まず結論

情報セキュリティ委員会とは、組織全体の情報セキュリティ対策を統括・意思決定する会議体です。
SG試験では「組織として統制できているか」を判断させるポイントとして問われます。

---

直感的な説明

セキュリティ対策を各部署がバラバラにやっている状態を想像してください。

• A部門：パスワード厳しい
• B部門：ゆるい
• C部門：ルールすら知らない

👉 これでは組織として守れていない状態です。

そこで登場するのが「情報セキュリティ委員会」

• 全社ルールを決める
• 各部門の状況を把握する
• 問題があれば改善を指示する

👉 “バラバラ”を“統一”する役割

---

定義・仕組み

情報セキュリティ委員会は

組織全体の情報セキュリティ対策を統括するための意思決定機関

です。

① 組織のトップが関与（トップダウン）

• 経営層を含む
• 方針決定に責任を持つ

👉 ISMSでは「トップの関与」が重要

---

② CISOを中心に構成

• CISO（最高情報セキュリティ責任者）
• 各部門の責任者
• 必要に応じて専門家（アドバイザー）

👉 現場と経営をつなぐ役割

---

③ 主な役割

• セキュリティ方針の決定
• リスク評価結果の承認
• インシデント対応の方針決定
• 教育・ルールの周知

👉 「決める・統制する」が中心

---

④ ISMSとの関係

• ISMSを運用するための中核組織
• PDCAの「Plan」「Act」に深く関与

👉 仕組みを“回す側”の存在

---

どんな場面で使う？

使うべき場面

• 全社的なセキュリティルールを決めるとき
• 部門間のばらつきを是正するとき
• 重大インシデントの対応方針を決めるとき

👉 SG試験では
「組織的に統制されているか」を問われる

---

誤解しやすい場面

• 現場が判断していればよい → ❌
• IT部門だけで決める → ❌

👉 全社統制の場が必要

---

よくある誤解・混同

❌ 誤解①：委員会＝作業部隊

• 委員会：意思決定・統制
• 実務：各部門・担当者

👉 「委員会が作業している」は誤り

---

❌ 誤解②：CISOが単独で決める

• 実際は委員会で意思決定

👉 組織としての合意形成が重要

---

❌ 誤解③：設置すれば機能する

• 実際は定期開催・報告・改善が必要

👉 「形だけの委員会」はNG

---

SG試験でのひっかけ

• 「委員会が存在しない」→ ❌
• 「責任者が不明確」→ ❌
• 「各部門に任せきり」→ ❌

👉 “全社統制”と“役割明確化”が判断基準

---

まとめ（試験直前用）

• 情報セキュリティ委員会＝全社統制の中枢
• CISOを中心に経営層も関与
• 役割は「決定・統制・改善」
• 現場任せ・責任不明確はNG

👉 SG試験では
「組織として管理できているか」を見抜くことが重要

🔗 関連記事

• アクセス管理とは？特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
• 情報資産台帳とは？リスク管理の出発点を整理【情報セキュリティマネジメント】
• 監査ログとは？不正検知と追跡の基本【SG試験】
• 認証・アクセス制御まとめ｜SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
• 認証方式とは？3要素と多要素認証を整理【SG試験】

---

🏠 情報セキュリティマネジメントトップに戻る

← ISMSとは？組織で回すセキュリティ管理の仕組み【情報セキュリティマネジメント】 情報セキュリティ事象とは？インシデントとの違いを整理【情報セキュリティマネジメント】 →