情報セキュリティを推進する組織はあっても、情報セキュリティについての管理を行う組織は？というところで疑問が残る。
それに係る費用はとりあえずおいといて（最終的には考えることになるけど）、理想的には

• 情報セキュリティを組織的に推進し、その効果を測定するための組織
• 推進組織が実施することが、合理的かつ適切な内容＆タイミングで施策を実施するかを判断する組織（人？）
• 推進組織が打ち出した施策を実施・管理する組織

ってのが必要になる。
このうち、推進組織は明確になっていることはあっても、推進と管理組織が明確になっているという話はあんまり聞かない。
長年この疑問にぶちあたっていたが、上記のレポートを読んで納得。ただ、このことには大きな問題がある。