前述人員並非是資訊安全方面的角色與職掌完整列表，而是可以考慮及參考的基本角色，組織可以根據其資源和要求自定義資訊安全組織架構及人員。各類型角色應賦予不同責任與權限，用來組成ISMS人員的架構，以協助執行整個管理工作。在整個組織面對資訊安全風險管理的角色與職掌的分配方面，RASCI的模型可以運用在組織成員對於歸責性或稱當責(Accountability)能更加瞭解，並使應該負責的人確實了解並完成自己的責任。當然在目前國內企業或組織的生態下，對於分層負責這件事，可能尚難落實。RASCI模型為R：Responsible，實際完成具體事務者，應具備執行該項工作之專業，可以為多人。A：Accountable，負起最終責任的人，應為經理人，具有決定權，每個項目應僅有一位A。S：Supportive，對事務提供支援，輔助各項任務的完成。 C：Consulted，事先諮詢者，在A有所決定前必須諮詢的人，可能是上司或是外部人員，提供A必須的資訊。I：Informed，事後告知者，在決策或行動之後必須告知的對象，因為這些決策會影響這些人員。這個模型的重點在當責(Accountability)，運用在資訊安全管理系統上，可以在諸多條文及控制項中配合前面所敘述的人員找出當責的人，能讓整體管理系統運作更加順暢，例如：資訊安全政策訂定及審查這個要求A是資訊安全長、R是資訊安全官、S是系統擁有者、系統管理員、C是風險執行長、I是所有必須要遵守資訊安全政策的人。按照這個模型運作資訊安全管理系統，可以讓應該發揮功能的人發揮，應該當責的人勇於決策並達成目標。