IIA国際本部に掲載されている内部監査に関する記事の概要を紹介します。
「最前線:CISOとスリーライン・モデル」“On the Frontlines: The CISO and the Three Lines Model” BLOGS JERRY PERULLO FEB 02, 2022
IIAのスリーライン・モデル(Three Line Model)の中で、最高情報セキュリティ責任者(CISO)はどこに位置するでしょうか。これは組織により異なりますが、どこに位置するかによりCISOが果たす役割が変わってきます。
第一線にある場合は、セキュリティ監視やインシデント等の侵害対応が主な役割となり、CIOが報告先です。第二線にある場合は、コーポレートガバナンスやリスク管理の強化のために設置され、CRO(リスクオフィサー)への報告が要求されると考えられます。CIOと並んで経営職階にある場合、CISOの下にファーストラインとセカンドラインの役割を果たす組織を有し、「情報セキュリティ」全体を管理することになります。
いずれにしても、CISOの管理する組織とレポートラインを明確にすることが重要となります。
詳細及び原文は、
を参照してください。
