情報社会が本格化する中で、企業活動においても情報セキュリティの確保が必須条件の一つとしてクローズアップされるようになりました。経営者の多くがこのような認識を持つようになった背景には二つの大きな要因があります。
一つは、企業価値に占める情報の価値の比率が非常に高まってきたことです。企業の価値は、土地や建物、機械、装置、製品、部品などに代表される有形資産と、知識や記録などデジタルで表現できる情報を代表とする無形資産とに、大きく分けて考えることができますが、この二つの構成比が情報社会の本格化により大きく変化しているのです。

　米国の上場企業の例でいうと、有形資産と無形資産の比が1950年代には75：25であったのが、2010年には20：80に大きく逆転する（鮫島正洋編著「特許戦略ハンドブック」）という見方もあります。企業価値の80％を占めるようになる情報の価値を的確に保護しなければこれからの企業経営は成り立たないというのが第一の要因です。

　第一の要因は、企業にとってのリスクの構造が、これまでの工業技術やエネルギーにかかわるリスクに加えて、情報にかかわるリスクが大きな割合を占めるようになってきたことを示しています。また、第二の要因は、このリスクが一企業の枠を超えて、企業群に大きな影響を与え始めていることを示しています。
　つまり、多くの経営者はこのような変化を敏感に感じ取り、情報セキュリティの確保に真剣に取り組まなければならないことを強く認識し始めているのです。

　 しかし、これまでの企業の情報セキュリティの対策は現場中心に技術的な対策から始まり、人の管理や組織的な管理の重要性が認識されるにつれて、情報セキュリティマネジメントの考え方が浸透してきました。現場の管理者や従業者の取り組みとしての情報セキュリティ対策やそのマネジメントの仕組みはかなり整備が進んできた面もありますが、そもそも何故やるのか、どれくらい精緻に情報セキュリティ対策を組上げなければならないのか、どれくらいの投資をしてでもやる価値があるのかなどには、あまり明確な答えがないままに進んできた感があります。この3つのバイタルな質問に答えることができるのは、企業のトップをおいてほかにはありません。

　 企業の経営者が、自らこれらのバイタルなテーマに対する答えを見出し、情報社会における事業活動を円滑に行う基盤を築く方針を明確に示すことが求められます。これこそが、情報セキュリティガバナンスの中核そのものに他なりません。

　 情報セキュリティガバナンスの正確な定義は、経済産業省「企業における情報セキュリティガバナンスのあり方研究会報告書」（平成17年3月）において「社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」と定められました。

　 また、産業構造審議会情報セキュリティ基本問題委員会中間取りまとめ(平成20年6月)において、『企業経営の主目標は、株主、顧客、取引先、従業員、社会等の利害関係者に対して責任を果たすこと、つまり、「企業価値の向上」及び「社会的責任の遂行」にあり、これを支える重要な取組の一つにリスク管理が位置づけられる。さまざまなリスクの内、情報資産に係るリスクの管理を狙いとして、情報セキュリティに係る意識、取組およびそれらに基づく業務活動を組織内に徹底させるための仕組みを構築・運用することを情報セキュリティガバナンスと位置づける。』との説明が加えられました。
　経営層が企業の二つの主目的を達成するために行うリスク管理の重要なコンポーネントとして情報セキュリティガバナンスが明確に位置付けられたわけです。