中小企業(yè)不僅在信息安全技術(shù)與大企業(yè)有較大的差距,，更重要的是信息安全管理狀況也不容樂(lè)觀，普遍有重視安全技術(shù),，輕視安全管理的現(xiàn)象存在,。國(guó)家發(fā)展改革委中小企業(yè)司在年前曾發(fā)表一項(xiàng)《二零零六年中國(guó)中小企業(yè)信息化調(diào)查報(bào)告》, 結(jié)果顯示有80%的被訪中小企業(yè)只配有5名以下的信息技術(shù)人員,。隨著全球信息化的發(fā)展，信息安全對(duì)中小企業(yè)將會(huì)變得越加重要,其內(nèi)部組織管理,、相關(guān)技術(shù)力量卻仍然薄弱,。總結(jié)我國(guó)中小企業(yè)信息安全問(wèn)題的原因主要有幾個(gè)方面：

　　1,、信息安全管理意識(shí)不強(qiáng),。

　　相對(duì)大型企業(yè)來(lái)說(shuō)，中小企業(yè)信息資產(chǎn)方面的積累相對(duì)較為薄弱,，并且很多時(shí)候這種積累并非企業(yè)的有意識(shí)行為,，所以在正常的信息化應(yīng)用情況下，往往會(huì)忽視對(duì)自己信息資產(chǎn)的保護(hù),，而只有在信息資產(chǎn)受到破壞,，形成了實(shí)際的經(jīng)濟(jì)和附加損失的情況下，才會(huì)開(kāi)始意識(shí)和重視這些信息安全問(wèn)題,，可以說(shuō),，這種中小企業(yè)的信息資產(chǎn)管理現(xiàn)狀，是造成中小企業(yè)信息安全問(wèn)題的主要內(nèi)因之一,。受社會(huì)文化環(huán)境等綜合因素的影響,，國(guó)人往往對(duì)于安全防范存在一種惰性和漠視，而聯(lián)系到實(shí)際,，中小企業(yè)員工甚至管理者普遍都存在著安全意識(shí)薄弱的問(wèn)題,，例如： 在實(shí)施信息安全項(xiàng)目的過(guò)程中，經(jīng)?？梢杂龅狡髽I(yè)員工安裝公司不允許使用的軟件,、中止安裝在自己個(gè)人電腦上的安全產(chǎn)品客戶端等諸如此類的事件，造成這些問(wèn)題的原因是多種多樣的,，但發(fā)生這種情況的最核心因素,，是這些員工沒(méi)有足夠的信息安全意識(shí)，他們往往因?yàn)樽约旱谋憷`反信息安全規(guī)章,，也往往意識(shí)不到自己的這種行為,，會(huì)將其他同事甚至整個(gè)企業(yè)的信息資產(chǎn)推向危險(xiǎn)的境地。這給我們一個(gè)最重要的啟示：安全設(shè)施的建立只是企業(yè)信息安全的第一步,，而如何在構(gòu)建完成的信息安全體系中有效徹底的貫徹事先制訂的信息安全策略以及不斷提高企業(yè)的全員信息安全意識(shí)是信息安全管理工作更重要的部分,。要達(dá)到這樣的目標(biāo)，需要企業(yè)決策層的大力支持,、定期實(shí)施安全培訓(xùn)教育以及定期評(píng)估和調(diào)整安全政策,，這樣才能保證企業(yè)安全體系處于積極活躍的健康狀態(tài)。

　　2、信息安全管理水平較低信息安全風(fēng)險(xiǎn)較大,。

　　目前的中小企業(yè)管理層人員雖然已經(jīng)認(rèn)識(shí)到了信息化的重要性,，但卻沒(méi)有認(rèn)識(shí)到企業(yè)信息化管理是需要在企業(yè)管理理念上進(jìn)行根本變革才能實(shí)現(xiàn)的。雖然有一些中小企業(yè)采用了現(xiàn)代通信,、計(jì)算機(jī),、網(wǎng)絡(luò)技術(shù)來(lái)構(gòu)建信息系統(tǒng)，以提高企業(yè)的效率與競(jìng)爭(zhēng)能力,，但相應(yīng)的管理措施沒(méi)有到位,，如系統(tǒng)的運(yùn)行、開(kāi)發(fā)等崗位不清,、維護(hù),、職責(zé)不分，經(jīng)常一人身兼數(shù)職,。信息安全大約70%以上的問(wèn)題都是由管理方面的原因造成的,。他們大多是按照原有的管理模式進(jìn)行改造，結(jié)果造成一種信息化的假象,，致使“信息化”走向了徒有其表的誤區(qū),，信息安全也沒(méi)有得到足夠重視。

