方案1：信息技術部門

圖5-5中，信息安全部門是向信息技術部門匯報的，這里的信息安全部門主管直接向首席信息官員( CIO)或者信息系統的副主管匯報。在本方案中，可以找到最普遍的匯報關系結構。各種各樣的統計研究表明，50%以上的機構使用這種匯報關系。這個方案令人滿意之處在于聽取信息安全部門主管匯報的管理者通常對高層管理者有影響力，并且了解信息系統的技術問題。這個方案對機構也有利，因為在信息安全部門主管和首席執行官( CEO)之間，只有1個管理者。同時這個方案也是明智的，因為信息安全部門員工每天必須花很多時間和信息技術部門的員工們在一起，因此，這個方案是很實惠的。當然，這個方案也有缺陷，因為它包含了利益沖突，當面對資源分配的問題時，或要求修改一項與其他部門達成的協定時，CIO可能會歧視信息安全功能。其他階段目標諸如生產成本最低化，用戶友好性，新產品或新服務的上市時間等則可能會優先于信息安全。這個方案的其他缺點是它認為信息安全是一個嚴格的技術問題，很明顯并不完全如此，雖然這種體制結構很普遍，但有更好的方案，所以并不特別推薦它。

注意圖5-5中信息安全管理者并沒有向計算機操作主管、信息系統主管、信息資源主管或一些其他管理者匯報，而輪流向信息系統CIO或副主管匯報，管理者這個附加的中層管理可以改變信息安全部門。CIO負責處理信息系統的業務用途，例如，使用這些系統來得到戰略上的優勢；同時，計算機操作主管負責處理計算機操作中的數據和相關技術問題。CIO遠離技術，所以能更好地在安全目標及其他目標（如響應時間）中做出恰當的平衡。但是，在很多情況下，計算機操作主管會更喜歡響應時間、易用性以及其他技術目標而不是信息安全，因為這些是他能理解的并且可以衡量他能力的領域。一個附加的管理層也增加了這種可能性一一從信息安全部門發送給CEO的消息會越傳越走樣。不使用這種體系結構的其他原因則可以在方案8，服務平臺的內容中找到。

　　在圖5—5中，你應該注意到信息安全部門主管同信息安全管理委員會之間也有一個虛線表示的匯報關系。雖然我們強烈推薦這樣做，但是在小型機構中，虛線和委員會都可以省略。擁有一個具有這種特性的委員會是一個不錯的主意，因為它提供了一個可靠的基礎，一個設置管理方向的中心，以及一個同機構其他部門交流的途徑。這個委員會的任務聲明可以在《Information Security Roles and Re- sponsibilities Made Easy》這本書中找到。無論信息安全部門I司哪個部門匯報，這個委員會都不會受到影H向，所以在所有的6個模型中，它都會出現。實際上，這個委員會同本章出現的所有方案都有關系，它的缺點是，某些行動需要花更多的時間來得到管理層的批準；但一旦獲得批準，在機構中就可能會使用得更久更廣泛。