_{小型機構的安全}

管理少于100個系統的小型機構面臨特殊的挑戰。小型機構中的信息安全管理常常是一個多面手的責任，他是一個單獨的安全管理員，可能會有1-2個助手來協助他管理技術工作。在小型機構中，系統或網絡管理員一專多能的情況是很常見的。這類機構常常在正式策略、計劃或安全方法方面沒有什么問題，他們通常會把自己的網頁和電子商務操作外包給其他的公司。由此，安全管理員常常是處理桌面管理、病毒防護以及本地網絡安全問題。

小型機構的資源通常有限，所以安全管理員常常會求助于免費軟件和黑客軟件以降低評估和執行安全的成本。如第9章中所提及的，無論是在難以獲得的技術投入方面，還是在降低安全總成本方面，這些工具都很有效。

在小型機構中，安全培訓與安全意識提升通常實施在一個一對一的基礎上， 安全管理員直接向需要幫助的用戶提出建議。任何策略都可能是基于特定問題提出的需求，例如，使用網絡、因特網以及辦公設施的使用要符合有關規定。當提出正式計劃時，它通常被作為信息系統主管或CIO指導下的IT計劃的一部分。

對小型機構而言，它們的規模讓它們避免了一些前面提到的威脅。黑客會去攻擊更大的以及更有聲譽的目標，而很少會去光顧小公司。當然，把機構的未來押在不引人注目上，這是很不明智的。所以，俗話說“在陰暗中沒有安全可言( There is no security in obscurity).”

在員工們都擁互熟悉的環境中，就不容易發生內部威脅。通常，一個員工的知名度越高，他就越不會認為自己能夠在損壞、濫用或錯用公司的資產之后還能順利脫身。

對于小型機構的安全管理員來說，在某種程度上，缺乏可用資源意味著自己成為攻擊目標的可能性也較小。圖54說明了小型機構面對的挑戰。一般來講， 它有1個全日制安全人員對信息安全負責，或者，更可能是一個全日制IT人員在附帶管理或指導信息安全工作。當然他可能會有1-2個助手協助工作。