方案3:管理服務(wù)部門(mén)

5。7展示了另一種方案，它在方案1和方案2的基礎(chǔ)上做了重大改進(jìn)。它提出信息安全部門(mén)應(yīng)向管理服務(wù)部門(mén)（也可稱(chēng)為管理支持部門(mén)）匯報(bào)。這樣，也就是信息安全部門(mén)經(jīng)理向管理服務(wù)部門(mén)經(jīng)理或副總經(jīng)理匯報(bào)。該方案假定信息安全部門(mén)在實(shí)質(zhì)上是一個(gè)咨詢(xún)性部門(mén)（也稱(chēng)為參謀部門(mén)），為機(jī)構(gòu)員工提供服務(wù)，與人力資源部門(mén)極為相似。這是一個(gè)令人稱(chēng)道的方案，因?yàn)樵谛畔踩块T(mén)經(jīng)理和

CEO之間只包括了一位中層管理者。這樣的解決方案也是很可取的，因?yàn)樗J(rèn)為在機(jī)構(gòu)中隨處可見(jiàn)信息與信息系統(tǒng)，而且員工應(yīng)該配合信息安全部門(mén)的工作。同時(shí)，這樣的方案也具有吸引力，因?yàn)樗С秩魏涡问降模〞?shū)面的、口頭的等）信息安全工作方法，而并非將信息安全孤立為僅僅是面向計(jì)算機(jī)和網(wǎng)絡(luò)的工作。

許多情況下，該方案的實(shí)施取決于誰(shuí)擔(dān)任管理服務(wù)副主管，因?yàn)槿舾敝鞴軐?duì)信息系統(tǒng)技術(shù)不甚了解，這會(huì)妨礙他同CEO交換有關(guān)信息安全的意見(jiàn)。

該方案對(duì)于那些正在裁員的機(jī)構(gòu)來(lái)說(shuō)，也許是火上澆油，互聯(lián)網(wǎng)商(a“dot- com”firm)就是這樣。對(duì)于這些公司，該方案并未賦予信息安全應(yīng)有的重要性，同時(shí)也未給予信息安全所需的戰(zhàn)略的和長(zhǎng)期的重視。所以，若采用該方案，信息安全部門(mén)受到高層要求削減成本的壓力要比其采用方案4或5更多。然而，對(duì)于一 些信息并不是高度敏感的機(jī)構(gòu)來(lái)說(shuō)，比如連鎖餐館，該方案仍是令人滿(mǎn)意的值得推薦的。