【iThome 2024資安大調查系列2｜資安預算篇】企業IT預算的資安占比創新高，資安轉型企業加碼力道翻倍

根據iThome 2024年CIO大調查，企業資安預算在IT投資中的占比，在2023年首度超越了5%後，今年繼續增加到6.3%，連續三年呈現正成長的態勢，這也反映出，臺灣大型企業對資安投資的重視，一年比一年增加。整體產業的資安預算也持續加碼，不過，今年沒有像去年猛爆式的加碼，去年資安投資一口氣比前年增加了近兩年資安投資，到了2024年，資安投資成長力道回穩，達到4.7%，和往年平均成長率差不多，這也代表，企業資安投資開始趨於穩健發展的腳步。

今年各產業資安預算在IT預算的中的占比也各有不同，政府學校（11.8%）和一般製造業（10.7%）的比重都超過了一成，而醫療業今年的資安預算比重也以6.7%，些微高於整體平均。金融業的資安預算比重雖然最低，只有5.3%，但是金融業的IT預算向來居各產業之冠，甚至是一般製造業的十倍以上，因此，金融業的資安預算，仍舊是各產業最高者。其餘產業的資安預算占比，高科技製造業是5.1%，而服務業則是6.2%。這六大產業中，只有一般製造業今年的資安預算占比（10.7%)比去的（9.8%)年還要高。

從金額來看，今年資安預算金額平均達到1,260萬元，不過，距離資安長心中，足以因應當前企業威脅的資安預算規模，還少了快3成，資安長期望的理想資安預算約1,635萬元。只有一類企業，今年資安預算達到了整體產業資安長的理想預算規模，那就是資安轉型企業。今年有高達49.8%的CIO將資安轉型列為年度目標，這一群資安轉型企業，也大力加碼資安投資來支持這個戰略目標。資安轉型企業今年平均資安預算達到1,800萬元之多，遠高於整體產業資安長的期望值。資安轉型企業的資安預算成長力道達到8.7%，幾乎是整體產業資安預算成長率4.7%的兩倍。為了推動資安轉型，不論是從被動防禦、多層式縱深防護，轉為主動防禦、資安左移、零信任資安，對企業來說，都是根本性改變資安思維的做法，需要更多資源才能實現，讓資安轉型企業更積極地加碼資安投資。

從各產業來看，資安投資力道今年和過去2年有很大的變化，甚至是反轉。2022年在高科技製造業（暴增約6成）、一般製造業（暴增約3成）大舉加碼資安的帶動下，拉高了整體平均，醫療和政府學校前年的資安投資力道也高達2成的成長率。反而是資安預算向來居產業之冠的金融業，在那一年的資安投資力道最弱，2022年資安預算只比2021年多了5.4%。  

去年，醫療資安預算成長率躍居各產業之冠，達到4成多，高科技也持續有2成的加碼。而金融業也開始追加資安預算，在去年出現了17.9%的成長率。

到了今年，去年力道相對較弱的服務業，成了2024年資安加碼最多的產業，資安投資今年增加了12.5%，成長率次高是一般製造業，在前年破天荒增加了3成之後，今年資安投資力道雖然趨緩，但也維持12.1%的高成長率，名列各產業第二。

前年資安預算成長幅度最小的金融業，去年開始加碼，金融業今年資安預算投資持續維持兩位數成長，也達到11.2%。出人意外的是醫療業，去年大幅加碼4成資安預算的盛況不再出現，今年甚至出現預算緊縮，醫療業今年的資安預算比去年足足少了8.7％，是各產業中，唯一一個資安預算負成長的產業。去年資安投資大增2成的高科技業，今年則踩煞車，只微幅增加了2.4％的資安預算。

雖然這三年來，不同產業的資安預算變化大起大落，但從三年尺度來看，各產業都是大幅加碼資安，只是有的產業是前年或去年加碼，有的則是到了今年才加碼。

資安預算占IT預算比例可以怎麼用？

資安預算占比不是越高越好，而要看各個產業特性，每個產業的資安需求和資源落差很大，這是是一個可用於同產業比較，但不適合跨產業比較的指標。但是，我們每年會揭露資安預算占IT預算的比例，有兩個重要的原因，一個用途是，可供資安長與資訊長比較自家企業與所屬產業之間，對於資安資源投入程度的落差，企業可以計算出自己的資安預算比重，若低於同產業，意味，相較於其他IT投資重點，對資安的資源分配力道偏低。

另一個用途是，可用來向上爭取資安預算，尤其，可以透過各產業的「IT預算占企業營收比」，參考競爭對手企業公開的去年營收資料，推算出對手企業今年的IT預算金額，再用這個估算金額乘以所屬產業「資安預算占IT預算的比例」，就可以推算出競爭對手企業今年的資安預算。這是一個相較於產業平均投資金額，更明確的參考數據，競爭對手對於資安資源的投入若遠高於自家企業，就可以向老闆爭取，足以更多資安預算，來避免落後於競爭對手的資安防護水準。

這是一個可用於每年訂定IT計畫和資安預算時可參考的管理性指標，有不少資安長或資訊長，到了每年秋天，定期會向我們詢問這個指標的數據，後來，我們就將這項指標列入每年的資安大調查結果中公布。不只是資安預算的占比，其他類型的IT重點投資，也可以採取同樣的作法來類推和參考。

 問卷說明  iThome資安大調查執行期間從2024年2月15日到3月15日，對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管，進行線上問卷，有效問卷422家。填答者中，企業CIO則占了71.8%，企業資安最高主管則占了62.8%。產業分布上，一般製造業17.8%、高科技製造業22.7%、服務業23.7%、金融業12.8%、醫療業13.3％、政府與學校則占了9.7%。