无时不在的网络安全威胁 CIO应对策略(4)

现在网络安全可以说是关系到企业命运的大事，不管愿意不愿意CIO其中的一个职责就是要保证网络安全。如果公司的信息系统脆弱不堪，CIO必须对此负责。那么，CIO应该制定什么措施来履行这个职责呢?

(1)明确岗位职责，保障网络安全

CIO重要责任之一是保障本公司网络的安全、完整与可用性。这项工作不能外包出去，也责无旁贷，因此要在岗位职能上明确规定。CIO要有特许权，只要检测到网络安全违反行为，就要收集、分析与调查事件。例如职责上明确规定负责安全协调，确保影响网络安全的职能是集成在业务流程过程中而不是独立的任务。同时要进行评估网络安全受到危及或有受到危及之嫌的每一个事件，并把网络安全的质量、健全性和可靠性通知和报告高层管理人员。此外，CIO还应该指导开发人员，确保网络安全成为IT系统设计不可或缺的一部分。

(2)力争在网络安全投入足够预算

CIO要力争并确保足够资金投资于IT系统的安全项目。密切关注公司要为网络安全划拨一定金额的预算，以承担安全成本，例如防病毒软件、防火墙服务器、加密软件、入侵检测系统、集中安全管理等成本。

公司高层主管有时会认为CIO对网络安全过于大惊小怪。但CIO要清醒认识到："至关重要的计算机设施出现安全问题造成严重损害的故障只是个时间问题。对于网络安全，生于忧患，死于安乐的意识并不是传说中的事情，担忧有人对公司的网络构成危害的心态，并非总是基于想象中的恐惧。如果你想到有竞争对手希望你公司遭到危害，那么谨小慎微对生存而言也许绝对必要。

(3)定期进行网络安全检讨会议

在明确了网络安全目标之后，CIO应当就网络安全问题定期地举行检讨会议。一旦安全会议检查到现有的业务运作存在网络安全问题，或评估以往安全措施的执行情况存在问题时，CIO就需要设立一个解决网络安全的时间框架。每月进行安全讨论听上去好像很多，尤其当公司各安全团队是散布在不同的地区，但是CIO从中所获得的回报是在当月接下来的日子中可以确保公司网络安全，以确保公司业务能处理日常工作。