5.2情報セキュリティの役割及び責任

5.2情報セキュリティの役割及び責任」とは？

ISO 27001:2022の管理策「5.2情報セキュリティの役割及び責任」とは、本文「5.3 組織の役割、責任及び権限」と一部重複する管理策で、情報セキュリティ（に限らずマネジメントシステム全般）の構造の重要な要素である役割と責任の決定を推奨しています。内容自体はシンプルで、例えば、

といった具合で決めていくことになります。なお、権限は責任に見合ったものである必要があるべきなので、上記の例だと運用状況やパフォーマンスを管理するための権限を割り当てましょう。具体的には監視をする権限や、報告を求める権限です。

なお、以下の例のように、一部の役割は規格要求で求められていたり、推奨されていますのでご注意ください。

• リスク所有者（本文6.1.2）
• 内部監査員（本文9.2.2）
• 情報セキュリティ管理責任者（5.2）
• 資産の管理責任者（5.9）

その他、任意で以下のような役割を定めることがあります。

• 事務局
• 委員会
• システム管理者
• 各事業所や工場毎の情報セキュリティ管理者

以上で、各役割には任命者や必要な力量を定めましょう。

不採用の可能性があるか？】

管理策の内容的に不採用とする理由が見当たらないため、全ての組織において採用されるべき管理策と考えられます。