方案2:安全部门
另一个方案也有推荐的必要,它包括信息安全部门要向负责机构整体安全的部门做出汇报。信息安全部门具有主要的保护功能,因此它能与物理安全部门、 人事安全与保障部门平起平坐。当这种机构设计奏效时,有时候会发现信息安全部门会被称为信息保护部门。如图5—6所示,这种方法是令人满意的,因为它使信息安全部门与其他相应的安全职责部门的交流变得更容易。这样做不但有助于事故调查,而且有助于找到解决问题的实际办法,例如手提电脑失窃事件(涉及到物理安全和信息安全的结合)。这个方案的另一个令人满意之处在于,它为信息安全活动警钟长鸣,而这会降低信息安全的总成本。
但是,这样的机制仍存在一些问题。虽然信息安全与物理安全起先看起来有哲学上的共同点,但二者间却有着一种重要的文化差异。比如,信息安全人员认为自己是高科技员工,而负责物理安全的人员则认为自己是司法人员。这种文化差异可能会使一些信息安全专家感到受后者管束很不舒服,而这些负责物理安全的专家通常都是安全部门主管。此外,大多数公司、物理安全部门最近几年的预算增长较小,但信息安全部门的预算却在快速增加,现在将这两个部门联合起来归属一个安全部门,从而增加了部门之间资源分配的困扰,更为尴尬的是,因为安全部门主管通常不能对信息系统技术做出正确评价,从而造成他们在与高层管理者沟通时的困难。同时,这样的方案也是低效率的,因为它在信息安全部门经理和CEO的交流渠道当中,包括进了两名中层管理者,信息安全部门只好委婉地表明他们是保护机构资产的新型警察。但是这样的观点又使得信息安全部门与其他部门闾建立协商关系变得更加困难,因为谁也不愿意被多个警察部门监管。总而言之,该方案勉强可以接受,但它并不像其他图表中描述的方案那样合乎需要。