方案5:策略与计划部门
在图5—9中,你会发现另一个现实中仍然存在的体制架构。在该架构中,信息安全部门向策略和计划部门汇报。也就是信息安全部门主管直接向策略和计划副主管汇报。该方案视信息安全功能为机构成功的关键。网络贸易公司(.com 型的公司)或信用卡公司适合该方案,因为它们都在很大程度上依赖于信息安全功能的成败。该方案所以令人满意是因为它仅在信息安全部门经理和CEO间包括了一位中层管理者。这种方案比本章开头所提及的方案减少了一步措施,即高级信息安全副主管直接向CEO汇报。
方案5的令人满意之处还在于它强调将整个机构信息安全需求(策略、标准、 程序等)文档化的必要性。类似方案3和q,这样的汇报结构也承认信息安全工作的跨部门性和跨学科性,比如风险分析和事故调查。该方案同时也使得信息安全部门可以与那些现实中持“面向具体情况”观点的人合作(他们通常提出类似“假设……应该……”的问题)。该方案另一个令人满意的地方是指出信息安全是极其重要的管理和人力的问题,而不仅仅是一个技术问题。