方案3:管理服務部門

5。7展示了另一種方案，它在方案1和方案2的基礎上做了重大改進。它提出信息安全部門應向管理服務部門（也可稱為管理支持部門）匯報。這樣，也就是信息安全部門經理向管理服務部門經理或副總經理匯報。該方案假定信息安全部門在實質上是一個咨詢性部門（也稱為參謀部門），為機構員工提供服務，與人力資源部門極為相似。這是一個令人稱道的方案，因為在信息安全部門經理和

CEO之間只包括了一位中層管理者。這樣的解決方案也是很可取的，因為它認為在機構中隨處可見信息與信息系統，而且員工應該配合信息安全部門的工作。同時，這樣的方案也具有吸引力，因為它支持任何形式的（書面的、口頭的等）信息安全工作方法，而并非將信息安全孤立為僅僅是面向計算機和網絡的工作。

許多情況下，該方案的實施取決于誰擔任管理服務副主管，因為若副主管對信息系統技術不甚了解，這會妨礙他同CEO交換有關信息安全的意見。

該方案對于那些正在裁員的機構來說，也許是火上澆油，互聯網商(a“dot- com”firm)就是這樣。對于這些公司，該方案并未賦予信息安全應有的重要性，同時也未給予信息安全所需的戰略的和長期的重視。所以，若采用該方案，信息安全部門受到高層要求削減成本的壓力要比其采用方案4或5更多。然而，對于一 些信息并不是高度敏感的機構來說，比如連鎖餐館，該方案仍是令人滿意的值得推薦的。