安全是经久不衰的话题，但对安全的关注点却在不断变化。现在，企业不可避免地与网络频繁接触，很久以前还可以偶尔犯些的安全错误，但今天必须保证系统100%正常运行。如同一位银行CIO所说的，“现在客户对于银行业务中断的容忍度几乎趋近于零”，这就要求系统有极高的风险管控性。10月24日，中美CIO峰会安全论坛就“风险管控及业务连续性”的主题展开讨论。
　　
　　香港铁路有限公司CIO赖锡璋先生将公司业务涉及的IT风险，根据发生的频率和可能性分为5个等级，不同的项目做出IT矢量表，针对不同的级别实施不同的应对策略。他认为，风险管理要具有前瞻性，考虑到失败的后果和风险的影响，积极采取行动，才能将风险的影响降到最低。
　　
　　而上海期货交易所CIO李大鹏则很重视风险保障级别的判定。他认为，作为CIO要问自己这样几个问题：要实现什么样的安全目标?有什么安全需求?你要保护企业信息的成本有多高？安全重点是什么？他特别强调级别的判定重点是确定核心保障系统，以确定保证的重点。可以看出建立信息系统安全等级保护制度，将迅速提高信息系统安全保护的整体水平，而管理贯穿其中，是实施安全等级保护的保证。因此，李大鹏所在的技术管理部门也分技术部、技术委员会、业务保障三部分，所有方案必须经技术委员会通过，并审查方案的正确性和资源调配的合理性。
　　
　　从风险、安全、IT的整体角度讲，技术现在越来越成为业务的基础。李大鹏认为，从业务角度审视IT风险管理时，IT设计应该采用以客户为导向的框架。作为IT人员，首先必须是业务专家，要了解业务流程和业务流程的规范化，若是不了解，就变成被动应对，而不是主动防御。他认为，除非是纯粹的供应商工程师，否则作为应用领域的IT人员不了解业务是不称职的。因为，IT技术人员有了对业务的了解、对流程的理解，才能做出能符合业务需求的系统。

　　
　　若做期货交易系统的不懂期货，那这个系统本身就会出现风险。以上海期货交易所来说，从技术角度讲，中国最大的优点是交易所起步虽然晚，但是起点非常高。尽管现在业务跟技术是完全分开的部门，但是从交易所发展趋势来讲，业务部门要开发一项新业务，不是像以前一样扔给IT去技术实现，而是要征询技术部门，这个想法能不能实现。美标公司副总裁兼CIOJohnDohm认为，企业现在面临的多是分布式安全问题，也就是说系统面临多种用户人群，他们有多种的计算机设备，通过多种认证方法，涉及到多种加密方法，而每一个系统都有自己的安全问题和解决方法。分布式安全包括完整性、保密性（保护信息不对未授权的人公开）和连续性（保证信息的可获得性）三个方面。
　　
　　JohnD认为市场上的解决方案只能解决一些具体的问题，如路径检测防火墙，是不会提供最严格有效的安全防护的，因为很多安全问题是那些有访问权的人造成的。同时，有效的防护可能需要如甲骨文、微软、SAP等几方面的合作，一方面解决不了所有问题。John提出，要进行有效的风险防范首先要了解自己企业的业务、业务政策和策略，然后分析面临的风险，会使用哪些业务策略管理风险或者将风险减弱的方法。他告诫同行说：在IT业中70%的项目都有问题，无论事先论证得多么充分，安全问题就更不用说了，多次失败是正常的，我们要做的是提高成功率。在技术上的投入，决策者是不会理解的。在实施项目时先了解自己的流程、了解业务的影响和风险，项目的价值多少，让每个成员都了解项目投入的价值，了解公司的某个员工或某个软件是否起到积极的作用。尽管这些是与管理相关的，与技术的联系并不大，但如果不分析角色，安全就无从谈起。
　　
　　无独有偶，从IT治理的角度来控制风险。五六年前国外咨询公司分析北京奥运会得出：技术风险是奥运会的主要风险。北京奥组委技术部通过对每个项目引入了第三方测试规避风险。而李大鹏则是非常关注同行之间的经验，从其他公司的教训中反思自己。