Если в третьей ситуации возможна организация соответствующего распределения ответственности в рамках контракта на поставку услуг, то с первыми двумя случаями дело обстоит сложнее. Возможно, придется назначить отдельного специалиста по безопасности данной информационной системы из имеющихся администраторов и подчинить его (полностью или частично) службе информационной безопасности или комитету, о котором шла речь выше. Возможно, придется выделить понятия "прикладной безопасности", оставив ее в ведении службы, администрирующей данную систему, и "системной безопасности" (то есть безопасности взаимодействия данной системы с остальными), которую отдать общей службе информационной безопасности. Возможно, будет достаточно предоставить службе информационной безопасности доступ к упомянутым электронным регистрационным журналам, файлам конфигураций, учету пользователей и т. д.

Однако для всех трех ситуаций мы бы рекомендовали разработать процедуру отчета администраторов систем перед службой информационной безопасности.