http://www.atmarkit.co.jp/fsecurity/rensai/talk03/talk02.html
http://www.ciojp.com/contents/?id=00001658;t=24
http://internet.watch.impress.co.jp/cda/event/2006/01/31/10703.html
http://sinzo.web.infoseek.co.jp/joho/kodogozen/06sec/004/point004.htm
http://www.kogures.com/hitoshi/webtext/sec-isms-policy/index.html
まず、セキュリティポリシーって．．．。
情報セキュリティマネジメントの最高責任者である経営者（CEO、COO）が、
情報セキュリティに関する基本的な方針を示すものとして．．．社内外に宣言するものです。
本当に企業のセキュリティについて責任を取れる人は、経営責任能力や発言力があり、
事業継続全般（情報システム管理、リスク管理、セキュリティ管理など）に関して、
横断的にオペレーションできる人（権限がある人）ってことになるんですよね．．．。
そうなると、COO（又はCEO）が一番近いですね．．．。
確かにCSO、CISOなどの名前が、セキュリティの責任者を指すような話もありますが、
最終的な企業における経営責任能力や事業継続全般を見渡して、横断的に掌握したり、
オペレーションできる権限（能力）があるとは思えないですからね．．．。
CSO、CISOでは、もしかしたら、事業継続（経営）能力を十分に考慮した
セキュリティオペレーションという意味では、少し中途半端というか、
部分的（断片的）ですね．．．。
やはり、COO（CEO）が、本当の企業の最高セキュリティ責任者でしょうね．．．。
会社の業務（事業）をうまく回すために、セキュリティがあるのですから。
目的が事業継続で、その手段がセキュリティでしょうか．．．。
したがって、セキュリティポリシーのセキュリティ（最高）責任者は、
COO（CEO）がベストでしょう！！！
事業継続とセキュリティは表裏一体！！！