Gartner每年都會發(fā)布IT關鍵指標數(shù)據(jù)分析，該分析基于對全球CIO的調(diào)查數(shù)據(jù)得出，為CIO下一年的IT和安全投資規(guī)劃做參考和指導，內(nèi)容包括了關鍵成本和支持分配以及基于行業(yè)細分的指標。本報告專門對IT安全和風險管理投入進行了分析。

　　該分析主要發(fā)現(xiàn)：

　　1）2020年IT安全和風險管理投入占IT總支出的4.9％，比2018年和2019年有所下降；

　　2）2020年IT安全和風險管理投入分配為：運營基礎架構安全性占48％，漏洞管理和安全性分析占20％，應用程序安全性占14％，治理、風險和合規(guī)性管理占18％。

　　過去5年安全投入在IT總支出中的占比：在連續(xù)兩年保持5%之后，2020年下降到了4.9%。（這并不意味著企業(yè)在安全方面的開支減少，可能是安全支出的增長低于整體IT支出的增長）

　　不同行業(yè)的安全投入IT總支出占比：不同行業(yè)的安全投入占比差別很大，軟件和互聯(lián)網(wǎng)服務行業(yè)的安全投入占比明顯高出其他行業(yè)。

　　每位員工的IT安全支出：每個員工的IT安全支出是總安全投資的另一個指標。該指標取決于企業(yè)的“人員密集度”。結合使用該指標，了解每個員工相對于對等方的企業(yè)IT支出非常有用。

　　不同行業(yè)的每位員工的IT安全支出：

　　每千美元收入的IT安全支出：每千美元收入的IT安全支出，它從財務角度反映了相對于業(yè)務規(guī)模的安全性投資。

　　不同行業(yè)的每千美元收入的IT安全支出：

　　運營IT支出：按運營劃分的IT安全支出分配非常重要，因為它表明了企業(yè)正在進行的投資類型。

　　運營基礎架構安全支出的重點是保護網(wǎng)絡、主機和數(shù)據(jù)，并確保授權用戶對系統(tǒng)的安全訪問。大多數(shù)企業(yè)認識到，僅靠自動化的預防措施無法“阻止壞人”。一套成熟的信息安全措施將有效的“檢測”和“響應/緩解”工具與“預防”服務相結合，還提供了主動“預測”服務，以在潛在的網(wǎng)絡攻擊和威脅行為發(fā)生之前就將其攔截。

　　漏洞管理和安全分析的重點是更成熟和更主動的功能，以及一旦發(fā)生任何違規(guī)事件，將其影響最小化。

　　應用程序安全支出涉及應用程序的設計和開發(fā)、運營以及應用程序及其支持元素（網(wǎng)絡，操作系統(tǒng)，數(shù)據(jù)庫等）的配置和部署。它確保所有這些操作都以安全的方式完成。

　　治理、風險和合規(guī)性管理支出集中于組織如何應對其獨特的風險集合。它創(chuàng)建了支持安全服務的策略、標準和意識。它可確保公開有效地管理風險，確保合規(guī)以及將信息安全嵌入整個企業(yè)中，這可以看作是對該過程的投資。

　　按資產(chǎn)類別劃分的IT安全支出分配：IT安全支出按資產(chǎn)類別的分布提供了對如何在環(huán)境中分散投資的理解，此分布有助于概述與人員無關的成本分配。