方案4：保險和風(fēng)險管理部門

圖5-8展示了信息安全部門如何向保險和風(fēng)險管理部門匯報。在該方案中，

　　信息安全部門經(jīng)理將向首席風(fēng)險管理官(CRM)或保險管理副主管匯報。這個方案之所以令人滿意是因?yàn)樗膭钜惑w化的風(fēng)險管理觀點(diǎn)。這種觀點(diǎn)是從一個集中的角度對機(jī)構(gòu)所有風(fēng)險區(qū)分優(yōu)先級別并進(jìn)行比較。這種思想的運(yùn)用特別包含了對潛在損失程度和所有職能部門損失可能性的評估，包括信息安全、物理安全、 法律、內(nèi)部審計、客戶關(guān)系、會計以及財務(wù)等。其目的是把握全局并能在上述部門間分配資源，同時也把相關(guān)的風(fēng)險管理工作分配給了它們。即使所提出的機(jī)構(gòu)結(jié)構(gòu)并不能反映它，我們?nèi)詷O力提倡風(fēng)險管理要有全局觀點(diǎn)，因?yàn)樾畔踩ǔ淼娘L(fēng)險會非常嚴(yán)重，應(yīng)該引起更多的關(guān)注。除提出整體化的風(fēng)險管理之外，該方案之所以令人滿意，還因?yàn)樗鼉H在信息安全部門經(jīng)理和CEO間有一位中層管理者。

CRM模式也可面向預(yù)防風(fēng)險，立足長遠(yuǎn)觀點(diǎn)，并能讓CEO -起參與有關(guān)風(fēng)險承受（無行動）、風(fēng)險緩解（加入控制）以及風(fēng)險轉(zhuǎn)移（購買保險）的思想討論。 CRM也可能對未來持樂觀態(tài)度并反映多種不同可能性的情形，包括信息安全的情形，如拒絕服務(wù)攻擊。但CRM通常并不熟悉信息系統(tǒng)技術(shù)，所以可能需要信息安全部門經(jīng)理對其進(jìn)行特別培訓(xùn)，以便能同CEO -起做出重要的決定。該方案的一 個缺點(diǎn)是過分強(qiáng)調(diào)戰(zhàn)略層面，而信息安全的可操作性和管理方面（例1如人們更換工作時更改權(quán)限）可能不會得到CRM對它們應(yīng)有的重視。但總的來說，這是一個令人滿意的方案而且值得向信息集中的機(jī)構(gòu)，如銀行、證券經(jīng)紀(jì)業(yè)、電話公司以及研究機(jī)構(gòu)推薦。