１）現実的には、セキュリティ管理をどの程度のレベルまで確保すべきか？ 　については、レベルってのがわかりません。 　セキュリティに関しては、足りないことはあってもやり過ぎって事はありません。完璧を目指すべきです。99%大丈夫って思っても、1%の甘さがあれば、そこから彼らは入って来ます。 ２）セキュリティ管理をアウトソーシングする場合、幾ら位でどの程度までのサービスを期待すべきでしょうか？ 　これも同じで、完璧にやってもらいましょう。サービスを提供する方としては、完璧を目指しているのですから...ね。しかし、この場合でもサービスの方で穴があっては同じ事ですので、やはりサービスには完璧を求めましょう。後は金額的な折り合いをどこで付けるのか...になると思います。 　サービス的には、いろいろあって、全て引っくるめてやってもらうと金額も高くなりますので、監視だけお願いするとか、監視と対応をお願いするとか、いろいろオプションがあると思いますので、それはサービスに聞いてみるのがベストですね。 >やはり守ろうとするデータとの兼ね合いを取るのが重要だと思います。 　これはちょっと違うかもしれません。確かにデータは大事です。盗まれる事も考慮する必要はありますが、盗まれるよりも改竄される方が恐いと思いませんか？ 　それに、それよりも恐いのは、会社の信用問題に発展しますよね？　サーバがハックされて、データが改竄されたとか、ホームページのトップページが改竄されたとか、クラック達の遊び場にされたとか...そんな情報が流れた大変ですよね？　そうならない為にも、やはりセキュリティは完全を目指すべきです。 　金額との折り合いの話になるのですが、もし外に出すのだとしたら、自社でやる場合の事を考えると良いと思います。自社で、一人の人が、サーバの管理者を行うとしたら、その人にかかる月の費用(給与＋経費)が必要です。しかし、それを外に委託すれば、その費用程度までならOKとするのが良いと思います。私なら、その人の1.5倍まではOKと考えます(理由：外に委託する事で、その人物が他の仕事を行って利益を上げる可能性がある為、それでも会社としたら、プラスですよね)。