方案5：策略與計劃部門

在圖5—9中，你會發(fā)現(xiàn)另一個現(xiàn)實中仍然存在的體制架構(gòu)。在該架構(gòu)中，信息安全部門向策略和計劃部門匯報。也就是信息安全部門主管直接向策略和計劃副主管匯報。該方案視信息安全功能為機(jī)構(gòu)成功的關(guān)鍵。網(wǎng)絡(luò)貿(mào)易公司(.com 型的公司)或信用卡公司適合該方案，因為它們都在很大程度上依賴于信息安全功能的成敗。該方案所以令人滿意是因為它僅在信息安全部門經(jīng)理和CEO間包括了一位中層管理者。這種方案比本章開頭所提及的方案減少了一步措施，即高級信息安全副主管直接向CEO匯報。

方案5的令人滿意之處還在于它強調(diào)將整個機(jī)構(gòu)信息安全需求（策略、標(biāo)準(zhǔn)、 程序等）文檔化的必要性。類似方案3和q，這樣的匯報結(jié)構(gòu)也承認(rèn)信息安全工作的跨部門性和跨學(xué)科性，比如風(fēng)險分析和事故調(diào)查。該方案同時也使得信息安全部門可以與那些現(xiàn)實中持“面向具體情況”觀點的人合作（他們通常提出類似“假設(shè)……應(yīng)該……”的問題）。該方案另一個令人滿意的地方是指出信息安全是極其重要的管理和人力的問題，而不僅僅是一個技術(shù)問題。