第9章。
安全成本——一个难以捉摸的目标
了解安全成本
安全性总成本是一种复杂的直接费用和共享,隐藏和机会成本,无法单独使用预算线项或数据呼叫。这些数字不告诉整个故事,而且他们自己可能会误导。他们不考虑与效率低下,过度的保护程度或失去机会相关的成本。除了传统的情况外,委员会还试图捕捉这些不那么明显的成本,在其特征和建议中,曾经确定的,可以更好地管理安全成本。
在最近的行业研究和我们自己的分析中收集的信息的基础上,很明显没有人对安全确实成本的良好处理。我们的会计系统不设计用于收集安全成本数据,并且不提供支持资源决策所需的分析工具。委员会发现早期难以隔离自由裁量或可控安全成本,这些安全成本本质上是做生意成本的一部分。几乎每个关注,公共或私人都会根据企业的性质来购买某种安全保护。为了说明这一点,图6描绘了作为被保护的内容的函数的各种级别。它展示了分类的安全世界如何依赖于安全资源的实质性下降。即使没有分类信息或计划,仍然存在基本的安全成本。我们将围绕某些地区,将安全警察放在飞行线上,将锁放在弹药储存设施上并锁定昂贵的设备。图6还描绘了我们认为是政府和行业安全对策的构建方法。做业务成本在四个下框中表示。 Each successive block requires additional protection and entails additional costs. The examples in each box are not all-inclusive but merely illustrative of the types of information being protected within each category.
分类
未分类
图6.程序类型保护
黑色和白色的成本
根据所涉及的工作的分类或敏感性,安全成本可能有很大差异。委员会已经收到了一些可证实的数据点,可以用来衡量非机密项目、确认或附属项目以及未确认项目(特别是使用覆盖的项目)的安全成本26:
o在未分类的计划中,直接安全成本通常在总运营成本(政府和行业)的一半至1%的范围内。
o在承认或抵押计划中,直接安全成本范围为总运营成本的1%至3%。
o为未经承认的计划,成本范围的成本相当高,从总运营成本的3%到10%。一个SAP计划经理估计的安全成本可能高达总运营成本的40%。此估计支持广泛的看法,与已承认的抵押计划相比,SAP安全成本可能是过高的。
可见和无形的安全成本
安全成本可以描述为一个具有四个方面的冰山。其中两个方面是可见的,因此或多或少是可以量化的。另外两个隐藏在吃水线以下,虽然难以测量,但经验表明它们可能确实很大。
如图7所示,冰山的可见方面由直接和间接的安全成本组成。它们加在一起只占冰山的一小部分。直接成本是可量化的费用,如人工、设备和设施。更难以量化,但仍然可见的是承包商通常收取的间接成本,如管理费和一般行政费用(G&A)。一般行政费用和日常管理费用是共享成本,可能包括,例如,负责几个项目设施的警卫或为多个项目提供服务的公司安全经理。
直接成本
间接成本
低效率
成本
机会
成本
图7.成本冰山
水线以下是难以量化和相对较大的隐性成本,粗略定义为低效率和机会成本。委员会认为,解决这类费用可以在短期内节省费用而不降低效率:
作为支持特殊访问计划合同的一部分,西海岸的一家大型国防公司必须定期访问波士顿地区的“敏感”活动。基于SAP安全计划,该计划指定了承包商不能与站点关联的借口,SAP项目经理要求承包商人员在前往波士顿的途中使用迂回路线,在中间地点停留以换飞机。
最近,另一位承包商需要重新分配170名员工才能在DIA合同上工作。尽管他们的员工所有员工在情报界的4C间隙数据库中记录了历史记录,但Dia需要每个人的新个人历史陈述,并重新考虑每种情况。六个月后,只处理了32人。
委员会通过了安全性总成本,采用了以下方法:
o每个小组委员会 - 威胁,身体/技术,人员以及信息系统的安全 - 试图识别其各自地区的成本和调查潜在节省。
o工作人员审查了国家外国情报计划(NFIP)和国防部预算(不包括SAP)的成本数据。
o工作人员审查了NISP资源工作组的刚刚完成的最终报告,“捕捉行业安全成本”以及最近的行业成本调查。
o委员会除与专业协会及公众利益团体举行会议外,亦与业界进行广泛讨论(包括三次出席人数众多的圆桌会议)。我们采访了国会议员及其工作人员、高级政府官员以及政府和企业的工作级安全官员,他们都谈到了做生意的安全成本问题。
“没有办法知道我们在安全上花了多少!”
