网络行为的根本立足点，不是对设备的保护，也不是对数据的看守，而是规范企业员工网络行为，这已经上升到了对人的管理的阶段，通过技术设备和规章制度的结合来指导、规范员工正确使用单位的网络资源。

网络安全的根本政策，一定要包含内部的安全管理规范。许多企业花大成本买最好的防火墙，黑客或是熟悉该企业网络环境的离职员工，还是有办法绕过从墙外进来，这是因为没有一套软件可以在没有网络安全管理策略之下发挥作用。防火墙、防毒墙都是提供服务的工具之一，人，才是网络安全最大的关键。CIO必须为网络安全建立一套监督与使用的管理程序，并且彻底实行。　

(3)安全意识最重要

面对不断袭来的安全威胁，除了购买安全产品以外，我们还应该做些什么呢?这里需要指出："安全意识最重要!"。

安全设施的建立只是企业信息安全的第一步，如何在安全体系中有效彻底的贯彻安全制度，以及不断深化全员安全意识才是关键所在。光依靠技术不能完全解决安全问题，因为过了一段时间，一些先进的技术可能就过时了，所以CIO应该有安全意识，重视自己企业的安全措施。加强安全意识的培训，首先要集团的领导认识到网络安全问题，另外也要对技术人员加强培训，统一认识。

这些安全措施包括，培养员工的安全意识，养成良好的上网习惯，比如及时打好系统补丁、不要浏览不良网站、不随意下载安装来历不明的软件等等;对相关的技术管理人员进行技能培训，对于重要数据一定要做好数据备份，否则会导致灾难性的后果。