中小企業(yè)以其經(jīng)營(yíng)方式靈活、組織成本低廉、轉(zhuǎn)移進(jìn)退便捷等優(yōu)勢(shì)更能適應(yīng)當(dāng)今瞬息萬(wàn)變的市場(chǎng)和消費(fèi)者追求個(gè)性化、潮流化的要求，因而在包括發(fā)達(dá)國(guó)家在內(nèi)的世界各國(guó)的經(jīng)濟(jì)發(fā)展中，中小企業(yè)都有著舉足輕重的地位，發(fā)揮著不可替代的作用。不同于企業(yè)雇員人數(shù)少、產(chǎn)權(quán)和經(jīng)營(yíng)權(quán)高度集中、產(chǎn)品服務(wù)種類單一、經(jīng)營(yíng)規(guī)模微小的微型企業(yè)，中小企業(yè)逐漸分化出具體的職能部門，人員結(jié)構(gòu)日趨完善和復(fù)雜，關(guān)鍵技術(shù)和商業(yè)機(jī)密逐漸積累，隨著產(chǎn)品線逐漸豐富，經(jīng)營(yíng)規(guī)模不斷擴(kuò)大，中小企業(yè)在向大型企業(yè)邁進(jìn)。而不同于完全流程化、規(guī)范化、信息化的大型企業(yè)，中小企業(yè)中存在著各種各樣的安全漏洞，相比微型企業(yè)，也存在著較為明顯的信任危機(jī)。而這些安全漏洞和信任危機(jī)，就是中小企業(yè)中安全管理人員需要關(guān)注和改進(jìn)的。

[[131926]]

中小企業(yè)安全管理的崗位職責(zé)主要在于監(jiān)控并及時(shí)發(fā)現(xiàn)安全隱患，并盡早采取有效措施。從企業(yè)安防到設(shè)備管理，從網(wǎng)絡(luò)管理到權(quán)限控制，從文件管理到離職善后，可以說(shuō)安全隱患無(wú)處不在。所謂“道高一尺，魔高一丈”，如果不采取一套可信的安全管理解決方案，而是簡(jiǎn)單的添加攝像頭、上鎖、設(shè)置密碼、內(nèi)外網(wǎng)隔離等方式只是“防君子，不防小人”。

假設(shè)某中小企業(yè)已購(gòu)置了這樣一套可信安全解決方案，那么對(duì)于安管人員，乃至整個(gè)公司是不是就可以高枕無(wú)憂了呢?答案是否定的。正如80/20定律中揭示的那樣，一套軟件或設(shè)備的功能往往只有其中的20%可以被有效利用，而被閑置和忽視的80%可能由于安管人員自身技能的不足或者重視程度不夠，給企業(yè)安全帶來(lái)了威脅。那么安管從業(yè)者一般需要哪些技能呢?

首先，需要較好的危機(jī)洞察力和意識(shí)。面對(duì)各種內(nèi)外部威脅，無(wú)論是無(wú)心還是有意為之，安管人員需要及時(shí)發(fā)現(xiàn)潛在的威脅。根據(jù)破窗效應(yīng)，如果不能第一時(shí)間對(duì)事態(tài)進(jìn)行控制，那么大家將會(huì)采取無(wú)所謂的態(tài)度，聽(tīng)之任之，直至一發(fā)不可收拾。

其次，需要有良好的信息化管理水平。即對(duì)這樣一套安全解決方案有整體的認(rèn)識(shí)，對(duì)其流程和功能有較好的了解。一般方案提供商在實(shí)施后，會(huì)進(jìn)行有效的培訓(xùn)和服務(wù)，確保安管人員能夠達(dá)標(biāo)。不是簡(jiǎn)單的操作軟硬件，而是對(duì)一系列的操作發(fā)生的作用要有充分的理解。

再次，需要有較好的分析推理能力。安全解決方案提供了進(jìn)行分析的具體數(shù)據(jù)，而安管人員需要根據(jù)這些數(shù)據(jù)進(jìn)行推理演繹。比如網(wǎng)絡(luò)流量監(jiān)控中發(fā)現(xiàn)流量異常，比如登錄授權(quán)發(fā)現(xiàn)大量密碼嘗試登錄，比如日志中發(fā)現(xiàn)有異常操作等等。安管人員可以從入侵者或者泄密人員的角度進(jìn)行思考，并針對(duì)性的進(jìn)行防范。

最后，需要有較好的學(xué)習(xí)能力和自我提高意識(shí)。安全管理是一個(gè)很有挑戰(zhàn)的行業(yè)，它可以包括門衛(wèi)和網(wǎng)管，也涵蓋著首席安全官(CSO)和首席信息安全官(CISO) ，甚至可以說(shuō)中央情報(bào)局(CIA)也包含在內(nèi)。安管人員在做好本職工作的同時(shí)，需要不斷的學(xué)習(xí)，進(jìn)行針對(duì)性的訓(xùn)練，否則崗位失職帶來(lái)的損失難以估量。