保障IT信息安全 CIO应提高安全意识(2)

因此，对于企业来说IT信息信息安全不仅仅是一个技术问题，也是一个管理问题。保障IT信息安全和提高安全意识，第二个重要的措施是规范IT安全管理行为。简单的说，CIO必须要为IT信息安全建立一套监督与使用的规范管理程序，并且彻底实行。就是从制度化的角度上提高安全意识。具体方法可从管理和技术两个角度结合起来推进IT信息安全工作。“抓管理还是上技术”这个二选一的问题上最终应该定格为“三分技术、七分管理”。

面对不断袭来的IT信息安全威胁，除了强化IT安全技术和管理制度以外，我们还应该做些什么呢？根据笔者多年的IT信息安全实践经验，最重要的是：要避免管理短视，提高安全意识！而且，笔者认为管理短视也正是目前IT信息安全上最大的隐忧。短视，可能是很多CIO最不愿意承认的，但却总是会造成致命打击。例如，非常常见和令人费解的是众多企业宁可花大把的钱购买服务器、交换机、防火墙，却很少愿意去加强企业IT信息的管理安全策略。归根结底这是因为很多企业没有主动安全意识，同时也缺乏安全方面良好的管理机制。因此，保证IT信息安全的第三个措施是要避免管理短视，提高全体成员的安全意识。这也是最为关键和核心的一步。

简单的说，明确IT信息岗位责任只是企业信息安全的第一步，要想在安全体系中有效的、彻底的执行和贯彻安全制度，不断深化全员的安全意识才是关键所在。光依靠IT技术是不能完全解决安全问题的，因为过了一段时间，一些先进的技术可能就过时了。所以CIO不但自己要提高安全意识，还要不断推进企业全体成员的IT信息安全意识建设。因为保障IT信息安全的根本立足点，不是对设备的保护，也不是对数据的看守，而是规范企业员工的IT信息行为，这也是上升到对人的管理的措施。例如，通过安全教育和规章制度的结合来指导、规范员工正确使用IT信息资源，以不断提高全体成员的安全意识。

最后，定期进行IT信息安全检讨会议也是一个提高安全意识的重要措施。在明确了IT信息安全目标之后，CIO应当就IT信息安全问题定期地举行检讨会议。一旦在安全检讨会议上发现到现有的业务运作存在IT信息安全问题，或评估以往安全措施的执行情况存在问题时，CIO就需要设立一个解决IT信息安全的时间表和指导框架。每月进行IT安全检讨听上去好像很频繁和很繁琐，但是CIO从中所获得的回报是在当月接下来的日子中可以确保公司IT信息安全，以确保公司业务能正常运作，更重要的是可以保障公司业务运营的连续性。