| 経営幹部 | 資産保護に関するすべての責任が与えられる |
| 情報システム セキュリティ専門家 |
組織のセキュリティに関するポリシー、スタンダード、 ベースライン、およびガイドラインの策定、実施、管理、見直しを担当する。 |
| オーナー (データ、ビジネス、情報) |
・組織のセキュリティポリシーに基づく適切なセキュリティが、 情報システムに実装されていることを確認する。 ・適切な重要度レベルまたは分類レベルを決定する。 ・アクセス権を決定する。 |
| 管理者 | システム及びデータベース管理責任者。 必ずしも、そのシステム及びデータベースを所有しているとは限らない。 通常はネットワーク管理者または該当業務担当者が担当する。 |
| ユーザー | リソースを利用する。 セキュリティポリシーに従い、資産の可用性、完全性、機密性を 維持する責任がある。 |
| IS/IT責任者 | セキュリティポリシーの実施と遵守を担当する。 |
| 情報システム監査員 | ・セキュリティ目標の妥当性についてマネジメントに個別の保証を提供する。 ・セキュリティ目標が妥当であること、また、セキュリティポリシー、 スタンダード、ベースライン、ガイドラインが組織のセキュリティ目標を適切かつ 効果的に満たしていることを経営陣に対して監査の立場から保証できる。 ・セキュリティ目標が適切な管理の下で達成されているかをどうかを確認する。 |
