设置一个信息安全部门
虽然有很多有效的模型来设置机构中的信息安全部门,但是在大型机构中, 这个部门通常设置于信息技术部门内部,并由CISO或CIO来领导。这种结构意味着CISO和CIO的总体目标(goals)和阶段目标(objectives)是紧密联系的。实际情况并不总是这样,信息安全项目的本质决定它有时会跟信息技术部门的总体目
标和阶段目标不一致。一方面,作为机构的技术主管,CIO也管理机构信息在处理上的效率,任何限制信息访问或减慢信息处理的问题都会直接同CIO的职责相抵触;另一方面,CISO发挥的作用更像一个内部审计员,他和信息安全部门一起检查已有的系统,去发现技术、软件以及其他有关的信息安全错误和缺点,有时候,这些活动可能会损害对机构信息的处理和访问。因为CIO和CISO的计划目标和阶段目标可能会发生冲突,所以,我们不难理解为什么要把信息安全从rr中划分出来。
很多决策人都想IT和信息安全分开来,lMeta Group在2002年的一个调查表明,虽然只有3%咨询公司的顾客把信息安全部门安置在IT部门之外,但是顾客们都把它视为一个有远见的机构应该采用的方法。一篇名为“Where the Chief Se- curity Officer Belongs”的文章也许更简洁地表明了这一点:“做的人和看的人不应该向同一个管理者汇报。”
为信息安全项目设计一个汇报机制,该机制要能平衡每一个利益团体互相竞争的需求,这是一个挑战。很多时候,执行信息安全项目的单位以一种反映其安全状况的方法,硬生生的插足到机构的计划中,因此它可能被随便搁置到机构的各个地方,而没有人注意到在它的存在。聪明的机构会为信息安全项目找到一个位置,使它可以平衡教育、培训、安全意识提升以及客户服务等方方面面的需要, 这个方法能帮助构造机构文化中信息安全的部分。
有很多方法可以安排机构中的信息安全项目。在Charles Cresson Wood的《Information Security Roles and Responsibilities Made Easy》-书中,他搜集了很多行业小组信息安全项目的安排方法。该书包括了“汇报关系( Reporting Relation- ship)”,经过作者许可,这里做一个简要的介绍。
这个区域包括了在信息安全部门中通常允许的和频繁遇到的汇报关系,探究了l2个方案的正反面并推荐了6种汇报关系。因为在机构的层次结构中,信息安全部门可以安排在很多地方,所以必须检查每一个方案的正反面,考虑在机构中什么是最重要的,然后总结成一个备忘录,之后,可能会趋向于其中一个汇报关系,这样才能明确地简化信息安全部门的汇报关系。