联想作为一家拥有强大安全文化的公司，在国际上也享有盛誉。联想从创立始，安全就是整个组织生命周期的组成部分。道格·费希尔是联想的首席安全官，他表示建立企业安全文化从经理及以上高管开始。为了实现真正的变革，CSO应该直接向首席执行官汇报，并在会议席上占有一席之地。为此，费希尔直接向首席执行官杨元庆汇报工作。

“我对董事会的审计委员会负责。这会更有效地推动信息传递。我在执行人员和董事会的关系中占有一席之地，这样我就可以教育董事会，帮助他们成为推动安全议程的倡导者。”费希尔补充道。

建立企业安全文化的另一个关键因素是培训。只要一名员工点击钓鱼电子邮件中的错误链接，黑客就可以访问网络并发起毁灭性攻击，所以，必须对每一个适当岗位的角色进行安全培训。

费舍尔认为，每个人都必须接受安全培训，这必须是当务之急。他表示，他不会向未接受培训的人发送电子邮件。目前，联想已经培训了近100%的员工，包括上下游供应商。每一个人都了解其在组织安全架构中的角色，因为每个人都在承担网络安全风险。

访问公司IT资源也应该是一项建立企业安全文化的重要工作。在当下，远程办公和线下办公场景并存，员工权限并不统一，因此，员工应该处于公司防火墙之外工作。CSO应该对每一位员工的防毒软件或系统进行审查。例如更新其笔记本电脑的操作系统，CSO应设置一个截止日期，每个人必须在该截止日期之前采用最新版本，否则将无法访问网络。

此外，CSO必须实施有关网络连接的零信任政策。由于互联网连接是普通设备的常见功能，除非事先获得授权，否则任何东西都不应连接到网络。

最后，企业要对供应商建立一个可信、安全的供应链。每个供应商都应接受审计，以确保其达到适当的安全级别。例如，在联想，所有智能组件供应商和物流供应商都经过审查，所有产品都采用防篡改包装。

当然，联想在为整个组织注入安全性方面，已经成为其他供应商的榜样。但费舍尔并没有止步于此。他总是在寻求改进的空间，特别是在安全方面。费希尔表示，安全是联想最大的优势之一。“全球各地的人们都知道联想是一家提供业务安全的公司。我们通过一种强大的安全文化，以一致、安全的方式开发和部署产品和服务，进一步验证这一点。”费希尔说道。