制定安全项目中的安全组织

一般情况下，信息安全预算的规模要与机构的规模相称。尽管业界对于信息安全预算的规模和安全人员的数量并不存在一定的标准，但仍然可以通过统计得到行业的平均数。行业平均数变化的范围很大，有的根据每单位收入的信息安全预算来表示，有的却根据机构总人数中信息安全人员的百分比来表示，或者表示为每单位IT预算的信息安全预算比。在实际情况中确定行业平均数也许是一个难题，但事实上，除开行业平均数，特殊的管理对人员因素产生了最大的影响（无论这一影响是好还是坏）。一般说来，为安全项目所安排的人员相对于他们所承担的任务总是显得人手不足。高层管理人员必须坚持不懈地制定策略、计划和培训方案，让管理人员及其下属专注于他们的职责。详情参见后面附加材料（OffLINE），“规模与安全”一文。

当机构的规模增大，它们的安全部门将无法满足越来越复杂的信息系统的需求。随着机构的壮大，每人或每台机器的安全花费成指数下降，结果是开始实施有效的安全项目时会遇到更多的经费制约。

政治策略、经济状况和预算预测是上层管理者玩弄的花样。在现今的环境下，大多数机构的信息安全项目没有得到足够的支持。然而，情况也许在改变，因为当前的政治环境和许多见诸报端的信息安全事件正迅速改变传统的管理文化思想，使得人们认为信息安全是机构管理工作中的一个关键。

另一个重要因素是用于信息安全的实际资源和开支预算。该预算包括办公室、计算机实验室、测试设备以及普通的信息安全花费预算。因为信息安全人员主要负责安全计划、安全策略、安全结构、安全设计以及其他的大量项目等秘密信息，所以应当抱着负责任的态度向他们提供所需资源。

组织一个信息安全项目对管理提出了挑战。尽管机构的规模对信息安全项目有影响，但每个机构都应具有一些基本的安全功能（funclion），因此，这些功能应当被包括进预算分配中。表5一l概括了一个成功的信息安全项目的功能。这些功能并不一定要在信息安全部门实施，但必须在机构内某处实施。