設(shè)置一個(gè)信息安全部門

雖然有很多有效的模型來設(shè)置機(jī)構(gòu)中的信息安全部門，但是在大型機(jī)構(gòu)中， 這個(gè)部門通常設(shè)置于信息技術(shù)部門內(nèi)部，并由CISO或CIO來領(lǐng)導(dǎo)。這種結(jié)構(gòu)意味著CISO和CIO的總體目標(biāo)(goals)和階段目標(biāo)(objectives)是緊密聯(lián)系的。實(shí)際情況并不總是這樣，信息安全項(xiàng)目的本質(zhì)決定它有時(shí)會(huì)跟信息技術(shù)部門的總體目

標(biāo)和階段目標(biāo)不一致。一方面，作為機(jī)構(gòu)的技術(shù)主管，CIO也管理機(jī)構(gòu)信息在處理上的效率，任何限制信息訪問或減慢信息處理的問題都會(huì)直接同CIO的職責(zé)相抵觸；另一方面，CISO發(fā)揮的作用更像一個(gè)內(nèi)部審計(jì)員，他和信息安全部門一起檢查已有的系統(tǒng)，去發(fā)現(xiàn)技術(shù)、軟件以及其他有關(guān)的信息安全錯(cuò)誤和缺點(diǎn)，有時(shí)候，這些活動(dòng)可能會(huì)損害對(duì)機(jī)構(gòu)信息的處理和訪問。因?yàn)镃IO和CISO的計(jì)劃目標(biāo)和階段目標(biāo)可能會(huì)發(fā)生沖突，所以，我們不難理解為什么要把信息安全從rr中劃分出來。

很多決策人都想IT和信息安全分開來，lMeta Group在2002年的一個(gè)調(diào)查表明，雖然只有3%咨詢公司的顧客把信息安全部門安置在IT部門之外，但是顧客們都把它視為一個(gè)有遠(yuǎn)見的機(jī)構(gòu)應(yīng)該采用的方法。一篇名為“Where the Chief Se- curity Officer Belongs”的文章也許更簡潔地表明了這一點(diǎn)：“做的人和看的人不應(yīng)該向同一個(gè)管理者匯報(bào)。”

為信息安全項(xiàng)目設(shè)計(jì)一個(gè)匯報(bào)機(jī)制，該機(jī)制要能平衡每一個(gè)利益團(tuán)體互相競爭的需求，這是一個(gè)挑戰(zhàn)。很多時(shí)候，執(zhí)行信息安全項(xiàng)目的單位以一種反映其安全狀況的方法，硬生生的插足到機(jī)構(gòu)的計(jì)劃中，因此它可能被隨便擱置到機(jī)構(gòu)的各個(gè)地方，而沒有人注意到在它的存在。聰明的機(jī)構(gòu)會(huì)為信息安全項(xiàng)目找到一個(gè)位置，使它可以平衡教育、培訓(xùn)、安全意識(shí)提升以及客戶服務(wù)等方方面面的需要， 這個(gè)方法能幫助構(gòu)造機(jī)構(gòu)文化中信息安全的部分。

有很多方法可以安排機(jī)構(gòu)中的信息安全項(xiàng)目。在Charles Cresson Wood的《Information Security Roles and Responsibilities Made Easy》-書中，他搜集了很多行業(yè)小組信息安全項(xiàng)目的安排方法。該書包括了“匯報(bào)關(guān)系( Reporting Relation- ship)”，經(jīng)過作者許可，這里做一個(gè)簡要的介紹。

這個(gè)區(qū)域包括了在信息安全部門中通常允許的和頻繁遇到的匯報(bào)關(guān)系，探究了l2個(gè)方案的正反面并推薦了6種匯報(bào)關(guān)系。因?yàn)樵跈C(jī)構(gòu)的層次結(jié)構(gòu)中，信息安全部門可以安排在很多地方，所以必須檢查每一個(gè)方案的正反面，考慮在機(jī)構(gòu)中什么是最重要的，然后總結(jié)成一個(gè)備忘錄，之后，可能會(huì)趨向于其中一個(gè)匯報(bào)關(guān)系，這樣才能明確地簡化信息安全部門的匯報(bào)關(guān)系。