一般情況下，信息安全預算的規模要與機構的規模相稱。盡管業界對于信息安全預算的規模和安全人員的數量并不存在一定的標準，但仍然可以通過統計得到行業的平均數。行業平均數變化的范圍很大，有的根據每單位收入的信息安全預算來表示，有的卻根據機構總人數中信息安全人員的百分比來表示，或者表示為每單位IT預算的信息安全預算比。在實際情況中確定行業平均數也許是一個難題，但事實上，除開行業平均數，特殊的管理對人員因素產生了最大的影響（無論這一影響是好還是壞）。一般說來，為安全項目所安排的人員相對于他們所承擔的任務總是顯得人手不足。高層管理人員必須堅持不懈地制定策略、計劃和培訓方案，讓管理人員及其下屬專注于他們的職責。詳情參見后面附加材料（OffLINE），“規模與安全”一文。

當機構的規模增大，它們的安全部門將無法滿足越來越復雜的信息系統的需求。隨著機構的壯大，每人或每臺機器的安全花費成指數下降，結果是開始實施有效的安全項目時會遇到更多的經費制約。

政治策略、經濟狀況和預算預測是上層管理者玩弄的花樣。在現今的環境下，大多數機構的信息安全項目沒有得到足夠的支持。然而，情況也許在改變，因為當前的政治環境和許多見諸報端的信息安全事件正迅速改變傳統的管理文化思想，使得人們認為信息安全是機構管理工作中的一個關鍵。

另一個重要因素是用于信息安全的實際資源和開支預算。該預算包括辦公室、計算機實驗室、測試設備以及普通的信息安全花費預算。因為信息安全人員主要負責安全計劃、安全策略、安全結構、安全設計以及其他的大量項目等秘密信息，所以應當抱著負責任的態度向他們提供所需資源。

組織一個信息安全項目對管理提出了挑戰。盡管機構的規模對信息安全項目有影響，但每個機構都應具有一些基本的安全功能（funclion），因此，這些功能應當被包括進預算分配中。表5一l概括了一個成功的信息安全項目的功能。這些功能并不一定要在信息安全部門實施，但必須在機構內某處實施。