情報セキュリティは、ビジネス目標を達成するための一つの戦略です。そして、情報セキュリティ専門家はその組織の一員です。組織においてだれが何の責任を持っているのか、オーナーシップを把握しておくと良いでしょう。ここからは主な組織の役割と責任についてお話いたします。ただ、うちの会社の役員はそんなことしてくれない！という声が聞こえてきそうです。あくまで、このように組織の役割と責任を整理すると、方法論を提案するうえできれいにまとまるという観点でお聞きください。

ビジネスオーナーは、ビジネスに対して責任を負う上級管理職、つまり役員になります。情報セキュリティプログラムを作成し、適切な人員配置、資金提供、および組織の優先順位を決定します。 彼らは、すべての組織資産が保護されることを保証する責任があり、ビジネス目標を達成するための体制づくりをしなければなりません。ビジネスオーナーがビジネスに必要なシステムを構想し、システムオーナーが決定されます。

システムオーナーは、セキュリティポリシーの承認やリソースの確保、そしてメンバー間の対立の仲裁を担う、現場におけるセキュリティの最終責任者です。システムオーナーは監督者であって、直接作業に当たる人ではありません。実際の業務を行う人は、システム管理者と呼ばれます。日々システム環境に関する業務を実施し、システムのセキュリティ設定や潜在的なインシデントの報告を行います。また、システムを管理するチームとセキュリティを整理するチームは別の部隊であることがあります。どのようにシステムで実現するのかをシステム開発チームで考え、そのシステムでセキュリティが確保されているかをセキュリティチームが確認します。

セキュリティマネージャーとは、組織内のセキュリティ担当責任者です。上級管理職に対してセキュリティ関連の問題について助言します。具体的には、セキュリティポリシーの草案の作成や日常的なセキュリティ運用の管理を実施します。セキュリティ活動は一人で行うわけではありません。複数人のセキュリティ担当者とともに、組織内でのセキュリティ活動を行います。

#シニアマネージャ #セキュリティ専門家 #最高情報セキュリティ責任者（CISO） #ビジネスオーナー #システムオーナー