人

應該是在導入業務持續性計畫(BCP)的最大變數…
所以簡單說明一下 R & R ，角色與職責。

R & R (Role & Responsibility)

• 首席執行官：
  CEO是管理公司的主要負責人，是公司的最終負責人。(上新聞道歉或發表聲明)

• 首席資訊長 Chief Information Officer (CIO)：
  等同於資訊技術總監，負責公司相關的資訊技術政策，專注於提高流程效率和新技術分析。

• 首席資安長 Chief Security Officer (CSO)
  主要責任是保證物理和技術安全，確認資訊核心資產、分類及以保護。

• 首席技術長 Chief Technology Officer (CTO)
  輔佐 CIO 訂定的技術政策，更具技術性。

• 首席資安技術長 Chief Information Security Officer (CISO)
  監控和分析公司面臨的風險，保護資訊安全。

• 資安專業人員(Information systems security professionals)

• 系統管理員 (System Administrators)

• 網路安全管理員(network security officers)

• 應用程式資安工程師(application security engineers)

• 電腦技術員(computer operators)

• 資料所有者(Data Owner)
  依資料的敏感層度來分類的負責人，某個單位對部份資料負責的人，像說銀行的開戶資料會由銀行部門的部門經理所控管。
  資料所有者對保護資料負有最終責任，從而確定對資料的正確用戶訪問權限。

• 安全管理員(Security Administrators)
  安全管理員功能包括面向用戶的活動。
  例如設置使用者權限、設置初始密碼、為新用戶設置其他安全特性或更改現有用戶的安全配置文件。

• 系統所有人(System Owner)
  分配系統的使用者權限、系統變更控制(System Change Controls)、維護系統、備份及災難回復的負責人。

• 托管者(Custodians)
  系統或是機房、保存資料位置的管理人員，偏向硬體的安全控管。
  如果資料上雲端的話，就指得是雲端服務商。

• 資訊系統稽核師(Information Systems Auditor)
  稽核確定使用者、所有者、保管人、系統和網絡是否符合安全政策，程序，標準，基線，設計，架構，管理方向以及對系統的其他要求。
  稽核統整後向公司高層提供有關安全控制有效性的報告。

• 服務台管理者(Help Desk Administrator)
  服務台可以提供報告系統問題的用戶的問題。
  通常是資安問題或事件的第一個跡象，重置密碼做社交工程或是由惡意用戶提供惡意程式也是一個感染來源。

• 變更控制分析師 (Change Control Analyst)
  由於唯一不變的是變更，因此必須確保變更安全。
  變更控制分析師負責批准或拒絕對網路、系統或程式進行更改的請求，確保更改不會導致任何漏洞。

• 行政助理/秘書(Administrative Assistants/Secretaries)
  這一角色對資訊安全非常重要。
  這個角色好比櫃台專員：簽署包裹、識別、轉接給公司所有的來源。
  是社交工程最好的目標，經過適當資安培訓，將能最大限度地降低洩露有用公司資訊或提供未經授權的進入的風險。

• 主管 (Supervisor)
  負責所有使用者活動，職責包括確保這些員工了解他們在安全方面的責任。
  確保員工的帳戶信息是最新的，而且在員工被解僱、留停、轉移部門時通知安全管理員(Security Administrators)

• 最終使用者(End User)
  使用者遵守安全政策，保護資訊資產。