谈起信息泄露防护，合作伙伴亦或客户中的不少朋友都会用买保险来打比方：“部署信息泄露防护，就好比买保险，图个安心。”，不知各位看官中会有几多同感。

这个比方粗看之下似乎很棒，然而细想，实则有诸多不妥。

信息泄露防护和购买保险从理论角度讲，都是对风险的处置，在讲这两者的不同前，不妨先说说风险处置。风险处置是指综合考虑企业所面临的风险的性质、大小以及企业风险承受能力和管理能力等因素，选择合适的风险管理策略和工具，对所面临的风险进行处理。处置方法主要有四种：接受风险、转移风险、降低风险和回避风险。

通俗一点说就是：

1、当风险较低或者处理成本对企业来说不划算时，要有意识地接受该风险，比如人吃五谷杂粮就难免遇上感冒发烧；

2、若风险难以避免或消除，可以通过购买保险、合同条款等方式将风险转移，买保险就是最常见的转移风险了；

3、应用适当的控制措施来降低风险发生的几率或者其造成的损失，比如汽车上装安全气囊、开车前系好安全带；

4、放弃某个带有高风险的行为或者计划，来避免造成损失，比如坚决不借钱给嗜赌之徒。

从上面的说明来看，信息泄露防护和买保险的区别已不言自明。保险可以转移风险，也就是当风险发生后降低其所带来的损失，而信息泄露防护则是降低风险发生的可能。因为信息泄露给企业带去的损失不仅仅是经济损失，更重要的是市场机遇、竞争力等的损害。这些损失不是通过补偿即能降低的，作为企业负责人，

他们压根不希望这样的事情发生。这也是信息泄露防护也越来越强调主动防御和预警的驱动原因。

既然信息泄露防护不是一份保险，如果非要打个比方，什么更合适呢？溢信想到的是汽车的防滑轮胎，因为它直接降低安全事故的发生几率，或许诸君心中已有更好的答案。