结论二：安内重于攘外
赛门铁克公司技术经理曹如玮表示，一般企业安全范围的重点是在防范所谓的外部黑客攻击，但是超过一半的威胁恰恰来自企业内部，外部攻击仅占46%。
其中，企业内部的威胁中，50%的被调查企业表示是因为整个流程的文件处理不妥善;另外60%是员工不小心的错误。96%的内部安全威胁是来自于非蓄意的动机和错误;只有1%才是真正的恶意行为。由此看来，内部威胁之所以“为所欲为”，归根结底，还是员工安全意识薄弱。未来越来越重视用户信息安全管理。

结论三：头痛医头，缺乏全局眼光，应当注重信息安全管理
“企业安全管理过于分散也是不容忽视的问题。”Check Point 软件技术有限公司安全顾问吴航表示。虽然市场上不乏优良的安全技术，但其部署往往是“头痛医头，脚痛医脚”，彼此间不能妥善协作，这不但会造成资源浪费，还会在安全部署上留下漏洞。
由于缺乏全局眼光，大多数企业仍然专注于保护网络，或是提供端点解决方案来抵御威胁，而没有建立以信息为中心的安全策略。《信息周刊》安全调查表明，23.1%的CIO认为，所在企业的信息安全策略有待改进;还有21.4%的CIO认为，信息安全策略、标准的执行力不够，导致企业抵御威胁的能力下降。
普华永道会计师事务所系统与流程管理部合伙人傅毓敏建议，在战略及管理流程方面，企业应该制定整体信息安全战略、业务持续及灾难恢复战略和计划、配置架构的标准和流程以及致力于知识产权和信息保护的政策和流程，并执行定期的穿透测试、威胁和弱点评估及风险评估。

结论四：首席信息安全官的设立可以视企业的规模等具体程度情况来定，可以专职与兼职，安全策略都需要企业管理层的积极参与，并从安全管理者的角度来制定和推行整个策略。
从《信息周刊》的调查来看，目前，只有13.9%的企业设立了这一职位。在28.2%的企业里，IT部门负责人兼任首席安全官;有27.8%的企业，由安全管理员担负该职责。IBM李明表示，首席信息安全官的设立可以视企业的规模、信息化推进的程度等具体程度情况来定，但不论是设立专职，还是兼职而为，安全策略都需要企业管理层的积极参与，并从安全管理者的角度来制定和推行整个策略。

从上面四个结论来看，都离不开信息安全管理。