導讀：作為中小企業的安全管理人員，如何來選擇合適的解決方案來完善企業內部安全問題，IT部門又需要哪些技能呢?本文對此進行解析。

中小企業以其經營方式靈活、組織成本低廉、轉移進退便捷等優勢更能適應當今瞬息萬變的市場和消費者追求個性化、潮流化的要求，因而在包括發達國家在內的世界各國的經濟發展中，中小企業都有著舉足輕重的地位，發揮著不可替代的作用。不同于企業雇員人數少、產權和經營權高度集中、產品服務種類單一、經營規模微小的微型企業，中小企業逐漸分化出具體的職能部門，人員結構日趨完善和復雜，關鍵技術和商業機密逐漸積累，隨著產品線逐漸豐富，經營規模不斷擴大，中小企業在向大型企業邁進。而不同于完全流程化、規范化、信息化的大型企業，中小企業中存在著各種各樣的安全漏洞，相比微型企業，也存在著較為明顯的信任危機。而這些安全漏洞和信任危機，就是中小企業中安全管理人員需要關注和改進的。

中小企業安全管理的崗位職責主要在于監控并及時發現安全隱患，并盡早采取有效措施。從企業安防到設備管理，從網絡管理到權限控制，從文件管理到離職善后，可以說安全隱患無處不在。所謂“道高一尺，魔高一丈”，如果不采取一套可信的安全管理解決方案，而是簡單的添加攝像頭、上鎖、設置密碼、內外網隔離等方式只是“防君子，不防小人”。

假設某中小企業已購置了這樣一套可信安全解決方案，那么對于安管人員，乃至整個公司是不是就可以高枕無憂了呢?答案是否定的。正如80/20定律中揭示的那樣，一套軟件或設備的功能往往只有其中的20%可以被有效利用，而被閑置和忽視的80%可能由于安管人員自身技能的不足或者重視程度不夠，給企業安全帶來了威脅。那么安管從業者一般需要哪些技能呢?

首先，需要較好的危機洞察力和意識。面對各種內外部威脅，無論是無心還是有意為之，安管人員需要及時發現潛在的威脅。根據破窗效應，如果不能第一時間對事態進行控制，那么大家將會采取無所謂的態度，聽之任之，直至一發不可收拾。

其次，需要有良好的信息化管理水平。即對這樣一套安全解決方案有整體的認識，對其流程和功能有較好的了解。一般方案提供商在實施后，會進行有效的培訓和服務，確保安管人員能夠達標。不是簡單的操作軟硬件，而是對一系列的操作發生的作用要有充分的理解。

再次，需要有較好的分析推理能力。安全解決方案提供了進行分析的具體數據，而安管人員需要根據這些數據進行推理演繹。比如網絡流量監控中發現流量異常，比如登錄授權發現大量密碼嘗試登錄，比如日志中發現有異常操作等等。安管人員可以從入侵者或者泄密人員的角度進行思考，并針對性的進行防范。

最后，需要有較好的學習能力和自我提高意識。安全管理是一個很有挑戰的行業，它可以包括門衛和網管，也涵蓋著首席安全官(CSO)和首席信息安全官(CISO) ，甚至可以說中央情報局(CIA)也包含在內。安管人員在做好本職工作的同時，需要不斷的學習，進行針對性的訓練，否則崗位失職帶來的損失難以估量。