除了CIO主管IT战略规划和创新之外，公司或组织还应该有另一个重要的角色即CISO在安全领域发力。CISO顾名思义就是我们通常所说的首席信息安全官。在这个万物互联的时代，世界已经把小说《世界是平的》的假想变成了活生生的现实。那么为何世界是平的？答曰：互联网把这个世界拉平了。比如在工业企业本来原先井水不犯河水的工业管控网络与支持企业业务办公的互联网，如今由于业务融合的需要也已经做到互联互通。这无疑给黑客和恶意代码（病毒、木马和蠕虫）提供了全新的舞台和肆虐的空间。

    当下的这个时代，黑客虽然远在天边，弹指间其影响力确近在咫尺。我国上到政府下到企事业单位乃至个人无时无刻都感到这种网络威胁的存在。网络安全需要立法，这已经迫在眉睫，故而我国于2017年发布了《网络安全法》。做到有法可依，国家乃至企业可以针对网络的侵害行为做到通过法律的手段来争取正当的申诉和维权。

另外国家标准/T20274《信息系统安全保障评估框架》也提出安全保障的目标范畴，该目标包括信息系统整体安全保障、管理安全保障、技术安全保障和工程安全保障等。这些需要报障的范畴无疑给企业的CISO提供了很好的工作方向指引。目前较成熟的信息系统整体安全保障架构首推舍伍德商业应用安全架构（Sherwood Applied Business Security Architecture,SABSA），该架构可以理解为是安全领域的企业架构。管理安全保障一般包括信息安全管理和业务连续性管理，这两个方面正好是IT服务管理最佳实践ITIL的两个具体实践。技术安全保障包括信息安全支撑技术（比如密码学和访问控制模型等）、物理与网络通信安全（比如网络的OSI模型、典型网络攻击及防范）、计算环境安全（比如恶意代码防护和Web应用安全）和软件开发安全（比如威胁建模和基于软件开发全生命周期的安全管理）。工程安全保障（比如霍尔三维结构和系统安全工程能力成熟度模型SSE-CMM）。以上需要保障的内容正是目前国家信息安全测评中心对安全管理专家测评考试的内容，即CISP的考试范畴。

通过如上论述我们可以很深刻的认识到国家和企业针对安全管理所需要做的功课还有很多，CISO在企业中不仅仅只是一个给IT或业务找茬或提毛病的角色，其更应该站在安全战略的高度为企业或组织逐步建立全面而完备的安全保障体系。