制定安全项目方案1：信息技术部门

方案1：信息技术部门

图5-5中，信息安全部门是向信息技术部门汇报的，这里的信息安全部门主管直接向首席信息官员( CIO)或者信息系统的副主管汇报。在本方案中，可以找到最普遍的汇报关系结构。各种各样的统计研究表明，50%以上的机构使用这种汇报关系。这个方案令人满意之处在于听取信息安全部门主管汇报的管理者通常对高层管理者有影响力，并且了解信息系统的技术问题。这个方案对机构也有利，因为在信息安全部门主管和首席执行官( CEO)之间，只有1个管理者。同时这个方案也是明智的，因为信息安全部门员工每天必须花很多时间和信息技术部门的员工们在一起，因此，这个方案是很实惠的。当然，这个方案也有缺陷，因为它包含了利益冲突，当面对资源分配的问题时，或要求修改一项与其他部门达成的协定时，CIO可能会歧视信息安全功能。其他阶段目标诸如生产成本最低化，用户友好性，新产品或新服务的上市时间等则可能会优先于信息安全。这个方案的其他缺点是它认为信息安全是一个严格的技术问题，很明显并不完全如此，虽然这种体制结构很普遍，但有更好的方案，所以并不特别推荐它。

注意图5-5中信息安全管理者并没有向计算机操作主管、信息系统主管、信息资源主管或一些其他管理者汇报，而轮流向信息系统CIO或副主管汇报，管理者这个附加的中层管理可以改变信息安全部门。CIO负责处理信息系统的业务用途，例如，使用这些系统来得到战略上的优势；同时，计算机操作主管负责处理计算机操作中的数据和相关技术问题。CIO远离技术，所以能更好地在安全目标及其他目标（如响应时间）中做出恰当的平衡。但是，在很多情况下，计算机操作主管会更喜欢响应时间、易用性以及其他技术目标而不是信息安全，因为这些是他能理解的并且可以衡量他能力的领域。一个附加的管理层也增加了这种可能性一一从信息安全部门发送给CEO的消息会越传越走样。不使用这种体系结构的其他原因则可以在方案8，服务平台的内容中找到。

　　在图5—5中，你应该注意到信息安全部门主管同信息安全管理委员会之间也有一个虚线表示的汇报关系。虽然我们强烈推荐这样做，但是在小型机构中，虚线和委员会都可以省略。拥有一个具有这种特性的委员会是一个不错的主意，因为它提供了一个可靠的基础，一个设置管理方向的中心，以及一个同机构其他部门交流的途径。这个委员会的任务声明可以在《Information Security Roles and Re- sponsibilities Made Easy》这本书中找到。无论信息安全部门I司哪个部门汇报，这个委员会都不会受到影H向，所以在所有的6个模型中，它都会出现。实际上，这个委员会同本章出现的所有方案都有关系，它的缺点是，某些行动需要花更多的时间来得到管理层的批准；但一旦获得批准，在机构中就可能会使用得更久更广泛。