方案7：內部審計部門一

雖然在現實中會看到信息安全部門向內部審計部門}[報，但這種匯報方案完全不可取，這就是并未給出方案7圖表的原因。該方案中，信息安全部門向內部審計部門匯報。察看內部審計部門的任務陳述就知道內部審計承擔著對其他部i 門工作的檢查，包括信息安全部門。如果信息安全部門向內部審計部門匯報，則會產生利益沖突。內部審計會夸大信息安全部門做出的良好工作以使自身的總體工作顯得較好。首席審計員會分配比實際需要更多的資源給信息安全部門，這會對機構其他部門造成不合理的安全負擔，由此造成的影響要很久才能平復。向內部審計部門匯報的不當之處還在于內部審計通常和其他部門間存在一種對立關系，而員工對這種關系的看法會無意地轉移到信息安全部門與其他部門的關系上。為了促進和諧的工作關系，應將信息安全部門視為咨詢部門，而非一種新的審計部門。內部審計部門主管也許缺乏對信息安全專業技術知識的了解，這可能會妨礙到CEO與信息安全部門主管的溝通。另一方面，向內部審計部門匯報的好處在于其部門主管具有一定的控制力，至少可以對信息安全部門的工作提供支持意見；另一個好處則是內部審計部門對高層管理者和董事會有巨大影響。我們在這里并非特意阻止信息安全部門同內部審計部門建立相互緊密的工作關系，這種良好的工作關系是成功的信息安全工作的機構的特征。

同EDP審計（或內部審計）之間無直接報告關系并不意味著同董事會審計委員會的虛線報告關系不適用。就像安全閥一樣，這種虛線關系是定期的匯報關系。信息安全部門可向審計委員會提供季度性的信息安全情況報告。如果委員會對報告不滿意，可以再詢問高層管理者的工作，同樣，如果高層管理也不接受信息安全部門的觀點，后者可以直接同審計委員會交流。雖然當前許多機構并不具備這樣的虛線匯報關系，但通過大量的工作，可以將這種關系建立起來。需要說明的是由于這種虛線匯報并不常見，因而在本章的6個圖表中特地將其省略了。