了解IT软硬件设施的成本与维护，还只是信息安全官工作的入门，最重要的是，他们要应该明确给自身的信息资源与数据进行“明码标价”。

|为什么要给数据进行定价？

Gartner研究信息经济的分析师Doug Laney：“如果一个企业觉得其办公室的硬件设施比其信息资产更有重要、更有价值的话，这是一件令人感到沮丧的事。”

企业IT部门不能仅仅被当做运维硬件设施的劳工，它更像一位管家，存储、管理数据，并提供安全保护，而安全通常不会免费得来，当企业进行安全投入时，数据定价能让IT预算安排得当：哪些数据值得保护，哪些数据重点保护。

|给数据定价需要注意哪些？

数据的直接价值

最直观的数据买卖，比如消费数据、账号信息、健康报告、网络行为等，这些是本就待价而沽。而更多的企业，其具备价值的数据相对抽象，包括专利、版权和公司品牌等。它们都给企业直接带来利益。

无法预估的数据变化

数据价值处在不断变化之中。当企业拥有的核心竞争数据被窃取、被超越，就会立刻降低或摧毁原版数据的价值；而对原始数据进行分析和利用，从中洞悉市场趋势，发挥它的价值和作用又将给数据带来更高的附加价值。

泄露后的成本损失

大量惨痛案例告诉我们，泄露事件不光带来数据的丢失或贬值，还有解决这个事件所需的成本：技术修复、客户通知、媒体通稿、罚款或处罚……以及事件后带来的竞争力丢失或市场份额减少。

利用未知的灾难进行数据衡量定价，是最困难，也最重要的一环，也给信息安全官业务能力带来最大的考验,但是如果能成功做到，你将成为一个真正的策略者。