我相信每一個人都會喊資訊安全是最重要的, 但在有限的資源下, 能夠做甚麼分配呢?

若是把 IT 的 Function 切分成: 使用者看不到的資訊安全, 使用者碰得到的介面的效率, 使用者感受得到的功能, 這三個區塊, 若是設定: 金融, 製造, 媒體, EC, 公司形象/活動, 與 Web 2.0 網站這種產業, 來看這幾種產業的人會如何分配:
當然若是要做好的話, 每一項假設須要 10 人, 而每一個產業的人力都不一樣:

金融 (16人): 資安 9, 介面 4, 功能 3
製造 (14人): 資安 5, 介面 6, 功能 3
媒體 (12人): 資安 2, 介面 6, 功能 4
EC (10人): 資安 4, 介面 4, 功能 2
網站 (8人): 資安 1, 介面 2, 功能 5
形象 (6人): 資安 0, 介面 2, 功能 3

當然若手上有 30 人的話, 每一項都能夠分配 30 個人的資源, 這當然是很不錯, 有時因為隨著經營的改變有梗多的須求, 事實上要求的是沒那麼單, 因為有時還牽涉到 IT 依賴度, 當然這邊指的倒不是真的只有 14 人或 12 人, 而是種比例與注重程度的狀況, 例如 EC 理論上說不定要 120 人才把事情做好, 但事實上只有 40 人那樣, 而製造業只須要 15 人但事實上也是只有給 7 人, .....

所以有時應該給的是比例:

金融 (70%): 資安 -5%, 介面 -10%, 功能 -15%
製造 (80%): 資安 -5%, 介面 -5%, 功能 -10%
媒體 (60%): 資安 -15%, 介面 -5%, 功能 -20%
EC (50%): 資安 -25%, 介面 -10%, 功能 -15%
網站 (40%): 資安 -40%, 介面 -15%, 功能 -5%
形象 (60%): 資安 -10%, 介面 -10%, 功能 -20%

上面的意思是網站與EC在資安是最缺的, 介面最容易不夠的是新創網站, 但功能常常不足的形象與媒體類.

只是把所有事情都劃分成人力的話, 這觀點犯得錯比人月神話還嚴重, 但事實上只是要說的是:

1. 台灣公司因為規模的關係, 往往人力負荷趕不上須求
2. 每一個產業對資安, 功能, 以及使用者觀點的急迫度都不一樣
3. 上面寫的可能往往只會更糟, 不會更好

但事實上無論是給 CEO 要他寫出對這 3 點的要求, 他當然是每一項都希望做到滿分, 但人力與資源(時間)往往只給你一半, 而 CIO (IT 人員) 只能酌量減分了.