首先安全管理员不是系统管理员,不能只能维护层面的东西,更不能由事件来驱动,而是按着自己的架构逐步实施。

防毒、终端管理、审计、补丁、策略……这些在领导看来都是维护层面的东西,

安全不能只做维护层面的事情,只在具体的点上解决安全问题,效果是不好。逐步建立起风险管理的文化,构建好IT控制框架和体系,与业务层面和管理层面尽可能结合,让安全渗透到企业的方方面面,这样慢慢用户会感觉所有风险都在控制之下,安全人员重要性也会体现。