●トピック
●深く知る
情報セキュリティは、ビジネス目標を達成するための戦略の一つである。そのため、ビジネス目標と同等に掲げていかなくてはならない。そもそも、セキュリティという制約をかける性質上、トップダウンによるセキュリティ推進をしなければ実行は難しいし、その責務によって活動は守られなければならない。
一連のリスクマネジメントプロセスで考えると、それぞれのオーナーシップと役割が把握できるだろう。ビジネスオーナーがビジネス自体に対して責任を負うレベルCである。ビジネスオーナーは適切なシニアマネージャーの責務によってビジネス目標を掲げる。ビジネスオーナーがビジネスに必要なシステムを構想し、システムオーナーが決定される。それと同時に顧客情報などのデータに対するデータオーナーを決定する。個々のシステムやデータを運用するため、データ管理者を配置する。誰が何の責任を持っているのかを明確にならなければ、注意義務の役割も果たせなくなる可能性もある。