筆者はセキュリティのあるべき構造として以下のように述べています。
「内部監査人がリスク管理のフレームワーク、モデル、および専門的な基準に従うのと同じように、CISOはフレームワークを使用して優先順位を導き、ステークホルダーとコミュニケーションを取り、組織のリスクを管理します。そのための4階層のレベルが必要になります。
【レベル1】 セキュリティ・コントロール・フレームワーク
【レベル2】 セキュリティ・プログラム・フレームワーク
【レベル3】 セキュリテイ・リスクマネジメント・フレームワーク
【レベル4】 ERMフレームワーク
これらの4階層レベルのフレームワークを調整することで、CISOはITセキュリティに関する意思決定、ツール、および手法を作成し、伝達できるようになります。同様に、内部監査人は、組織が使用するフレームワークを理解して、実施されている統制をより明確に把握し、リスクベースの監査計画を作成することで恩恵を受けられます。』
【出典】https://internalauditor.theiia.org/en/articles/2022/december/tech-the-structure-of-security/
