三个皮匠微信公众号每天给您带来最全最新各类数据研究报告

如今，数字化与物理技术的连接更加紧密。如何理解并识别网络风险的发生对金融机构至关重要。与此同时，网络安全团队必须不断努力履行其义务及监督职责，同时满足客户对隐私和创新业务解决方案不断提高的期望。

在过去的两年中，德勤与FS-ISAC进行合作，通过对FS-ISAC各成员单位就如何应对网络安全挑战进行调研，旨在评估各家网络安全预算和整体网络风险管理是否达到了良好状态。

在2018年的抽样调研中，我们了解了受访企业的CISO如何履行其职能和职责，进而对整个行业的网络安全战略、架构以及预算优先级提出了初步的见解。

今年，除了根据行业、公司规模和网络风险管理成熟度来确定整个行业的预算支出模式外，我们还识别出那些已经达到NIST所定义的最高成熟度水平公司的几个核心特征 。

NIST网络安全成熟度框架3中所定义的“自适应级” 的公司具备以下特征:

• 确保企业包括董事会及高级管理层的参与;

• 提升网络安全在企业内的重要程度。网络安全可以在信息技术（IT）部门外获得更高级别的关注和更强的影响力;

• 对网络安全的投入与公司业务战略保持紧密的协同一致。

了解企业对网络风险资源的投入是我们希望调研的重要信息之一。基于调研回复统计，企业将IT预算的6%到14%用于网络安全，平均用于网络安全费用为IT总预算的10%；相比企业总收入，这一数字约为0.2%到0.9%，平均约为0.3%；对网络安全员工支出而言，受访者为每位全职或同等员工支付1,300至3,000美元，平均约2,300美元。

不同规模的企业在网络安全领域的支出差异明显。显而易见的是，规模较小的企业需要加快脚步，才能赶上规模较大企业对网络安全的投入。接受调查的小型企业在网络方面的支出占其收入的比例(0.2%)，几乎仅为中型企业(0.5%)或大型企业(0.4%)的一半。 

尽管小型企业对网络安全全职雇员的平均工资支出2,100美元与中型企业相当，但远低于大型企业的2,700美元。这可能是因为大型企业组织架构较复杂，大型企业通常需要提供更多的产品和服务，并需要同时考虑多个业务部门和交付渠道。

接受调查的小型企业在IT预算中用于网络安全的比例(12%)高于大、中型企业(9%)。这或许表明小型企业意识到它们需要在网络安全方面加大投入力度，以满足网络安全监管要求和运营需求。

进一步对企业投入数据进行深入分析，我们发现大型企业将其约五分之一的网络安全开支用于身份和访问管理 – 这几乎是中小型企业的两倍；而中小型企业往往倾向在终端和网络安全上增加支出。（关注公众号“三个皮匠”，获取最新行业报告资讯）