现在信息安全可以说是关系到企业命运的大事，不管CIO愿意不愿意，他的一个重要职责就是要确保信息安全。如果企业的信息安全系统脆弱不堪，CIO必须对此负责。那么，CIO应该制定什么措施来避免泄密事件发生。

保障信息安全有两个支柱，一个是技术、一个是管理。而我们日常提及信息安全时，多是在技术相关的领域。但正如“木桶原理”所示，安全系数是由最弱的那个环节决定的。因此，CIO在保护信息安全时，也应该从上述二个方面全面考量，而不能只偏重其中的某一个部分。

(1)管理短视是信息安全最大隐忧

管理短视，可能是很多CIO最不愿意承认，却总是会造成致命打击。例如，病毒可能会一下子让企业处于瘫痪状态，造成的直接经济损失大得惊人。可令人费解的是，众多企业宁可花大把的钱购买服务器、交换机、防火墙，却很少愿意去加强企业信息管理的安全措施。归根结底，还是因为很多企业没有养成主动维护信息安全的习惯。同时，也缺乏安全方面良好的管理机制。保证信息安全的第一步，首先要做到的就是重视信息安全管理，不要“坐以待毙”。对于一个企业来说，信息安全不仅仅是一个技术问题，也是一个管理问题。

(2)建立规范化信息安全制度

信息安全管理的根本立足点，不只是对设备的保护，也不只是对数据的看守，而是规范企业员工的行为，这是上升到对人的管理。安全设备的建立只是企业信息安全的第一步，如何在信息安全体系中有效贯彻安全制度，以及不断深化全员信息安全意识才是关键所在。光依靠技术不能完全解决信息安全问题，因为过了一段时间，一些先进的技术可能就过时了。

因此，应该要通过技术设备和规章制度结合起来的方式，指导和规范员工正确使用IT资源。所以，CIO需要建立规范化的信息安全管理制度和安全措施。这些安全措施包括培养员工的安全意识，养成良好的上网习惯，及时升级系统补丁，不要浏览不良网站，不随意下载安装来历不明的软件等。

(3)力争在信息安全投入足够预算

CIO要力争并确保足够资金投资于信息安全项目，尽力让公司为信息安全划拨一定金额的预算，以承担安全建设。例如防病毒软件、防火墙服务器、加密软件、入侵检测系统、集中安全管理等成本。

有时，公司高层主管会认为CIO对信息安全过于大惊小怪。但CIO要清醒认识到：影响企业生存的信息出现安全问题，或造成严重损害只是个时间问题。对于信息安全来说，生于忧患，死于安乐的意识并不是传说中的事情。担忧有人对公司的信息构成危害的心态，并非总是出于想象中的恐惧。

(4)定期进行信息安全检测

在明确了信息安全目标之后，CIO应当就信息安全问题定期进行检测。一旦安全检查到现有的运作存在信息安全问题，或评估以往安全措施的执行情况存在问题时，CIO就需要立即把解决信息安全的时间计划提上议事日程。

(5)建立信息备份恢复

不管企业愿意不愿意，信息资产总有机会遭受到攻击和损坏。因此，为了保证业务的连续性和安全性，为信息安全配备一套备份与灾难恢复系统就非常有必要。当一旦发生信息安全故障，可以利用灾难恢复系统实现快速恢复，使企业迅速回归正常运营。

总而言之，任何事物都有它的两面性。正确、恰当地使用IT信息能为企业带来飞速的发展，但由于系统缺陷、人为误操作、恶意攻击等不可预料的各种风险也同样使得企业信息面临着巨大的灾难。因此，企业应通过建立冗余机制、灾备机制、详尽的信息安全策略等各种手段来降低企业的信息安全风险。