一般情況下，信息安全預(yù)算的規(guī)模要與機(jī)構(gòu)的規(guī)模相稱。盡管業(yè)界對于信息安全預(yù)算的規(guī)模和安全人員的數(shù)量并不存在一定的標(biāo)準(zhǔn)，但仍然可以通過統(tǒng)計(jì)得到行業(yè)的平均數(shù)。行業(yè)平均數(shù)變化的范圍很大，有的根據(jù)每單位收入的信息安全預(yù)算來表示，有的卻根據(jù)機(jī)構(gòu)總?cè)藬?shù)中信息安全人員的百分比來表示，或者表示為每單位IT預(yù)算的信息安全預(yù)算比。在實(shí)際情況中確定行業(yè)平均數(shù)也許是一個(gè)難題，但事實(shí)上，除開行業(yè)平均數(shù)，特殊的管理對人員因素產(chǎn)生了最大的影響（無論這一影響是好還是壞）。一般說來，為安全項(xiàng)目所安排的人員相對于他們所承擔(dān)的任務(wù)總是顯得人手不足。高層管理人員必須堅(jiān)持不懈地制定策略、計(jì)劃和培訓(xùn)方案，讓管理人員及其下屬專注于他們的職責(zé)。詳情參見后面附加材料（OffLINE），“規(guī)模與安全”一文。

當(dāng)機(jī)構(gòu)的規(guī)模增大，它們的安全部門將無法滿足越來越復(fù)雜的信息系統(tǒng)的需求。隨著機(jī)構(gòu)的壯大，每人或每臺(tái)機(jī)器的安全花費(fèi)成指數(shù)下降，結(jié)果是開始實(shí)施有效的安全項(xiàng)目時(shí)會(huì)遇到更多的經(jīng)費(fèi)制約。

政治策略、經(jīng)濟(jì)狀況和預(yù)算預(yù)測是上層管理者玩弄的花樣。在現(xiàn)今的環(huán)境下，大多數(shù)機(jī)構(gòu)的信息安全項(xiàng)目沒有得到足夠的支持。然而，情況也許在改變，因?yàn)楫?dāng)前的政治環(huán)境和許多見諸報(bào)端的信息安全事件正迅速改變傳統(tǒng)的管理文化思想，使得人們認(rèn)為信息安全是機(jī)構(gòu)管理工作中的一個(gè)關(guān)鍵。

另一個(gè)重要因素是用于信息安全的實(shí)際資源和開支預(yù)算。該預(yù)算包括辦公室、計(jì)算機(jī)實(shí)驗(yàn)室、測試設(shè)備以及普通的信息安全花費(fèi)預(yù)算。因?yàn)樾畔踩藛T主要負(fù)責(zé)安全計(jì)劃、安全策略、安全結(jié)構(gòu)、安全設(shè)計(jì)以及其他的大量項(xiàng)目等秘密信息，所以應(yīng)當(dāng)抱著負(fù)責(zé)任的態(tài)度向他們提供所需資源。

組織一個(gè)信息安全項(xiàng)目對管理提出了挑戰(zhàn)。盡管機(jī)構(gòu)的規(guī)模對信息安全項(xiàng)目有影響，但每個(gè)機(jī)構(gòu)都應(yīng)具有一些基本的安全功能（funclion），因此，這些功能應(yīng)當(dāng)被包括進(jìn)預(yù)算分配中。表5一l概括了一個(gè)成功的信息安全項(xiàng)目的功能。這些功能并不一定要在信息安全部門實(shí)施，但必須在機(jī)構(gòu)內(nèi)某處實(shí)施。