CIO平时除了关心信息化管理对于企业所产生的价值之外，就是关注企业信息化的安全问题。纵观企业现在所面临的安全局势，外面病毒、木马不断，内部来自员工的威胁又不能够彻底消除。所以，若利用十面埋伏，来形容CIO所面对的安全方面的调整，并不为过。那么CIO该如何突破这个十面埋伏的局势，做好信息化安全的工作呢？笔者认为，应该从安全审计工作着手。

　　信息化安全审计，就是CIO对企业的信息化管理环境进行测试、评估、分析的一个过程。一个比较系统的安全审计过程，可以发现企业信息化管理过程中所存在的一些安全漏洞；从而为CIO督促相关技术人员改善安全措施提供数据上的支持。

　　不过安全设计是一个比较系统的工作。若要这里展开的话，可能可以说个个把月。由于篇幅的限制，笔者这了就不过多展开。笔者就结合自己安全审计方面的工作经验，谈谈CIO在信息化安全审计时，该从哪些方面入手。

　　为了提高企业的信息化管理水平，那么如何提高文件的共享程度是一个不能够绕开的话题。为此，针对文件共享的文件服务器解决方案也随之诞生。可是，随着文件的高度共享所带来的问题，就是安全。文件被随意修改、被恶意复制、不小心删除、成为病毒木马传播的载体等等，这些安全问题一直困扰着CIO的心。所以，笔者在进行安全审计时，就从文件共享安全开始着手。为此，笔者就已文件共享服务器为例，谈谈信息化安全审计的主要内容。

　　审计安全策略是否实效。

　　为了保障文件服务器的安全，我们往往会配置一些安全策略。但是，这些安全策略到底有没有在起作用呢？如果安全策略没有生效，那么安全策略制定的最好，也只是被束之高阁，起不到实际作用。笔者在安全审计工作中，发现有些安全策略会不明原因的处以失效状态。这可能的原因有很多。如可能是管理员为了进行维护，先临时停用了安全策略，后来又忘记重新启用所导致的。也有可能是一些非法入侵者，为了入侵的方面，就关闭了安全策略。等等。

　　在安全设计的过程中，笔者就会去查看文件服务器管理平台，看看现在文件服务器中安全策略有哪些；有那些启用了；以及存在哪些违反安全策略的行为。通过这些信息，可以大致了解文件服务器当前存在的一些安全问题。如笔者在审计的过程中，最常见的问题就是一些密码策略问题。如为了提高文件服务器的安全性，网络管理员设置了一个密码策略，当用户连续三次输入密码错误时，这个用户的帐号就会给锁定。可是，根据网络管理员反映，有不少的用户老是会密码输入错误。要么是大小写的问题，要么就是键盘不熟悉而输入错误。很容易超过三次，用户名就被锁定了。每次要网络管理员进行解锁，非常的麻烦。为此，索性他们就把这个密码策略给禁止了。这虽然可以减少一定的工作量，但是，却给文件服务器带来安全隐患。因为如果用户密码设置的比较简单的话，则通过字典工具可以轻易破除文件服务器的密码。

　　在实际工作中，有不少类似的自作聪明的技术人员。为此，在对一些网络设备，包括文件服务器、路由器等设备进行安全审计时，一定要注意是否存在着一些失效的策略。如果存在，则CIO需要弄清楚为何会失效。是这个策略的内容过时了呢，还是技术人员为了工作方便而忽视了安全，把策略设置为失效呢。若是前者，则CIO需要重新更新安全策略的内容；若是后者的话，则就需要给相关的责任人进行处罚。在生产过程中，安全无小事。其实在信息化管理中，安全也无小事。