如何用最好的方式来减少遵守隐私、数据保护规定以及其他各种各样法规条文（旨在保护敏感与保密的消费者信息）所带来的成本？

　　这个问题有点难回答，但是值得探索，因为合规会带来很多成本。Ponemon Institute和安全公司Tripwire对46家跨国公司的调查发现每年与合规相关的活动所带来的成本最少有44.6万美元，最多有1600万美元，平均为350万美元。最高比例的开支是为所存储数据提供安全措施，其他活动还包括创建政策、向员工沟通这些政策、合规监视、执行以及员工认证。

　　坏消息是合规成本还不止这些。这是因为合规上的努力也不能保证数据保护100%有效--如果这些合规措施是完美的，那进行合规活动的公司就永远也不会遭遇数据损失了，这显然是不可能的。不合规也有成本。首先，不合规的话会面临罚款和罚金，尽管这些钱相对来说微不足道。不合规的最大的成本是与营运有关的，包括业务中断（订单取消，或监管机构命令商业流程改变），生产效率上的损失（由于系统和其他关键流程上的宕机而导致的时间成本），收入损失（包括营业额的减少以及用户对公司的信心/信任的降低）。你只要看看索尼PlayStation Network数据侵入的例子就行了，数百万客户的记录被盗，这给索尼的商业、生产率和收入带来巨大的影响。

　　1. 注意力放在合规的总成本上，而不仅仅是你在合规上所花的成本

　　如果你希望降低存储合规成本，但是你注意力都集中在合规上所花的成本，那么你就是一叶障目不见泰山。你应该关注我们所谓的“合规总成本”--你的合规活动所带来的成本加上因为违反合规要求所带来的成本。在总成本中纳入非合规成本这一点之所以重要是因为非合规成本也很多：调查发现，非合规成本要比合规成本平均高2.65倍；在46家被调查企业中，只有2家的合规成本高于非合规成本。

　　2. 你可能需要提高合规上的开支以减少总的合规成本

　　非合规成本经常超过合规成本，在最小化总合规成本的过程中，这个事实有很重要的意义。很明显，最合理的方式就是减少非合规成本。最直接的做法就是提高你在合规上的努力--可能意味着提高在这个领域上的开支。因此，尽管这有点违反你的直觉，但是减少总合规成本的一种方式可能就是提高你在合规上的开支。当然，这里面假设的是提高的开支得到了有效利用。Tripwire副总裁Dwayne Melancon表示：“非合规所里带来的成本要高于你在合规活动上的投资。问题是，你要在合规上花多少钱才能有效减少非合规成本。”

　　回答这个问题的一个线索来自对调查数据的分析。提高合规开支可以抵消非合规成本，但是这种效果无法直接衡量。调查发现，合规与非合规成本之间的差距越小，数据丢失或被盗的频率就越低。

　　这个方法其实并不简单，不过我们还是要向这个方向前进。提高合规开支--以便改善数据安全性--不出意外的话能够缩小你的合规成本和非合规成本之间的差距。差距减少会提高数据安全性，从而减少非合规成本。因此，提高这一边开支能够减少另一边的成本，不过我们也不能保证你的总成本一定会减少。

　　3. 提高安全有效性可以减少非合规成本

　　Ponemon用安全有效性分数（SES）来衡量每个单位的安全状况。（SES是对25项信息安全和数据保护实践的评分。）调查发现SES与非合规成本成反比。换句话说，你的安全措施越有效，你的非合规成本以及总的合规成本也就越低。

　　这并不出人意料，不过下一个问题就是你应该在哪些地方充实你的数据安全措施来最大程度地减少非合规成本。实际上，调查发现了一些SES属性可以有效降低非合规成本，包括

　　--监控并严格执行安全政策

　　--吸引并保留专业安全人员

　　--确保因安全问题所导致的宕机时间或系统中断最小化

　　--防止病毒和木马感染

　　4. 内部合规审计或有助于降低总合规成本

　　还有什么办法可以降低总合规成本？一个特别有效的方法就是执行合规审计。

　　你一开始可能会觉得奇怪--执行合规审计要花钱，会提高合规成本的。但是调查发现合规审计的频率和非合规成本之间成反比。调查还发现没有执行任何合规审计的单位有最高的总合规成本（根据企业规模进行了调整），而每年执行五次以上合规审计的单位有最低的总合规成本。

　　当然，在看这些调查数据的时候，你也应该留个心眼，因为相关性并不总意味着因果关系。也有可能是那些执行五次以上合规审计的企业有更好的合规文化而且在数据保护上执行得比那些合规审计不做或者少做的企业更严格。仅仅是执行审计可能还不足以降低数据丢失风险。不过，审计和非合规成本之间也许有一些因果关系：执行审计有可能使整体的合规负担更加可控，从而减少合规上的违规。

　　总而言之，降低总合规成本是可以的，但并不是那么直接的。要想花更少钱，关键在于在合适的地方花更多的钱。