فناوری کامپیوتر و شبکه های کامپیوتری بخش وسیعی از زندگی امروزی را تشکیل داده است. اکثر افراد در کار روزانه، ارتباطات، حمل و نقل و حتی اوقات فراغت از این سیستم ها استفاده می کنند. استفاده از این سیستم ها مانع از شناخت کاستی ها و نقایص آنها نمی گردد. علت این امر گزارش های روزانه ای است که اغلب در مورد حوادث نـاشی از بـروز خطا در سیـستم های کامپیـوتری و ایجاد شـکاف های امنیـتی منتشر مـی شود. این آگـاهی تحت تـاثیر فنـاوری های جـدید که قـابـلیت های زیـاد و شگفت انگیزی دارند افراد را از به کارگرفتن این سیستم ها منع نمی کند. دولت ها و بنگاهها تدابیر مناسبی برای حداقل نمودن خسارت شکاف های امنیتی در نظر گرفته اند. قوانین مربوط به امنیت فناوری اطلاعات، قوانین عمومی به صورت قوانین فضای سایبر که توسط دولت ها تصویب شده است، همگی به صورت عوامل بازدارنده در مقابل جرایم فناوری اطلاعات عمل می کنند. این قوانین به صورت مکانیزم های کنترلی، مکمل مکانیزم های کنترل داخلی سازمانها می باشند. از این رو برای ایجاد امنیت و به حداقل رساندن آسیب پذیری ها، مدل ها و چارچوب های خاص امنیتی برای محافظت از اطلاعات با دیدگاههای اقتصادی مطرح شده است. در این پژوهش به بررسی مدل های سرمایه گذاری درامنیت اطلاعات پرداخته شده؛ و سپس مدلی برای سرمایه گذاری در امنیت اطلاعات ارائه گردیده است. مدل سرمایه گذاری پیشنهادی براساس چهار مفهوم "سرمایه گذاری" ، "موفقیت در حمله" ، "انگیزه حمله" و "احتمال تهدید" طراحی شده است. سازمان ها باید برای جلوگیری از آسیب پذیری، بین این موضوعات تعادل برقرار نموده تا بتوانند سرمایه گذاری بهینه درامنیت اطلاعات انجام دهند. مدل سرمایه گذاری ارائه شده جهت ارزیابی دریک سازمان واقعی به منظور استفاده از ضد هرزنامه پیاده سازی شد و نتایج تجزیه و تحلیل گردید.