在成功的结构中,汇报部门在管理层中占有很重要的地位。对信息安全部门主管或CISO来说,直接向顶层管理者汇报是一个明智的选择,因为这有助于增加高层管理者的客观性和发现问题的能力,及发现什么对整个机构最有利,而不是什么对某一个部门(比如信息技术部门)最有利。让一个高层决策者来管理信息安全部门会更容易获得管理者的注意,作为回报,信息安全部门可能更能得到所需的预算和员工资源。一个直接向高层管理汇报的信息安全部门也更容易让别人服从一定的技术规范,例如一个实施某种加密技术的标准说明。
在一些成功的机构中,管理上处于较高地位意味着信息安全部门主管是一个直接向首席执行官( CEO)汇报的高级副主管,在信息安全领域有较大的发展之前或者退而求其次,暂时有一个直接向CEO汇报的信息安全主管也是可以的。这个暂时的汇报结构体系清楚地体现了信息安全的重要性,说明了它值得受到顶层管理者的关注。
虽然如此,对大、中规模机构来说,最普遍的汇报体系是在信息安全部门主管和CEO之间还隔有几个层次。一般来说,管理的中间层越少,信息安全工作就越具有战略重要性。缩短CEO和信息安全主管之间的距离是很重要的。
如果机构是第一次建立信息安全部门,或者有一个重要的部门正在进行重组,就需要考虑哪一个中级管理者能成为向CEO传送信息的最佳人选。另外还需要:
*对新主张敞开胸怀
*对顶层管理者的影响力
*站在大多数员工的角度去考虑
*鼓励和熟悉基本的信息安全概念
*乐意接受那些从发展的观点来看真正代表着机构利益的事物。
理想的中层管理者应当直接向CEO汇报,或者是尽可能地在机构中位于高层。管理者也同样需要同信息安全部门有一个可靠的日常关系。例如,风险和保障管理部门会有这样一个联系,而通常情况下工业生产装配线部门就不会有。虽然有很多候选项,但通常选择执行副主管(Executive Vice President Administrative Services)、法律部门主管(首席法律总裁)以及首席信息官(CIO)来担此重任。
这部分涉及到6个用图形表示的模型,分别为方案一到方案六。按照顺序, 对这6种汇报关系进行探讨,然后讨论其他6个不常见的方案。这6个模型逐一 对6种汇报系统做了探讨。因为这些方案是建立在现实的经验上,可以相信这6 个初始方案中的任何一个都可以在机构中有效地工作,这些模型也为从事具体实践提供了有益的参考。