这种审议声明的宣言总结了许多经理,预算审查员和国会成员的感觉。对情报界的挫败感无法在1993财年的纳税威胁方面取决于其安全支出的可靠性,导致纳税人减少0.5%。最近呼吁降低成本清晰度和遏制。代表大卫斯卡格斯在1994财年的授权语言呼吁中央情报署署长于1994年3月31日向情报委员会向情报委员会报告,就分类文件的成本和减少与分类相关费用的计划。委员会认为,建立一个连贯的系统来捕获安全成本至关重要,以简化和降低成本。虽然在NFIP,国防部和NISP中正在进行一些进度,但这些不同的努力并不是很好的协调,并且在太慢的情况下进行了太慢,以便提供任何希望可以及时实现统一的成本核算方法,以便有意义地捕捉任何一个委员会的成本影响建议。
建议71
委员会建议建立一个临时小组,以创造一个共同的方法和预算框架,用于在国防部,情报界和工业中定义和跟踪安全成本。
迄今为止在国防部工作
国防部已经开始使用战术情报和相关活动(Tiara)作为模型来捕捉安全成本的雄心勃勃的努力。根据助理国防部长C3I的主持,智力计划支持小组(IPSG)正在上班,即所谓的CI,SCM和相关活动(CISARA)倡议,试图汇总不一致的安全费用nfip。(脚注27)包含Cisara以及NFIP成本的新数据库将使能够识别在国防部的主要武力计划中的安全成本。
情报社区努力
在DCI社区管理人员(CMS)的主持下,情报界会使用与国防部的Cisara努力兼容的方法捕获安全成本并行努力。第一次,为1995 - 99财年发布了联合国防部计划计划和规划指导。作为辩护和情报社区的计划的共同预算框架中包含的是NFIP和Dod程序员的新安全成本类别,以便在建设和显示分配给安全性的资源。在由中央情报副主任签署的后续指令中,计划经理被告知委员会的意图使用“1995财年的预算提交作为安全资源数据的主要来源。不幸的是,委员会没有收到所有NFIP程序的可用资源数据。我们所获得的数据不完整,不一致,不一致,不完全融入NFIP范围内的成本估算。因此,委员会在NFIP中的大安全成本图片中尚未比瞥见。委员会建议创建统一成本核算方法和跟踪系统应提出目前缺乏情报界的准确性,统一性和响应性。
捕获行业的安全成本
在工业中普遍认为,行业已经受到不分青红皂白,不一致和不必要的安全程序,而不是与妥协或威胁程度的风险相称。委员会通过识别出现:
o开发和应用基线标准的成本效率。
o超出基线标准的特殊活动或计划的安全标准,并没有与明显的威胁相关联。
o建议改变安全标准和政策的资源影响,以帮助基于风险的决策。
捕获政府合同中的安全成本通常比捕获其他安全成本更困难,因为在行业安全成本中经常被带到间接费用。没有单独的行业要求向政府报告这些成本。NISP任务任务是一个工作组(脚注28)来开发一个测量工具,以确定基线和特殊程序标准中的安全成本,然后识别最可行的系统,以监控持续的数据收集。
NISP开发成本指标的努力导致了几种广泛的行业调查,该调查试图从政府合同中收集安全成本数据。由于两个主要原因,这些调查的成功有限。首先,他们不成功地试图捕获间接/嵌入的成本,例如员工时间花费完成人员安全问卷,进行清关确定和护送访客。其次,承包商不需要回应联邦机构进行的调查。因此,数据调用不太可能产生足够数量的代表采样的响应。
但调查提供了信息,随后由独立审计师验证,有助于规模问题:
o对抵押品和特殊计划的安全总额的总成本,60%至80%可直接归因于安全劳动力(安全管理人员,文件控制人员,卫兵和快递人的工资,工资和福利)。
o额外的10%至30%的安全费用适用于设施和设备成本,包括建筑物,锁,报警和安全容器。
o剩余的保安成本计入间接费用或一般行政费用,不能作为保安成本本身确认。
o在10%至20%的承包商之间,为政府进行分类工作,占总费用的60%至80%,以确认。
