通常人們只是認為信息安全只是花錢的部門，不能產生直接的經濟效益。
    在一個企業內我們經常看到這樣的情景：年終總結會上，銷售經理們在為不斷提高的銷售業績而沾沾自喜、彈冠相慶時，安全主管對自己的最高獎賞只能是向總經理匯報“平安無事”。 因此安全預算經常受到質疑，特別是在企業經營狀態不佳時，首先受到壓縮就是信息安全預算，然而企業決策者們往往沒有意識到，過度壓縮的安全預算，往往會使企業蒙受很大的風險。
    “911”事件中，當Morgan Stanley 集團和American Express等公司能在世貿中心遭受攻擊后數小時內迅速恢復服務時，沒有人懷疑災難恢復計劃的重要性；“SARS”肆虐時，成功實施業務持續性計劃的亞信、摩托羅拉、惠普等公司使人們看到面對這樣的重大災害時，企業怎樣才能避免束手無策。
    安全計劃只有在安全事例發生后，才能證明其價值，然而只有在安全事件發生前，取得企業決策者們的支持才更有意義。這就需要安全主管與企業決策者們進行有效的溝通，不要企圖用高深的技術數據說服高層管理者們。這樣往往適得其反，安全主管與決策者們的最佳溝通方式就是投資回報計劃，安全主管應當為安全預算做出一份有說服力的投資回報計劃，來獲得決策者們的理解與支持。
    信息安全投資回報計劃就是要研究信息安全的成本效益，其成本效益組成如下：
    ◆從系統生命周期看信息安全的成本：獲取成本和運行成本；
    ◆從安全防護手段看信息安全的成本：技術成本和管理成本；
    ◆信息安全的價值效益：減少信息安全事故的經濟損失；
    ◆信息安全的非價值效益：增加聲譽、提升品牌價值。