天灾，也叫“不可抗力”的灾难，通常指水火无情的自然灾害。在IT信息方面，企业经常会面临着另一种“天灾人祸”，那就是IT信息安全。因此，如今你若问CIO最关心的问题是什么时，绝大多数会不约而同地说：“当然是IT信息安全了！”。因为企业IT信息安全问题，不仅牵系着企业用户业务能否正常运行，而且还直接影响到企业效能和核心竞争力的发挥。

　　IT信息安全性问题之所以让企业头疼，是因为指望通过一劳永逸地解决所有安全问题是不可能的。因为不论是病毒、数据丢失，还是垃圾邮件等安全性问题，都经常造成企业损失。所以，CIO必须要时时提高警惕，强化IT信息安全以减少企业出现安全性问题的机率。我们的建议是：提高IT信息安全意识是根本立足点。那么，CIO应该制定什么措施来强化安全意识呢？

　　总结多年的IT信息安全实践，笔者认为提高IT信息安全意识，第一个措施就是明确CIO和IT部门各岗位的安全职责。因为CIO重要责任之一就是保障本公司IT信息的安全、完整与可用性。这项工作不能外包出去，也责无旁贷。所以，在职责上要清晰明确CIO的安全职责，使到CIO在职业角度上提高IT安全意识。例如，在职责上明确规定CIO和IT部门负责安全协调，确保影响IT信息安全的职能是集成在业务流程过程中而不是独立的任务。CIO只要检测到IT信息安全违反行为，就要收集、分析与调查事件；同时应要进行评估IT信息全受到危及或有受到危及之嫌的每一个事件，并把IT信息安全的质量、健全性和可靠性通知和报告高层管理人员。此外，CIO还应该指导IT系统开发人员，确保IT信息安全成为IT系统设计不可或缺的一部分。

　　一般来说，保障IT信息安全有两个支柱：一个是技术、一个是管理。但是在许多时候，我们日常提及IT信息安全时，多是在技术相关的领域，例如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术、CA认证技术等。单纯依靠技术和安全产品保障企业信息安全虽然起到了一定效果，但是复杂多变的安全威胁和隐患单靠IT安全产品和技术是难以消除。正如“木桶原理”所示，你的能力是由你最弱的那个环节决定的。我们在保护IT信息安全时，也应该从上述二个方面全面考量，而不能只偏重其中的某一个部分。许多企业花大成本买最好的防火墙，但IT信息安全事件还是时有发生，这是因为没有任何一套安全产品能在缺乏管理策略之下能发挥作用。

　　因此，对于企业来说IT信息信息安全不仅仅是一个技术问题，也是一个管理问题。保障IT信息安全和提高安全意识，第二个重要的措施是规范IT安全管理行为。简单的说，CIO必须要为IT信息安全建立一套监督与使用的规范管理程序，并且彻底实行。就是从制度化的角度上提高安全意识。具体方法可从管理和技术两个角度结合起来推进IT信息安全工作。“抓管理还是上技术”这个二选一的问题上最终应该定格为“三分技术、七分管理”。

　　面对不断袭来的IT信息安全威胁，除了强化IT安全技术和管理制度以外，我们还应该做些什么呢？根据笔者多年的IT信息安全实践经验，最重要的是：要避免管理短视，提高安全意识！而且，笔者认为管理短视也正是目前IT信息安全上最大的隐忧。短视，可能是很多CIO最不愿意承认的，但却总是会造成致命打击。例如，非常常见和令人费解的是众多企业宁可花大把的钱购买服务器、交换机、防火墙，却很少愿意去加强企业IT信息的管理安全策略。归根结底这是因为很多企业没有主动安全意识，同时也缺乏安全方面良好的管理机制。因此，保证IT信息安全的第三个措施是要避免管理短视，提高全体成员的安全意识。这也是最为关键和核心的一步。

　　简单的说，明确IT信息岗位责任只是企业信息安全的第一步，要想在安全体系中有效的、彻底的执行和贯彻安全制度，不断深化全员的安全意识才是关键所在。光依靠IT技术是不能完全解决安全问题的，因为过了一段时间，一些先进的技术可能就过时了。所以CIO不但自己要提高安全意识，还要不断推进企业全体成员的IT信息安全意识建设。因为保障IT信息安全的根本立足点，不是对设备的保护，也不是对数据的看守，而是规范企业员工的IT信息行为，这也是上升到对人的管理的措施。例如，通过安全教育和规章制度的结合来指导、规范员工正确使用IT信息资源，以不断提高全体成员的安全意识。

　　最后，定期进行IT信息安全检讨会议也是一个提高安全意识的重要措施。在明确了IT信息安全目标之后，CIO应当就IT信息安全问题定期地举行检讨会议。一旦在安全检讨会议上发现到现有的业务运作存在IT信息安全问题，或评估以往安全措施的执行情况存在问题时，CIO就需要设立一个解决IT信息安全的时间表和指导框架。每月进行IT安全检讨听上去好像很频繁和很繁琐，但是CIO从中所获得的回报是在当月接下来的日子中可以确保公司IT信息安全，以确保公司业务能正常运作，更重要的是可以保障公司业务运营的连续性。