由于工业安全成本没有共同的会计准则,承包商使用的成本跟踪系统中存在巨大的差异。委员会认为,规定行业的统一会计程序将是不可行的,不合理的昂贵。政府组织的独立研究估计,仅为其承包商而言,安全成本报告/跟踪系统的总启动成本约为1200万美元,年度经常性成本约为800万美元。
另一种由NISP提供并得到政府和行业安全专家一致认可的替代方法是将重点放在直接安全劳动力和设施成本上,因为这些类别约占行业安全成本的90%。此外,这些成本可以从承包商现有的会计系统中提取。捕获剩下的10%,这一点同样重要,但更难定义,可以通过取样一小部分主要的国防公司来完成,以衡量整个业务基础的趋势。该策略有效地将可追踪到安全需求的成本分为四类:
o如果没有联邦政府合同,则常规安全成本。
o可见的安全成本通常与抵押计划相关,并由公司安全组织预算和控制。
o这些合同特定的安全费用,适用于在计划或合同管理人员直接控制的特殊活动和方案。
o与安全任务和法规相关的直接劳动不可识别的成本不可识别,并且由非安全员工完成,并且未记录为安全成本。
建议72
委员会赞同捕获工业安全成本的联合政府和行业战略,并建议在新会计和预算框架内纳入安全性的策略。
向的一致性
在国防部、NFIP和行业中一致地获取安全成本,并在合理的细节水平上确定安全支出的基线是至关重要的。除非所有这三种定义成本的方式有助于对类似的计划和预算周期进行后续汇总和分析,否则它将无法满足所有级别的决策者和风险管理者的需求,他们必须在资源有限的环境中做出合理的安全决策。
达到底线-回报是长期的…
委员会已经提出了两种类型的成本储蓄建议,即将直接降低成本。首先,我们提出了降低安全成本的方式(消除效率低下和过度的保护层),而不会降低保护的有效性。其次,委员会提供了许多具体建议,将减少安全成本,并通过管理风险而不会危及安全的情况下减少保护水平。因为我们的重点是全身问题,那种出现在冰山图形下方水线下方的那种,所以有许多建议在节省成本储蓄的建议将更加逐步,但在长远来看,仍然很重要。除了非常粗略的条款之外,我们还无法量化节省:
o对分类系统进行全面改革将对安全的方方面面产生成本效益影响。我们将能够整合我们的信息架构,更有效地交流人员和思想,同时有效地保护秘密。此外,如果我们减少对机密的分类,增加对机密的解密,我们需要清理的人就会减少,购买的保险柜就会减少,设立的岗哨也会减少。
o人员安全系统可以通过授权互惠,巩固功能和鼓励自动化来简化。长期储蓄将由融合调查组织为国防和情报社区进行融合,减少调查滞后时间,减少SSBI的范围,授权审裁的互惠,巩固国防部裁决中心,利用工业资金战略选择安全职能,巩固安全表格和建立电子格式的人员安全问卷。
o修订实体安全要求将建立标准并确保互惠。可以通过取消常规工业检查、建立设施认证和注册系统、减少国内TEMPEST要求、停止例行TSCM检查以及维护所有政府和行业的中央数据库来降低成本。
o通过创建安全执行委员会及其支持人员将有效的监督和纪律引入安全社区,将降低成本。因此,将通过将若干委员会及其支持结构巩固到一个凝聚力的政策管理结构来简化政策协调机制。
o通过汇集资源充分利用现有的防御和情报社区培训专业知识和设施,以及协调培训举措也是一种成本节约。
o避免冲突的研究和发展计划将保护促进追踪外国情报威胁以及技术在释放资源以进行其他优先事项需求的关键努力。
。。。在近期的前线成本
o新国防部情报社区徽章系统的启动成本估计为300万美元。然而,提高效率和节约生产力的好处表明,该系统可以在一年内收回成本。
o增加我们对信息系统的投资安全性在短期内将昂贵。然而,这一领域安全细分的后果是如此关键和达到深远,即额外资源只是谨慎。
底线
委员会没有获得成本减少目标,而且没有能够准确地定义成本,在任何情况下都会几乎不可能。尽管如此,委员会认为,其建议可以导致净储蓄。此外,我们相信需要进行良好的资源策略:
o将安全对策和成本与现实的威胁评估和风险联系起来。
o提供金融蓝图,以指导资源分配,并建立顶级政策方向并控制安全支出。
建议73
委员会建议国防部长和中央情报司司长为安全发展了长期资源战略。