ISO 27001 资讯安全管理系统 【解析】(十六)

前述人员并非是资讯安全方面的角色与职掌完整列表，而是可以考虑及参考的基本角色，组织可以根据其资源和要求自定义资讯安全组织架构及人员。各类型角色应赋予不同责任与权限，用来组成ISMS人员的架构，以协助执行整个管理工作。在整个组织面对资讯安全风险管理的角色与职掌的分配方面，RASCI的模型可以运用在组织成员对於归责性或称当责(Accountability)能更加了解，并使应该负责的人确实了解并完成自己的责任。当然在目前国内企业或组织的生态下，对於分层负责这件事，可能尚难落实。RASCI模型为R：Responsible，实际完成具体事务者，应具备执行该项工作之专业，可以为多人。A：Accountable，负起最终责任的人，应为经理人，具有决定权，每个项目应仅有一位A。S：Supportive，对事务提供支援，辅助各项任务的完成。 C：Consulted，事先谘询者，在A有所决定前必须谘询的人，可能是上司或是外部人员，提供A必须的资讯。I：Informed，事後告知者，在决策或行动之後必须告知的对象，因为这些决策会影响这些人员。这个模型的重点在当责(Accountability)，运用在资讯安全管理系统上，可以在诸多条文及控制项中配合前面所叙述的人员找出当责的人，能让整体管理系统运作更加顺畅，例如：资讯安全政策订定及审查这个要求A是资讯安全长、R是资讯安全官、S是系统拥有者、系统管理员、C是风险执行长、I是所有必须要遵守资讯安全政策的人。按照这个模型运作资讯安全管理系统，可以让应该发挥功能的人发挥，应该当责的人勇於决策并达成目标。