制定安全项目中小机构的安全

   _{小型机构的安全}

管理少于100个系统的小型机构面临特殊的挑战。小型机构中的信息安全管理常常是一个多面手的责任，他是一个单独的安全管理员，可能会有1-2个助手来协助他管理技术工作。在小型机构中，系统或网络管理员一专多能的情况是很常见的。这类机构常常在正式策略、计划或安全方法方面没有什么问题，他们通常会把自己的网页和电子商务操作外包给其他的公司。由此，安全管理员常常是处理桌面管理、病毒防护以及本地网络安全问题。

小型机构的资源通常有限，所以安全管理员常常会求助于免费软件和黑客软件以降低评估和执行安全的成本。如第9章中所提及的，无论是在难以获得的技术投入方面，还是在降低安全总成本方面，这些工具都很有效。

在小型机构中，安全培训与安全意识提升通常实施在一个一对一的基础上， 安全管理员直接向需要帮助的用户提出建议。任何策略都可能是基于特定问题提出的需求，例如，使用网络、因特网以及办公设施的使用要符合有关规定。当提出正式计划时，它通常被作为信息系统主管或CIO指导下的IT计划的一部分。

对小型机构而言，它们的规模让它们避免了一些前面提到的威胁。黑客会去攻击更大的以及更有声誉的目标，而很少会去光顾小公司。当然，把机构的未来押在不引人注目上，这是很不明智的。所以，俗话说“在阴暗中没有安全可言( There is no security in obscurity).”

在员工们都拥互熟悉的环境中，就不容易发生内部威胁。通常，一个员工的知名度越高，他就越不会认为自己能够在损坏、滥用或错用公司的资产之后还能顺利脱身。

对于小型机构的安全管理员来说，在某种程度上，缺乏可用资源意味着自己成为攻击目标的可能性也较小。图54说明了小型机构面对的挑战。一般来讲， 它有1个全日制安全人员对信息安全负责，或者，更可能是一个全日制IT人员在附带管理或指导信息安全工作。当然他可能会有1-2个助手协助工作。