当说到规章制度和行业遵从性的时候，中小型企业面临着与大企业承担一样的负担，但是人手和预算却少得多的挑战。满足这个挑战意味着中小型企业必须要同时考虑内部数据管理及安全策略，以及使用管理服务，分析师建议说。

　　“中小型企业在满足用于数据保护的规章制度需求方面，遇到了困难，因为他们没有处理规章制度的资源，” Khalid Kark说，他是位于麻省剑桥的福斯特研究机构的分析师。“在很多情况中，同样的人负责创建和实现数据保护策略。这就是那些制订规章制度的人员认为违反了职责分离的最大的问题。”

　　大多数的中小型企业都努力分配足够的资源来保护他们的资产，而不是向制订规章制度的人证明他们确实保护了他们的资产，Kark宣称。他建议中小型企业开发基于原则的安全计划，而不是基于遵从性，定义一个针对他们自己的保护框架，把所有的规章要求都反映到里面去。

　　“大多数人认为遵从是个一次性的任务，导致大量的复制和效率的低下，” Kark说。“规章制度是完全关于过程的——不是技术——还有，中小型企业需要确保在必要的地方对自动化拥有有效的处理过程和增加的处理。他们不应该寻求技术来帮助他们解决遵从性问题，而应该在处理过程中把它看作是一个使动因素。”

　　有时候，中小型企业面对规章制度——或者行业遵从性标准——时的困难，导致企业不能使用某些技术。例如，位于圣地亚哥的 St. Bernard 软件公司的Steve Yin说，公司在对IT经理们进行的一项调查中发现，外部即时消息是不允许的。他说，原因就是IT经理们认识到如果他们使用的话，他们就不得不从头开始归档和追踪等等。

　　“所以，宁可不用，他们也不要陷进去，” Yin说。“他们的压力与大企业的一样，然而他们却没有类似的资源来构建自己的基础设施来以与大企业同样的方式来解决问题。所以他们的选择就是要么大量投资，或者多半是不允许使用某些类型的通讯，很明显这并不理想。”

　　St. Bernard软件公司为中小型企业提供了管理服务，叫做LivePrism，除了可以通过隔离网络边界的恶意软件和其他威胁来提供安全之外，还提供了可靠的归档服务，帮助企业保存数据，并可在遵从性规章制度范围内获得数据，Yin说。

　　Gary Chen是波士顿扬基集团的分析师，他说供应商们没有在针对中小型企业的，能够帮助企业满足联邦和行业内有关保存和检索数据的规章制度需求的产品上做出大量努力。

　　“这是一个相当大的挑战，你需要具有与重量级企业一样的复杂度和特性，但是还要让它对实现、管理和使用来说足够简单，”Chen说。“管理服务正在定位于解决这样的一些问题上。”