职责分离的补充控制

在实践过程中，许多小型企业可能会发现职责的分离很难实现。例如，一家小型企业可能仅有能力聘用一到两位具有专业信息安全技术能力的员工。在这种情况下，为了保障内部系统持续稳定地运行，这家企业是很难避免授权一名员工从头至尾包办某一项运维活动的。

此时，组织可以考虑采用其他的控制措施来减轻潜在的风险和可能招致的损失。比如，企业可以采取“双人原则”作为对职责分离的互补，要求任何有潜在重大影响的行动必须在有两个授权人员同时在场的时候才能够进行。又比如，组织可以要求对超级权限的所有操作和活动进行记录，并审计这些操作和活动是否有异常，以确保员工不会滥用其权限。当然，这要求组织至少要实现审计方面的职责分离。

即便困难，企业仍应尽可能且切实可行地尝试去实践职责分离这一原则，小型企业尤其如此，因为它们比大中型企业更难以承受由此带来的风险。