セキュリティを主導するための明りょうな方向付け及び経営陣による目に見える形での支持を確実にするために、運営委員会を設置すること。運営委員会は、適切な責任分担及び十分な資源配分によって、セキュリティを促進すること。
本ステップでは、セキュリティ運営チームを運営委員会とし、より社内の業務活動としての位置を認知してもらう。
運営委員会では、下記のことをおこなう。
1.情報セキュリティ基本方針並びに全体的な責任の見直し及び承認
2.情報資産が重大な脅威にさらされていることを示す変化の監視
3.情報セキュリティの事件・事故の見直し及び監視
4.情報セキュリティを強化するための重要な発議の承認