大部分安全风险管理产品是1～3分，只有少数是4分、5分。这是因为风险很难评估，也很难确立行之有效的方法，也正因为如此，CIO很难做出决定。CIO会非常清楚服务器、应用或是网络的情况，但他们无法用同样的方法来衡量安全方面的状况，这也导致他们很难进行有效的管理。
　　
　　我听说你的博士论文就是有关安全风险管理方面的，那时候和现在比变化有多大？能否给我们讲一讲安全风险控制技术和理念方面的历史演变？
　　
　　在我写论文的时候，还没有风险控制流程，没有规章制度和现在这些法律，也没有这么多安全隐患和违规事件，所以在安全控制和法规遵从方面已经变化了很多。我写的论文是关于应该如何衡量潜在的安全风险，我相信尽管环境已经变化，但这些内容今天仍然重要，因为你必须要了解对风险环境的评估和方法。
　　
　　在法规遵从方面有了非常显著的变化，我要强调的是安全和法规遵从并不是一回事。遵从法规的不一定是安全的，安全的东西未必是合规的。法规遵从是确保人们符合规章制度，而安全则是有关风险的问题，它们是完全不同的两个概念。在我的论文里，我讲的更多的是法规遵从，而不是安全风险控制。法规遵从的内涵和外延发生了深刻的变化，但在安全方面所面临的挑战一如当年。
　　
　　你认为安全风险管理产品和技术的发展趋势是什么？
　　
　　安全风险管理技术趋向于更多人经验的总结，一个人只有精通不同的安全领域，才能对安全风险环境进行评估。在风险管理方面，我们看到出现了符合法规遵从的一些工具，来帮助企业进行风险管理和法规遵从。同样，还有一些集成了安全管理功能的工具，能够实时地确定风险。我们还看到在安全风险评估方面出现了一些很有意义的术语，来帮助CIO和CSO更好地理解风险。
　　
　　由于McAfee是一家安全供应商，这是否意味着你作为CSO的工作会比其他企业的同行轻松许多，因为会少很多沟通障碍。
　　
　　学会使用业务的语言，我认为这对于CSO或CIO的成功至关重要。安全不仅是CSO或CIO的事，同时也是企业的决策。你应该让业务部门来做出安全方面的决定，方法是告诉业务部门安全风险是什么、采取什么方法或花多少钱可以减少风险。如果你想和业务部门合作，你就必须说业务部门使用的语言；很长一段时间以来，安全风险都是以技术术语来诠释的。许多安全风险管理者尝试给业务部门做培训，让他们懂得技术和安全管理的专有名词。
　　
　　业务部门的确想了解他们面临的风险，但消除风险需要花费多少，这才是业务部门最感兴趣的信息。如果你真的想和业务部门沟通，你就必须提供与安全相关的所有信息，即使是安全厂商也是一样。我们的业务部门也想要卖出产品，想要留住顾客，这点和其他公司相比并没有什么不同。如果想要成为成功的CIO或CSO，你就必须学会用业务部门使用的语言来讲述IT系统带给业务的价值。