企業の情報セキュリティマネジメントシステム（ISMS）を効果的に構築・運用するためには、ISMSの運用管理に関係する人材の、情報セキュリティに関する技能、経験、資格等の力量について規定する必要があります。一般的に、力量定義の対象は次の要員について行うとよいでしょう。

●役割別の力量定義

①情報セキュリティ管理責任者（CISO）の力量

社内で情報セキュリティを統括する担当役員であり、コンピュータシステムやネットワークのセキュリティ対策だけでなく、機密情報や個人情報の管理についても統括する。

②監査責任者（監査人）の力量

社内のISMSの運用管理体制を客観的な視点で監査する要員。

③情報セキュリティ委員会メンバーの力量

ISMSの構築・運用における意思決定機関のメンバー。

④ISMS推進委員会メンバー（核要員）の力量

ISMSの構築・運用における実行機関のメンバー。

また、従業者の階層別に力量を定義する方法もあります。例えば以下のような切り口で定義します。

●階層別の力量定義

①幹部グループ

②中間管理職グループ

③一般職グループ

これらの要員の力量を定義した文書、「力量定義書」を作成しておくことで、従業者の計画的教育・研修が実施でき、ISMSの運用には非常に効果的です。