Вашими устами да мед пить.
Весь вопрос упирается в финансирование IT области компании ну и политику руководство, как вы наверное знаете, риски очень любят недооценивать, и различные эксцессы воспринимать как исключительно разовые проблемы.
Допустим, для банковского сектора норма это внутренняя независимая служба аудита ИТ для постоянного мониторинга и самооценки состояния инфраструктуры, и периодический внешний аудит. Хотя это не то чтобы простой отдел, держать его внутри или использовать внешний аудит - совершенно разные плюсы и минусы.
Для среднего бизнеса вполне подойдет периодический внешний аудит.
Для мелкого.. это все равно что переводить маленькую багетную мастерскую системы "лавочка" со штатом 5 человек на ISO 9000, конечно можно, но зачем? Масштаб не тот, чтобы оценить плюсы. Мелкие инноваторства в производстве куда важнее.
Если вернуться к непосредственному предмету обсуждения, а именно государственным образовательным учреждениям, то масштаб мне не очень понятен. Если проводить параллели, то отдельная школа, лицей или небольшой ВУЗ или колледж в плане развития IT инфраструктуры ближе к организациям уровня малого бизнеса, финансирование, обычно гораздо меньше. Хотя размер штата, аналогичного среднему школьному соответствует если не крупной, то точно средней компании. Количественный размер ИТ инфраструктуры - тоже.
С другой стороны, формально, каждое государственное образовательное учреждение находится под вертикальным управлением департамента, который, в свою очередь, находится под министерством. В итоге получается колоссальная по количеству людей структура. В чем-то эта вертикаль проявляет себя хорошо, в чем-то, особенно касающемся информатизации, все спускаемое сверху - это бумаги из разряда взять и подтереться или не глядя расписаться со перлами в духе "надлежит использовать вычислительную технику в соответствии с этическими нормами". Информационная безопасность и вовсе никоим образом не регламентирована - косой десяток рекомендательных абзацев в общей концепции информатизации, содержательно они ни о чем.
Подавляющая часть финансирования у нас идет сверху. И оттуда с большим трудом доходят средства даже на первоочередные задачи. Та область, которая нигде в явном виде не регламентирована, под финансирование попасть не может, и тем более ее мониторинг. Вот и приходится отталкиваться от уровня "дешево и на коленке", надеясь на что-то лучшее в дальнейшем.
Различные взыскания с сотрудников очень редко преследуют своей целью сопоставимую компенсацию ущерба, ну если речь идет не идет о порче материальной базы, а о более эфемерных вещах.
В нашем детско-образовательном заведении две недели назад провели обязательную учащихся вакцинацию от гриппа. В начале прошлой недели заболевших было 10%, в конце в районе 75% учащихся. Учителей и сотрудников почти не прививали, процент заболевших сильно ниже, около тех же 10%.
Да, 400 человек, состоящих из двух разновозрастных выборок различающихся по размеру - это не очень показательно, слабый детский иммунитет и все такое, однако все получили приблизительно одинаковую степень риска и вот такие вот результаты. Я лично не прививался, несерьезно почихал два дня, сейчас все ок.
Думайте сами.