方案7:内部审计部门一
虽然在现实中会看到信息安全部门向内部审计部门}[报,但这种汇报方案完全不可取,这就是并未给出方案7图表的原因。该方案中,信息安全部门向内部审计部门汇报。察看内部审计部门的任务陈述就知道内部审计承担着对其他部i 门工作的检查,包括信息安全部门。如果信息安全部门向内部审计部门汇报,则会产生利益冲突。内部审计会夸大信息安全部门做出的良好工作以使自身的总体工作显得较好。首席审计员会分配比实际需要更多的资源给信息安全部门,这会对机构其他部门造成不合理的安全负担,由此造成的影响要很久才能平复。向内部审计部门汇报的不当之处还在于内部审计通常和其他部门间存在一种对立关系,而员工对这种关系的看法会无意地转移到信息安全部门与其他部门的关系上。为了促进和谐的工作关系,应将信息安全部门视为咨询部门,而非一种新的审计部门。内部审计部门主管也许缺乏对信息安全专业技术知识的了解,这可能会妨碍到CEO与信息安全部门主管的沟通。另一方面,向内部审计部门汇报的好处在于其部门主管具有一定的控制力,至少可以对信息安全部门的工作提供支持意见;另一个好处则是内部审计部门对高层管理者和董事会有巨大影响。我们在这里并非特意阻止信息安全部门同内部审计部门建立相互紧密的工作关系,这种良好的工作关系是成功的信息安全工作的机构的特征。
同EDP审计(或内部审计)之间无直接报告关系并不意味着同董事会审计委员会的虚线报告关系不适用。就像安全阀一样,这种虚线关系是定期的汇报关系。信息安全部门可向审计委员会提供季度性的信息安全情况报告。如果委员会对报告不满意,可以再询问高层管理者的工作,同样,如果高层管理也不接受信息安全部门的观点,后者可以直接同审计委员会交流。虽然当前许多机构并不具备这样的虚线汇报关系,但通过大量的工作,可以将这种关系建立起来。需要说明的是由于这种虚线汇报并不常见,因而在本章的6个图表中特地将其省略了。