　　3,、人才短缺專業(yè)人員匱乏,。

　　中小企業(yè)一般很難有足夠的吸引力留住信息化及信息安全這一領(lǐng)域的人才。因此,，在這種人才短缺的情況下,，自然影響到企業(yè)信息化的進(jìn)程。主要表現(xiàn)為：企業(yè)一般沒(méi)有自己的信息化建設(shè)人才隊(duì)伍,。

　　信息技術(shù)專業(yè)人員的知識(shí)結(jié)構(gòu)也不能達(dá)到要求,，掌握技術(shù)的不懂管理，懂管理的又不會(huì)技術(shù),，而且信息安全 往往沒(méi)有專業(yè)人員進(jìn)行管理,。

　　客觀的說(shuō)信息安全領(lǐng)域的知識(shí)和技能在信息技術(shù)領(lǐng)域應(yīng)歸類于高階層面,，因?yàn)樾畔踩珡臉I(yè)人員不只縱向上要對(duì)各項(xiàng)工作有精深的理解,，橫向上還需要對(duì)信息系統(tǒng)的整體邏輯乃至企業(yè)的業(yè)務(wù)邏輯有深刻的認(rèn)知，特別對(duì)于信息安全管理的經(jīng)驗(yàn)有很高的要求,，這從很大程度上造成了中小企業(yè)難以具備足夠的技術(shù)力量來(lái)保障信息安全設(shè) 施的運(yùn)轉(zhuǎn),；其實(shí)拋開(kāi)信息安全技術(shù)力量?jī)?chǔ)備不論，即使是應(yīng)用層面的信息技術(shù)力量,，在中小企業(yè)中也經(jīng)常出現(xiàn)不敷使用的情況,，即使很多較大規(guī)模的中型企業(yè)，往往也只能做到保證有專人負(fù)責(zé)信息化工作而已,，而越向更小規(guī) 模的企業(yè)探究,，愈會(huì)發(fā)現(xiàn)這種技術(shù)力量不足的情況所造成影響,，而且在沒(méi)有專職信息技術(shù)人員的情況下，信息化事務(wù)所需要的時(shí)間和資源往往與公司正常業(yè)務(wù)運(yùn)營(yíng)發(fā)生正面沖突,，使實(shí)際情況更趨惡化,，而且這個(gè)問(wèn)題往往會(huì)造 成惡性循環(huán)，即信息安全專業(yè)人員的缺乏,，不僅造成了信息安全理念的傳播無(wú)法形成內(nèi)部源頭,，也導(dǎo)致了在評(píng)估投入時(shí)難于做出正確決策。

