|
3. 计算机安全应该是有成本效益的
应该以货币和非货币的形式对安全的成本和效益进行仔细地研究以确保控制的费用不会超出预期的效益。安全应该是适当的并与相关计算机系统的价值和地位以及潜在损害程度、可能性和范围相称。依据特定系统的不同,安全的需求是多种多样的。
通常,安全是精明的商业措施。通过对安全方法的投资,机构可以减少与计算机安全相关的损失的频率和程度。例如,机构通过评估发现由于计算机系统遭到欺诈而导致每年有很严重的财产损失。安全方法如改进访问控制系统可能会大量减少这种损失。
此外,良好的安全项目可以阻止黑客并减少感染病毒的几率。消减这些威胁可以减少不良的公众影响、鼓舞士气和提高生产率。
获得安全效益既需要直接费用也需要间接费用。直接费用包括购买、安装和管理安全方法,如访问控制软件或消防系统。另外,安全方法有时会影响系统的性能、员工的士气或需要进行培训。所有这些被认为是附加在控制初始费用(通常被视为诸如管理访问控制软件包的费用)之外的费用。如果安全问题方案的直接或间接成本高于容忍问题造成的损失,则不会采用该方案。
|
