方案2：安全部門

另一個方案也有推薦的必要，它包括信息安全部門要向負責機構整體安全的部門做出匯報。信息安全部門具有主要的保護功能，因此它能與物理安全部門、 人事安全與保障部門平起平坐。當這種機構設計奏效時，有時候會發現信息安全部門會被稱為信息保護部門。如圖5—6所示，這種方法是令人滿意的，因為它使信息安全部門與其他相應的安全職責部門的交流變得更容易。這樣做不但有助于事故調查，而且有助于找到解決問題的實際辦法，例如手提電腦失竊事件（涉及到物理安全和信息安全的結合）。這個方案的另一個令人滿意之處在于，它為信息安全活動警鐘長鳴，而這會降低信息安全的總成本。

　但是，這樣的機制仍存在一些問題。雖然信息安全與物理安全起先看起來有哲學上的共同點，但二者間卻有著一種重要的文化差異。比如，信息安全人員認為自己是高科技員工，而負責物理安全的人員則認為自己是司法人員。這種文化差異可能會使一些信息安全專家感到受后者管束很不舒服，而這些負責物理安全的專家通常都是安全部門主管。此外，大多數公司、物理安全部門最近幾年的預算增長較小，但信息安全部門的預算卻在快速增加，現在將這兩個部門聯合起來歸屬一個安全部門，從而增加了部門之間資源分配的困擾，更為尷尬的是，因為安全部門主管通常不能對信息系統技術做出正確評價，從而造成他們在與高層管理者溝通時的困難。同時，這樣的方案也是低效率的，因為它在信息安全部門經理和CEO的交流渠道當中，包括進了兩名中層管理者，信息安全部門只好委婉地表明他們是保護機構資產的新型警察。但是這樣的觀點又使得信息安全部門與其他部門閭建立協商關系變得更加困難，因為誰也不愿意被多個警察部門監管?？偠灾摲桨该銖娍梢越邮?，但它并不像其他圖表中描述的方案那樣合乎需要。