方案5：策略與計劃部門

在圖5—9中，你會發現另一個現實中仍然存在的體制架構。在該架構中，信息安全部門向策略和計劃部門匯報。也就是信息安全部門主管直接向策略和計劃副主管匯報。該方案視信息安全功能為機構成功的關鍵。網絡貿易公司(.com 型的公司)或信用卡公司適合該方案，因為它們都在很大程度上依賴于信息安全功能的成敗。該方案所以令人滿意是因為它僅在信息安全部門經理和CEO間包括了一位中層管理者。這種方案比本章開頭所提及的方案減少了一步措施，即高級信息安全副主管直接向CEO匯報。

方案5的令人滿意之處還在于它強調將整個機構信息安全需求（策略、標準、 程序等）文檔化的必要性。類似方案3和q，這樣的匯報結構也承認信息安全工作的跨部門性和跨學科性，比如風險分析和事故調查。該方案同時也使得信息安全部門可以與那些現實中持“面向具體情況”觀點的人合作（他們通常提出類似“假設……應該……”的問題）。該方案另一個令人滿意的地方是指出信息安全是極其重要的管理和人力的問題，而不僅僅是一個技術問題。