方案4：保險和風險管理部門

圖5-8展示了信息安全部門如何向保險和風險管理部門匯報。在該方案中，

　　信息安全部門經理將向首席風險管理官(CRM)或保險管理副主管匯報。這個方案之所以令人滿意是因為它鼓勵一體化的風險管理觀點。這種觀點是從一個集中的角度對機構所有風險區分優先級別并進行比較。這種思想的運用特別包含了對潛在損失程度和所有職能部門損失可能性的評估，包括信息安全、物理安全、 法律、內部審計、客戶關系、會計以及財務等。其目的是把握全局并能在上述部門間分配資源，同時也把相關的風險管理工作分配給了它們。即使所提出的機構結構并不能反映它，我們仍極力提倡風險管理要有全局觀點，因為信息安全通常帶來的風險會非常嚴重，應該引起更多的關注。除提出整體化的風險管理之外，該方案之所以令人滿意，還因為它僅在信息安全部門經理和CEO間有一位中層管理者。

CRM模式也可面向預防風險，立足長遠觀點，并能讓CEO -起參與有關風險承受（無行動）、風險緩解（加入控制）以及風險轉移（購買保險）的思想討論。 CRM也可能對未來持樂觀態度并反映多種不同可能性的情形，包括信息安全的情形，如拒絕服務攻擊。但CRM通常并不熟悉信息系統技術，所以可能需要信息安全部門經理對其進行特別培訓，以便能同CEO -起做出重要的決定。該方案的一 個缺點是過分強調戰略層面，而信息安全的可操作性和管理方面（例1如人們更換工作時更改權限）可能不會得到CRM對它們應有的重視。但總的來說，這是一個令人滿意的方案而且值得向信息集中的機構，如銀行、證券經紀業、電話公司以及研究機構推薦。