方案5：策略與計(jì)劃部門(mén)

在圖5—9中，你會(huì)發(fā)現(xiàn)另一個(gè)現(xiàn)實(shí)中仍然存在的體制架構(gòu)。在該架構(gòu)中，信息安全部門(mén)向策略和計(jì)劃部門(mén)匯報(bào)。也就是信息安全部門(mén)主管直接向策略和計(jì)劃副主管匯報(bào)。該方案視信息安全功能為機(jī)構(gòu)成功的關(guān)鍵。網(wǎng)絡(luò)貿(mào)易公司(.com 型的公司)或信用卡公司適合該方案，因?yàn)樗鼈兌荚诤艽蟪潭壬弦蕾囉谛畔踩δ艿某蓴　Ｔ摲桨杆粤钊藵M意是因?yàn)樗鼉H在信息安全部門(mén)經(jīng)理和CEO間包括了一位中層管理者。這種方案比本章開(kāi)頭所提及的方案減少了一步措施，即高級(jí)信息安全副主管直接向CEO匯報(bào)。

方案5的令人滿意之處還在于它強(qiáng)調(diào)將整個(gè)機(jī)構(gòu)信息安全需求（策略、標(biāo)準(zhǔn)、 程序等）文檔化的必要性。類似方案3和q，這樣的匯報(bào)結(jié)構(gòu)也承認(rèn)信息安全工作的跨部門(mén)性和跨學(xué)科性，比如風(fēng)險(xiǎn)分析和事故調(diào)查。該方案同時(shí)也使得信息安全部門(mén)可以與那些現(xiàn)實(shí)中持“面向具體情況”觀點(diǎn)的人合作（他們通常提出類似“假設(shè)……應(yīng)該……”的問(wèn)題）。該方案另一個(gè)令人滿意的地方是指出信息安全是極其重要的管理和人力的問(wèn)題，而不僅僅是一個(gè)技術(shù)問(wèn)題。