経営者が情報セキュリティの管理責任者を任命し、管理責任者は自社のセキュリティ対策全般を管理し、責任を持つ。
社内の情報セキュリティ管理を推進し、セキュリティ管理状況を把握するために、会社組織としてのセキュリティ対策の管理責任者が必要になる。
また、情報セキュリティ管理責任者は、経営者が任命し(したがって、セキュリティに関する最終責任者は経営者となる)、会社組織としてセキュリティ管理の推進を進める必要がある。中小企業では、専任のセキュリティ管理者を置くことは難しいが、他の職務との兼任であっても、セキュリティ管理業務を職務の1つと考え、経営者は負荷配分や報酬に関しても留意する必要がある。
セキュリティ管理責任者の職務としては下記のようなものがあげられる。(セキュリティ対策のステップによっても異なる)
・初期段階のセキュリティ対策のPDCA実施
・セキュリティ事故等が発生したときの窓口および対処
・セキュリティに関わる教育
セキュリティ対策のレベルが上がり、作業ボリュームが増えてくると、一人での作業は負荷的に難しくなる。その後は、セキュリティ運営チームを作り、作業分担をする必要がある。