情報セキュリティ対策に関連する組織はセキュリティ管理委員会、セキュリティ管理部門、ユーザ部門、セキュリティ監査委員会などがあります。
- セキュリティ管理委員会
- 経営者あるいはCIOを、あるいは、CISO(Chief Information Security Officer)の職制を設置して、セキュリティ統括管理責任者とし、各部門の部長クラスを委員とする情報セキュリティに関する最高意思決定機関です。セキュリティポリシーの策定、改善目標の設定など全体のマネジメントを担当します。
- セキュリティ管理部門
- セキュリティ管理委員会の方針に基づき、具体的なセキュリティ対策を実施し、運用管理を行い、状況をセキュリティ管理委員会に報告や具申をするワーキンググループです。セキュリティ担当の専任部門を新設する場合もありますが、情報システム部門が担当するのが一般的です。ユーザ部門の部門セキュリティ管理者が兼任で参加します。
- ユーザ部門
- 情報セキュリティ対策は現場での活動が重要です。部門セキュリティ管理者は、セキュリティ管理部門と協力して、エンドユーザを指導したり活動を支援したりします。
- セキュリティ監査委員会
- セキュリティポリシーが実際に遵守されているか、改善するべき事項はなにかを実態調査して、セキュリティ統括管理責任者に助言・報告する組織です。第三者の情報セキュリティ監査組織によるのが理想的ですが、内部の監査グループが行うこともあります。いずれにせよ、セキュリティ管理部門の協力が必要になります。