從 ARCI+S 談玩真的玩假的

何謂ARCI+S，簡單說明如下：
當責（Accountable）："誰批准",對整件事負起最終責任。
負責（Responsible）："誰負責"，負責實際完成任務的人，負責回報進度與狀況。
諮詢（Consult）："諮詢誰",工作或專案前或執行中，提供相關的諮詢，協助工作進行。
知會（Informed）："告知誰"，及時被告知工作狀況與進度，但不直接負責工作。
支援（Support）：支援工作，使工作可以順利進行

從ARCI矩陣看出資安治理(治理層、管理層、維運層)是真是假
玩真的，玩假的，多少決定是狼狽 抑或是 優雅之姿，透過下圖理解基本的公司治理與資安治理的框架，加上ISACA COBIT 5的治理框架，常見的分類為 治理層、管理層及維運層。

下方是常見的組織資安治理及管理架構對應治理層、管理層及維運層：

透過上面的架構圖，對於組織架構有基礎認識後，我們套入ARCI矩陣，一窺 玩真的／玩假的，是狼狽／是優雅?

先來看看玩假的
玩假的會發現，當責（Ａ）集中在　資訊處長官／資訊管理人員／資訊技術人員，試問：難道公司的資安治理視同公司的維運品質，風險管理及最終的成本管理，高階長官都沒有參與，難道是遭受駭客攻擊或勒索，才會開始注重嗎？也許要嚴重衝擊到公司營運才會覺醒．．．．

如何扭轉？　優雅面對，採用記帳法：資安的例外管理（後面的文章會介紹），一五一十記好記滿，出事時開始算帳保平安。

玩真的，高階長官當責不讓，優雅面對
具體可以發現，高階長官（總經理／副總經理／執行長／資訊長／資安長．．ＯＯ長），積極參與資訊安全委員會，儘管非資安專業，也會請優異幕僚協助決策，不是非專業背景就不能參與，難道執行長要十全項能才能管公司嗎，重要的是請一群專業的人，建立良善的制度，提供數據／風險／成本，幫助長官決策。

有人會說：儘管是玩真的，中間管理層或是幕僚層依然很狼狽，對，那是因為缺乏好的架構並提供數據／成本／風險，提供長官決策，試想在情報不足的情況下，要輕易給出核准也非易事，後面的文章會開始介紹業務驅動的安全框架。

參考資料連結：
ARCI
https://www.businessweekly.com.tw/management/blog/3008610
https://wiki.mbalib.com/zh-tw/RACI%E6%A8%A1%E5%9E%8B
https://www.taisugar.com.tw/Monthly/CPN.aspx?ms=1423&p=13386492&s=13386508

後記：
今天為了產出這篇文章，硬是吃了兩個ＩＫＥＡ的優格冰淇淋才能通過，起因是：火速帶著兩個孩子去ＩＫＥＡ吃晚餐，才想今天的鐵人賽文章還有沒產出，雖然平常已經有筆記好，但是還是要製圖、彙整知識，只能急匆匆快速帶孩子離開，中途孩子硬是要吃冰淇淋，於是我看中卡友價買一送一的優格冰淇淋，誰知道不好吃，孩子們吵著要正統的香草冰淇淋，偽單親爸只好火速吃完兩個優格冰淇淋，速速衝回家打文章～～～

鐵人賽使我狼狽，知我者莫過於同路人阿～～

原本扭轉狼狽　化為　優雅之姿，想要打　優雅面對，第一招：腳底抹油；第二招：開始出包；第三招記帳法，想想還是不正經放這邊～