制定安全项目方案4：保险和风险管理部门

方案4：保险和风险管理部门

图5-8展示了信息安全部门如何向保险和风险管理部门汇报。在该方案中，

　　信息安全部门经理将向首席风险管理官(CRM)或保险管理副主管汇报。这个方案之所以令人满意是因为它鼓励一体化的风险管理观点。这种观点是从一个集中的角度对机构所有风险区分优先级别并进行比较。这种思想的运用特别包含了对潜在损失程度和所有职能部门损失可能性的评估，包括信息安全、物理安全、 法律、内部审计、客户关系、会计以及财务等。其目的是把握全局并能在上述部门间分配资源，同时也把相关的风险管理工作分配给了它们。即使所提出的机构结构并不能反映它，我们仍极力提倡风险管理要有全局观点，因为信息安全通常带来的风险会非常严重，应该引起更多的关注。除提出整体化的风险管理之外，该方案之所以令人满意，还因为它仅在信息安全部门经理和CEO间有一位中层管理者。

CRM模式也可面向预防风险，立足长远观点，并能让CEO -起参与有关风险承受（无行动）、风险缓解（加入控制）以及风险转移（购买保险）的思想讨论。 CRM也可能对未来持乐观态度并反映多种不同可能性的情形，包括信息安全的情形，如拒绝服务攻击。但CRM通常并不熟悉信息系统技术，所以可能需要信息安全部门经理对其进行特别培训，以便能同CEO -起做出重要的决定。该方案的一 个缺点是过分强调战略层面，而信息安全的可操作性和管理方面（例1如人们更换工作时更改权限）可能不会得到CRM对它们应有的重视。但总的来说，这是一个令人满意的方案而且值得向信息集中的机构，如银行、证券经纪业、电话公司以及研究机构推荐。