信息安全從技術角度來看，有5條基本原則，從管理角度來看也有5條基本原則。

　　技術角度的5條準則：

強密碼

操作系統打補丁

第三方應用打補丁

應用白名單

加密

技術的事就交給極客去做吧，但在決定公司應該承擔什么風險上，還是需要加入點管理技巧的。這些風險可能包括：

超出預算

生產力下降

數據泄露

不敢冒風險

不作為

你是冒險者嗎？為驅動公司前進，敢冒多大風險？很大的風險？拉斯維加斯級別的風險？

公司就是由風險和回報組成的，這不是什么秘密。作為處于游戲頂層的高管，我們知道如果不承擔風險也就沒有回報，風險是必需品。

風險變數很多，所以我們有風險經理，有商業情報軟件，有行業白名單，有顧問，當然，還有我們的直覺、動力和野心。我們能做的最好的事，就是盡可能多地找出牽涉到的風險，將它們都研究透，然后基于風險回報率做出決策，奮力一搏。

再把前美國國防部長唐納德·拉姆斯菲爾德的那段名言搬出來：

“

有已知的已知，我們知道自己知道。有已知的未知，我們知道自己不知道。還有未知的未知，我們不知道自己不知道。

IT風險是公司整個風險組成的其中一部分。在很多企業里，IT相關風險被認為是操作風險，比如新巴塞爾資本協定中的金融行業就是這樣。然而，即使是戰略風險也有可能包含有IT成分，尤其是在IT作為新開拓業務的關鍵促成要素的情況下。

　　IT適用領域

信用風險也是如此，糟糕的IT安全可能導致信用評級降低、信譽喪失、合同終止、罰款或訴訟(管制產業)。因此，最好不要依賴其他類型的風險評級來描述IT風險。與IT風險類似，信息安全和隱私風險也不應該被看做“僅IT相關”的問題。

信息安全從業者傾向于處理更復雜的問題。他們會試圖向管理層講述跨站(XSS)、高級持續性威脅(APT)、用戶數據報協議(UDP)、傳輸控制協議(TCP)，或者其他什么聽起來高大上的東西，但起到的通常是反效果。基本上，只是在暴露自己對業務或者業務運營方式的無知而已。

信息安全投入只有在最終結果是形成業務增長、提高工作效率、獲得更多利潤的情況下才有意義。利潤、獎金、福利、工資、最后結果……如果這些都不考慮，那你要么是慈善機構，要么是政府部門。

拿著剪刀奔跑

無論起伏升跌，腳步不能慢，決策必須做。投資電子郵件系統不是為了封鎖病毒或垃圾郵件，而是因為要用它進一步推進我們的使命任務，增加與客戶的溝通，提高公司的效率。

高管的首要任務，在于幫助自家價值7億的公司壯大成價值10億的。我們不得不拿著剪刀奔跑，而且還得把它們磨得更鋒利。

太多失敗的安全項目讓公司資金打了水漂，且絲毫起不到保護公司資產或客戶隱私的效果。某些案例中，這些項目實際上還妨礙了公司是目標。具體參考煩人的美國運輸安全管理局(TSA)。

TSA的使命是“保護國家運輸系統，確保人民行動自如，商業流通自由”。(最近乘坐過航班的人就知道，空港的行動自如是怎么會事兒了)當然，再沒有什么坐輪椅上患脊柱裂的3歲小女孩威脅運輸系統安全了。她在經受過空港的“行動自如”體驗后早被嚇得不敢再乘飛機了。大多數IT安全項目都沒抓住重點，盡在需要‘使能’的時候‘阻止’。

信息安全需要給公司注入真正的價值，表現出恰當運營的安全和隱私團隊可以降低開支，增加客戶和用戶滿意度，驅動盈利。信息安全從業者應謹記深深刻印在我們腦海里，或者至少常駐屏保中的6條金融術語：底線、毛利率、固定和可變成本、凈值和負債、杠桿、資本支出。

信息安全不是火箭科學，不影響業務的情況下降低風險挺難。花在安全和隱私上的錢就是無底洞。我們需要做的，是綜合考量安全和隱私決策上愿意冒的風險，以及該怎樣最佳化利用預算。使用心理恐怖戰術(FUD)來證明安全支出花得值只有3個月的有效期，或者只管用到你終于認識到地獄般的悲慘預測根本沒降臨。

花出去的第一塊錢有98%的效果，第二塊錢有97%，依次遞減。塔吉特實際上在不過分投入IT安全上，做出了正確的商業決策。是的，它的CIO和CTO確實被解雇了，但塔吉特的股價從2013年11月數據泄露時的每股60美元，上升到了去年7月的每股83美元，現在也還穩定在70美元每股的價位上。

他們做出了錯誤的安全決策，但商業決策卻是正確的。這也就是我們需要CEO和CFO的地方。只要外面理解了商業重點，“協調好IT和業務”，我們就能合作安排好安全預算。

與IT或信息安全的正確合作姿勢：成立一個委員會，總監級或更高級別，具備影響公司高層策略的能量。業務部門應主導該委員會的議程，每季度開例會，商討信息安全問題。當然，供委員會發揮作用的預算是必備的，超出部分必須經由高管層的允許。數次會議之后，信息安全這匹野馬也就能被馴服了。你會發現，IT風險在做出的決策下會變得更加溫和。

注：火箭科學，在經濟學領域是指由專業信息技術人員為管理人員提供投資決策支持的活動，決策支持的細節來自于數學模型的計算結果。