方案2：安全部門

另一個(gè)方案也有推薦的必要，它包括信息安全部門要向負(fù)責(zé)機(jī)構(gòu)整體安全的部門做出匯報(bào)。信息安全部門具有主要的保護(hù)功能，因此它能與物理安全部門、 人事安全與保障部門平起平坐。當(dāng)這種機(jī)構(gòu)設(shè)計(jì)奏效時(shí)，有時(shí)候會(huì)發(fā)現(xiàn)信息安全部門會(huì)被稱為信息保護(hù)部門。如圖5—6所示，這種方法是令人滿意的，因?yàn)樗剐畔踩块T與其他相應(yīng)的安全職責(zé)部門的交流變得更容易。這樣做不但有助于事故調(diào)查，而且有助于找到解決問題的實(shí)際辦法，例如手提電腦失竊事件（涉及到物理安全和信息安全的結(jié)合）。這個(gè)方案的另一個(gè)令人滿意之處在于，它為信息安全活動(dòng)警鐘長(zhǎng)鳴，而這會(huì)降低信息安全的總成本。

　但是，這樣的機(jī)制仍存在一些問題。雖然信息安全與物理安全起先看起來有哲學(xué)上的共同點(diǎn)，但二者間卻有著一種重要的文化差異。比如，信息安全人員認(rèn)為自己是高科技員工，而負(fù)責(zé)物理安全的人員則認(rèn)為自己是司法人員。這種文化差異可能會(huì)使一些信息安全專家感到受后者管束很不舒服，而這些負(fù)責(zé)物理安全的專家通常都是安全部門主管。此外，大多數(shù)公司、物理安全部門最近幾年的預(yù)算增長(zhǎng)較小，但信息安全部門的預(yù)算卻在快速增加，現(xiàn)在將這兩個(gè)部門聯(lián)合起來歸屬一個(gè)安全部門，從而增加了部門之間資源分配的困擾，更為尷尬的是，因?yàn)榘踩块T主管通常不能對(duì)信息系統(tǒng)技術(shù)做出正確評(píng)價(jià)，從而造成他們?cè)谂c高層管理者溝通時(shí)的困難。同時(shí)，這樣的方案也是低效率的，因?yàn)樗谛畔踩块T經(jīng)理和CEO的交流渠道當(dāng)中，包括進(jìn)了兩名中層管理者，信息安全部門只好委婉地表明他們是保護(hù)機(jī)構(gòu)資產(chǎn)的新型警察。但是這樣的觀點(diǎn)又使得信息安全部門與其他部門閭建立協(xié)商關(guān)系變得更加困難，因?yàn)檎l也不愿意被多個(gè)警察部門監(jiān)管。總而言之，該方案勉強(qiáng)可以接受，但它并不像其他圖表中描述的方案那樣合乎需要。