是投资，而非纯粹支出

信息安全曾被认为是纯粹的成本投入，但实质上，它是对业务风险的管理，这些风险日益与企业财务、声誉、客户满意度强相关。在信息安全投资方面，企业需要注意的趋势便是整合风险、影响与成本，了解数据泄露对企业造成的直接损失与数据安全给企业带来的潜在收益。

阻止已知不够，还要预防未知

信息安全具备的是一种衡量与减轻风险的业务功能，想给企业塑造出满意的安全成效，只响应当前威胁是不可行的，”哪儿痛医哪儿”的策略已经落后啦，IT技术日新月异，安全挑战也层出不穷，解决方案必须做到随着时间推移而变化，跟上技术不断更新的步伐。

 既能消减损失，也会带来收入

数据报告表明：每投入1美元，就能带来价值10美元的信息安全风险消减。太多的反面案例值得我们警醒了：媒体大肆渲染带来的声誉损失及销售额下降、知识产权资料外泄带来的竞争力下降及官司之争……

而藉由安全优势而直接获得的收益是相通的：机械制造企业US Cutte通过在其电子商务站点上展示赛门铁克认证标章使得总体销售提升了11%，而付费搜索的销售则大幅提升了52%；花旗银行曾在一次客户会议中，通过展示自身的信息安全规划及先进安全技术，直接打动客户与之合作……

最重要的，构建商业竞争力

是否能用安全与隐私方面的措施来构建企业在市场上的独特竞争力？——假如被问到这个问题，CIO们可以毫不犹豫的点头了。

已经有更多的消费者在向企业开放数据追求便利时考虑安全问题。在信息泄露越来越频繁的环境中，企业能给消费者带来一份个人数据上的“安全感”，是建立情感纽带的好方法；而客户月结单从印刷商被盗去、技术资料被合作商泄露……这些案例告诉我们——很多大型企业在确保自身资讯科技系统和客户资料的安全性时，还会确认第三方服务提供者所做的信息安全工作，这对于服务于这些企业的提供商来说，信息安全就成为市场竞争中的必需品。

有能力保护用户、合作伙伴及自身信息安全的企业，显然更值得信赖。