中小企業(yè)以其經(jīng)營方式靈活、組織成本低廉、轉(zhuǎn)移進退便捷等優(yōu)勢更能適應(yīng)當今瞬息萬變的市場和消費者追求個性化、潮流化的要求，因而在包括發(fā)達國家在內(nèi)的世界各國的經(jīng)濟發(fā)展中，中小企業(yè)都有著舉足輕重的地位，發(fā)揮著不可替代的作用。不同于企業(yè)雇員人數(shù)少、產(chǎn)權(quán)和經(jīng)營權(quán)高度集中、產(chǎn)品服務(wù)種類單一、經(jīng)營規(guī)模微小的微型企業(yè)，中小企業(yè)逐漸分化出具體的職能部門，人員結(jié)構(gòu)日趨完善和復雜，關(guān)鍵技術(shù)和商業(yè)機密逐漸積累，隨著產(chǎn)品線逐漸豐富，經(jīng)營規(guī)模不斷擴大，中小企業(yè)在向大型企業(yè)邁進。而不同于完全流程化、規(guī)范化、信息化的大型企業(yè)，中小企業(yè)中存在著各種各樣的安全漏洞，相比微型企業(yè)，也存在著較為明顯的信任危機。而這些安全漏洞和信任危機，就是中小企業(yè)中安全管理人員需要關(guān)注和改進的。

[[131926]]

中小企業(yè)安全管理的崗位職責主要在于監(jiān)控并及時發(fā)現(xiàn)安全隱患，并盡早采取有效措施。從企業(yè)安防到設(shè)備管理，從網(wǎng)絡(luò)管理到權(quán)限控制，從文件管理到離職善后，可以說安全隱患無處不在。所謂“道高一尺，魔高一丈”，如果不采取一套可信的安全管理解決方案，而是簡單的添加攝像頭、上鎖、設(shè)置密碼、內(nèi)外網(wǎng)隔離等方式只是“防君子，不防小人”。

假設(shè)某中小企業(yè)已購置了這樣一套可信安全解決方案，那么對于安管人員，乃至整個公司是不是就可以高枕無憂了呢?答案是否定的。正如80/20定律中揭示的那樣，一套軟件或設(shè)備的功能往往只有其中的20%可以被有效利用，而被閑置和忽視的80%可能由于安管人員自身技能的不足或者重視程度不夠，給企業(yè)安全帶來了威脅。那么安管從業(yè)者一般需要哪些技能呢?

首先，需要較好的危機洞察力和意識。面對各種內(nèi)外部威脅，無論是無心還是有意為之，安管人員需要及時發(fā)現(xiàn)潛在的威脅。根據(jù)破窗效應(yīng)，如果不能第一時間對事態(tài)進行控制，那么大家將會采取無所謂的態(tài)度，聽之任之，直至一發(fā)不可收拾。

其次，需要有良好的信息化管理水平。即對這樣一套安全解決方案有整體的認識，對其流程和功能有較好的了解。一般方案提供商在實施后，會進行有效的培訓和服務(wù)，確保安管人員能夠達標。不是簡單的操作軟硬件，而是對一系列的操作發(fā)生的作用要有充分的理解。

再次，需要有較好的分析推理能力。安全解決方案提供了進行分析的具體數(shù)據(jù)，而安管人員需要根據(jù)這些數(shù)據(jù)進行推理演繹。比如網(wǎng)絡(luò)流量監(jiān)控中發(fā)現(xiàn)流量異常，比如登錄授權(quán)發(fā)現(xiàn)大量密碼嘗試登錄，比如日志中發(fā)現(xiàn)有異常操作等等。安管人員可以從入侵者或者泄密人員的角度進行思考，并針對性的進行防范。

最后，需要有較好的學習能力和自我提高意識。安全管理是一個很有挑戰(zhàn)的行業(yè)，它可以包括門衛(wèi)和網(wǎng)管，也涵蓋著首席安全官(CSO)和首席信息安全官(CISO) ，甚至可以說中央情報局(CIA)也包含在內(nèi)。安管人員在做好本職工作的同時，需要不斷的學習，進行針對性的訓練，否則崗位失職帶來的損失難以估量。