設置一個信息安全部門

雖然有很多有效的模型來設置機構中的信息安全部門，但是在大型機構中， 這個部門通常設置于信息技術部門內部，并由CISO或CIO來領導。這種結構意味著CISO和CIO的總體目標(goals)和階段目標(objectives)是緊密聯系的。實際情況并不總是這樣，信息安全項目的本質決定它有時會跟信息技術部門的總體目

標和階段目標不一致。一方面，作為機構的技術主管，CIO也管理機構信息在處理上的效率，任何限制信息訪問或減慢信息處理的問題都會直接同CIO的職責相抵觸；另一方面，CISO發揮的作用更像一個內部審計員，他和信息安全部門一起檢查已有的系統，去發現技術、軟件以及其他有關的信息安全錯誤和缺點，有時候，這些活動可能會損害對機構信息的處理和訪問。因為CIO和CISO的計劃目標和階段目標可能會發生沖突，所以，我們不難理解為什么要把信息安全從rr中劃分出來。

很多決策人都想IT和信息安全分開來，lMeta Group在2002年的一個調查表明，雖然只有3%咨詢公司的顧客把信息安全部門安置在IT部門之外，但是顧客們都把它視為一個有遠見的機構應該采用的方法。一篇名為“Where the Chief Se- curity Officer Belongs”的文章也許更簡潔地表明了這一點：“做的人和看的人不應該向同一個管理者匯報。”

為信息安全項目設計一個匯報機制，該機制要能平衡每一個利益團體互相競爭的需求，這是一個挑戰。很多時候，執行信息安全項目的單位以一種反映其安全狀況的方法，硬生生的插足到機構的計劃中，因此它可能被隨便擱置到機構的各個地方，而沒有人注意到在它的存在。聰明的機構會為信息安全項目找到一個位置，使它可以平衡教育、培訓、安全意識提升以及客戶服務等方方面面的需要， 這個方法能幫助構造機構文化中信息安全的部分。

有很多方法可以安排機構中的信息安全項目。在Charles Cresson Wood的《Information Security Roles and Responsibilities Made Easy》-書中，他搜集了很多行業小組信息安全項目的安排方法。該書包括了“匯報關系( Reporting Relation- ship)”，經過作者許可，這里做一個簡要的介紹。

這個區域包括了在信息安全部門中通常允許的和頻繁遇到的匯報關系，探究了l2個方案的正反面并推薦了6種匯報關系。因為在機構的層次結構中，信息安全部門可以安排在很多地方，所以必須檢查每一個方案的正反面，考慮在機構中什么是最重要的，然后總結成一個備忘錄，之后，可能會趨向于其中一個匯報關系，這樣才能明確地簡化信息安全部門的匯報關系。