職場上有種人，叫有責無權....這真的是屎缺。
職場上有種人，叫無責有權....你不是權貴，就不要幻想，這是每天都看報紙喝茶的，不清楚狀況就出來盧的工作。
職場上有種人，叫無責無權....這類都住冰櫃。
職場上有種人，較有權有責....這種動物，還要細分，一種是清楚狀況，一種是狀況外的。

不管你是哪種人，或者你是其他種的人，好比說外星來的(像我就是，歪星來的殺手，其實我就是督敏俊，來自星星的督教授，撥一下頭髮~~ 疑~~ 假髮掉了!)，我建議，在權與責之間，先決條件是記得「保護好自己。」

下面就是要講到權責問題，簡直是冰與火的戰爭....

一、資訊安全管理系統 （管理階層、資訊安全組織）
1.7是否有文件或記錄顯示管理階層對資訊安全管理系統建立、實作、運作、監視、審查、維持與改進之承諾？

說明：此項說明在於二個重點：1.管理階層有沒有核決。2.有無留下軌跡。

當職務已經擔任管理階層，有了「權」之後，相對就要有「責」，權責分明是一定要有的，雖然大家都知道，組織內很多管理階層有權之後，都不願意對是負責，規避責任，這類的事情屢見不鮮。

大家都會說：「沒有肩膀的主管。」

而在這裡，我們就要利用系統，分配責任給這類的主管，早期，一般的紙本文建，很多規避責任的主管，可以閃過很多責任，然而當系統規範之後，自然閃無可閃，而企業所用的ERP(Enterprise Resource Planning)就是建立在這個基礎上。當然，很多中小企業的ERP形同虛設，主要是企業規模還沒達到一定標準。然而，上市櫃公司就一定要走ERP系統，每個階層，一關卡一關，一關未過，絕對不會到下一關，而簽核之後，簽核的單位主管就要負責，否則就是內部管理失衡，一定會被主管機關懲處。而這樣子的概念，放到資訊安全上，就是希望管理階層去承諾與負責。

我想很多這裡的年輕人，一定不懂，甚麼叫ERP，我舉個簡單的例子，在正常的情況下，當你要請假，你送出假單，假單由你的代理人簽完之後，才能送到主管那裡，最後由主管核准，才能休假。而這種層層的簽核，就是最簡單的ERP概念。沒有過這關，無法到下關，下關駁回，就得重來。

這麼做的好處，就是希望公司管理階層，不要閃避責任，同樣的道理，資訊安全有多麼重要，把到放到銀行來看，如果一個不小心，整個銀行被駭客盜領，那到底哪裡出來問題，沒有人肯負責，沒有人肯承諾改進，那整個資安體系，很快就瓦解掉了。

資訊安全管理系統建立、實作、運作、監視、審查、維持與改進，這些敘述，是一個流程，每個頓點其實都要卡控，實際上，應該如下圖所示才對：

(製圖為作者本人)

權責要分明，才是組織讓管理階層最好的承諾方式之一，也是讓沒有肩膀的主管無所遁形的方法之一。