你在一开始也必须把新流程记成文件以供参考。

验证成本

在安装新的安全控管机制时，绝对不可以忘记这点。你必须要进行一些入侵测试，才能验证审核新的控管机制。所以为了确保控管机制的有效，也要估算每年或每季的验证活动所需的成本。

结论

在你进行风险分析的成本效益评估时，要确定你把新的安全机制控管每个层面的成本与价值都考虑进去。只要能精确的抓到控管机制的成本，你就可以给予管理阶层所需的信息，让他们可以为公司网络安全层面做出正确的财务决策。

文/Mike Mullins 在美国联邦特勤局与美国国防情报系统机构担任过助理网络管理员与网络安全管理员等职务。他目前担任Southern Theater 网络管理安全中心的维运主管。