資訊安全政策可以提供組織夥伴明確的指導方針和規範，無論是面對日常工作還是資安事件，規章可以引領我們確立方向。
中小型組織因人力缺乏，通常一人身兼多職、未成立完整的各營運部門，建議可將「分工說明」視為制定政策時的任務盤點表，也須留意避免將政策制定的工作任務落在1人或少數工作夥伴身上。

資訊安全政策職務角色與分工說明

​治理層、董(理)監事會

1. 成立風險管理、法規小組
2. 制定決策：核批資安政策的整體框架與策略
3. 分配資源：確保有足夠人力與財務資源支持資安工作
4. 監督與審核：定期審查與監督資安政策執行情形

​

管理層

1. 資訊主管

設計制定具體的資安政策內容與實施計畫
向各部門說明政策內容，進行協調溝通。
定期進行風險評估，更新策略。
適時引進外部專業資源，協助評估。

2. 技術人員

實施工具與技術落實技術支援，維護資安。
監控系統與網絡的異常狀況，及時回報與處理事件。
確保基礎設施與裝置符合安全標準

​

執行層

正視資安風險會帶來的重大影響，以保護服務對象與組織團隊等重要利害關係人為目標，遵守政策規定。

​​​​