该研究聚焦于美国关键基础设施行业（如电力、医疗、金融）中，组织如何通过自身安全措施来补充官方数字安全合规要求（如NIST框架等）的不足。已有研究表明合规项目在制定和实施上存在诸多问题，导致组织常感到合规不足以应对真实威胁。研究者对来自六个关键服务行业的40名安全从业者进行了问卷调查，旨在了解：（1）组织如何识别并弥补合规与实际安全需求之间的差距；（2）哪些自行采取的措施效果显著；（3）组织如何对这些措施进行优先级排序和效果评估。该研究采用定性方法，通过半结构化访谈收集数据，并运用主题分析提取常见做法和挑战。虽然abstract未提供具体结果，但预期研究成果将揭示行业最佳实践、常见合规补充策略（如额外监控、第三方评估、自建威胁情报能力等），以及组织在资源分配和效果衡量上的决策逻辑。该工作适合CISO、合规官、风险管理者和政策制定者阅读，以理解合规之外的实际安全投资模式。