【IT168 评论】当涉及到合规时，中小企业似乎有些举步维艰，与大型企业一样，中小企业也面对着难以实现的监管要求。事实上，根据他们所在的行业、提供的服务，以及他们处理和存储的数据类型，中小企业与大型企业有着同样多的监管与合规考虑。

　　然而，不像大型企业，中小企业通常没有预算来聘请合规专责人员或者培养专门的合规专业人员，这意味着，他们与大型企业的合规性要求相同，但应对能力却远远不及大型企业。

　　这使得中小企业处于窘境之中：他们如何利用有限的资源来解决合规问题，而不需要从关键任务中挤出资源呢?

　　这是一个两难的局面：如果他们转移资源到合规活动，这可能会对他们的竞争力产生负面影响，但如果他们不解决合规问题的话，他们的竞争力也会受到影响。幸运的是，中小企业可以采取一些策略和措施来缓解这个问题，实现“一石二鸟”的效果。

　　首先，很多人对中小企业领域的的合规存在误解，他们认为中小企业并不需要重视合规问题。这是一个错误的观念，事实正好相反。合规问题很少与企业的规模挂钩，法律规定中可能会有一两条规定了企业应该怎样部署策略来解决风险(其中可能涉及企业规模)，但即使是这样，法规要求并没有不同。只要法规对IT有影响，通常都会与数据有关。

　　例如，在健康保险流通与责任法案(HIPAA)中，适用性的因素是法律是否适用，企业是否保护了医疗信息;而在支付卡行业数据安全标准(PCI DSS)中，重点是企业是否处理了持卡人信息;对于国家安全泄露法规，决定因素是是否暴露了个人身份信息。

　　在所有这些情况下，重点是信息应该如何受到保护，而不是保护信息的企业的规模、结果或者其他特性。中小企业应该从遭遇过数据泄露事故的企业吸取经验教训，或者借鉴大型企业的合规做法。

　　例如，中小企业可以利用免费的低成本资源来帮助选择和部署控制以满足合规，以及在最有价值的地方部署控制，同时，获得关于部署的技术指导。

　　但这并不是说中小企业可以完全借助别人的帮助，而不需要付出任何努力。相反地，中小企业将需要花大量时间来阅读文档，了解其适用性，以及规划如何战略性地利用这些策略。在实现真正的价值之前，企业有许多工作需要做。

　　那么，在这种情况下，哪些资源适合于中小企业呢?从完整性来看，没有什么可以比得上美国国家标准与技术研究所的800系列专门文件。这些文件是免费提供的，并且涵盖各种规模的组织(有些政府机构只有不到100名员工)，中小企业只需要花时间来阅读这些文件就能够获得额外的技术指导。

　　其中特别有用的是SP 800-53，它包含为保护联邦信息系统设计的控制路线图。为什么这会对私营中小企业有所帮助呢?因为这些控制与中小企业领域的监管要求相匹配，这可以映射到中小企业。通过直接映射(例如，映射HIPAA或PCI DSS等行业标准映射到SP 800-53的控制中)或间接映射(通过中介层，例如ISO/IEC 27002:2005)，中小企业可以获得部署特定控制的全面的技术指导。