複習ICS組織說起

Day11 建構資安指揮體系提及指揮體系，其中有說明最基本的框架如下圖：

運用於資安事件的應變組織，適用人選可能為如下圖：

如果組織既有ICS架構的應變體系，可以加資安事件應變加入其中，不需要另設組織

最小可行常見組織，如下圖
很多功能被合併，事件指揮官兼任發言人；執行秘書兼任安全官、聯絡官；執行&規劃合併；後勤&財務合併。

當規模由小變大時，指揮難度提升，老闆授權，分層負責，乃至當責很重要。

從經驗心得歸納可從三個原則性來思考：
可指揮性：1個人可以領導的人數，約略10人，再多就要往下分層。
可當責／負責性：(注意：當責 跟 負責 是不一樣的，請參考：Day2 架構，從ARCI矩陣窺探資安治理的真假)。
資源可分配性：針對事件的分類及所需的資源(人／物資／錢等)。

將組織團隊分為大腦 及 身體(組織規模大時，可能兼任第二大腦)，如下圖：

再依據上述的原則，依規模進行分類，如下圖：

為了避免各指揮體系權責不分，老闆應該充分授權，分層授權，例外管理 (前面幾天的文章有說明，不贅述)

最後依據資源可分配性，將事件分級後，依據組織的框架，投入不同的資源，以有效運用資源，例如：輕微事件指揮官不用總經理，可由一線班長處理，又或者是集團型公司有台灣公司／美國公司／墨西哥公司／非洲公司，又要再拆分授權當地公司處理。參考下圖疫情指揮中心開設分級。

最後事件分級參考，請參考Day13 事件分級,從政府、上市櫃公司到外商談起

最後組織架構的心法參考

可以參考 程天縱老師的文章或書籍，如：郭董說先「定策略」最後才「建系統」，為什麼接班人要反過來做？