　　4,、資金短缺,。

　　中小企業(yè)的資金狀況決定了其信息化投入遇到的限制相對(duì)較多。企業(yè)相對(duì)有限的資金,，一般要優(yōu)先投入到直 接促進(jìn)公司業(yè)績(jī)?cè)鲩L(zhǎng)的方向,，而無(wú)形中就造成了信息資產(chǎn)所面臨的巨大風(fēng)險(xiǎn)；特別是在當(dāng)今越來(lái)越多的企業(yè)業(yè)務(wù) 與互聯(lián)網(wǎng)有密切的聯(lián)系,，甚至一些企業(yè)的業(yè)務(wù)完全建立在互聯(lián)網(wǎng)之上,，以平均不到企業(yè)總收入1%的信息安全投 入，怎么能保障這些業(yè)務(wù)的正常運(yùn)行,？雖然中小企業(yè)不可能動(dòng)輒拿出幾十萬(wàn)乃至上百萬(wàn)的資金用于信息安全系統(tǒng) 建設(shè),，但還是應(yīng)該針對(duì)自身情況，盡可能使投入比例接近常規(guī),，至少應(yīng)該使企業(yè)核心信息資產(chǎn)的安全得到保證,， 從實(shí)際情況來(lái)講，在良好的安全理念指導(dǎo)下,，進(jìn)行細(xì)致的規(guī)劃和評(píng)估,，通過(guò)適當(dāng)?shù)耐度胍彩强梢赃_(dá)到較好的整體 效果，因?yàn)樵谥行∑髽I(yè)的應(yīng)用情境下,，信息安全防御廣度是相對(duì)容易控制的,；中小企業(yè)對(duì)信息安全產(chǎn)品的要求也 不是簡(jiǎn)約版產(chǎn)品這么簡(jiǎn)單，在達(dá)到基本性能和功能要求的基礎(chǔ)之上,，還需要充分考慮中小企業(yè)的應(yīng)用方式及習(xí) 慣,，設(shè)計(jì)出體現(xiàn)其規(guī)律和特點(diǎn)的真正適合中小企業(yè)的信息安全產(chǎn)品，才能從根本上滿足中小企業(yè)信息安全需求,。 另外不得不重申的是,，購(gòu)置安全產(chǎn)品僅僅只是企業(yè)信息安全工作的步驟之一，我們不能只將眼光放在產(chǎn)品的選擇 上,，相關(guān)的安全政策制訂,、培訓(xùn)計(jì)劃的選擇以及實(shí)施等問(wèn)題也是信息安全投入不可或缺的組成部分，這些“軟性 投入”對(duì)企業(yè)信息安全的影響往往更加深遠(yuǎn)，更加需要企業(yè)決策者仔細(xì)考量,，因?yàn)樵谕度胧芟薜那闆r下,，往往會(huì) 造成決策層只注重硬件設(shè)施投入而不注重管理實(shí)施的開(kāi)展，以及將有限的投入花費(fèi)在局部問(wèn)題上,，從而造成信息 安全“短板效應(yīng)”,，進(jìn)而無(wú)法保證信息安全設(shè)施的完整性，最終造成信息安全實(shí)施的失敗,。

　　5,、中小企業(yè)的信息倫理意識(shí)不強(qiáng)。

　　由于某些員工的信息倫理原因而帶來(lái)的信息安全問(wèn)題屢見(jiàn)不鮮,。在很多時(shí)候,，企業(yè)的員工都會(huì)因?yàn)槟承┎唤?jīng) 意的行為對(duì)企業(yè)的信息資產(chǎn)造成破壞。尤其是在中小企業(yè)中員工的信息安全意識(shí)往往相對(duì)比較落后,，對(duì)于互聯(lián)網(wǎng) 上存在的威脅往往缺乏足夠的重視,，而企業(yè)的管理層對(duì)于網(wǎng)絡(luò)的使用也沒(méi)有很好的管理手段。因此,，員工對(duì)企業(yè) 網(wǎng)絡(luò)的誤用濫用行為常使安全情況更加惡化,，誤用濫用網(wǎng)絡(luò)帶來(lái)了惡意攻擊、企業(yè)機(jī)密數(shù)據(jù)泄露,、感染病毒木馬,、員工工作效率大幅下降等問(wèn)題。

　　從上述分析可以看出企業(yè)不但要重視外來(lái)防范, 更要注意內(nèi)部的信息安全保護(hù),。企業(yè)的信息安全包括安全策略,、技術(shù)、管理等等復(fù)雜的因素, 而非技術(shù),、產(chǎn)品就能解決的,。中小企業(yè)的信息安全保護(hù), 需要一整套從內(nèi)部核心到邊界再到邊界外的完整的信息安全管理機(jī)制。由于中小企業(yè)自身規(guī)模小,、資金有限,安全建設(shè)需要特別考慮經(jīng)濟(jì)問(wèn)題, 力求成本低,、可靠性高和實(shí)用性強(qiáng)的安全解決方案。

　　ISO27001是一套全面嚴(yán)謹(jǐn)?shù)男畔踩芾眢w系,，旨在幫助各種不同類型和規(guī)模的組織實(shí)施并運(yùn)行有效的信息安全管理,，從而增強(qiáng)企業(yè)識(shí)別、防止,、減少和控制組織信息安全風(fēng)險(xiǎn)的能力,。中小企業(yè)也可以運(yùn)用 ISO27001 信息安全管理系統(tǒng)的一些方法和措施提高自己的信息安全管理水平,。