CIOとか、CIAとか、ISMSには似たような略語が出てくる。
　CIOについては、検索すればたくさんヒットするので、ご存知の方も多いのかもしれない。 Chief Infomation Officerの略語で、日本語に訳すと、「最高情報責任者」ということができるようだ。 いろいろ調べてみると、一般企業などでも、組織の最高責任者（社長とか）＝CIOというわけではないらしい。

センターでも、この「CIO」という言葉について、ずいぶんと議論があった。でも結局、ネット環境整備などの仕事をしている人ではなく、情報基盤センターが所属する組織の、一番トップに立つ人がCIOとしての責任を果たしている。　


リスクアセスメントが終了したら、手を尽くしたけれど残ってしまったリスク、受け入れると決めたリスクについて、このCIOの承認を得なければならない。
また、そのリスクを内包するISMSをこれから始めるのにも、このCIOの決裁が必要だ。この決裁をとったら、いよいよ、適用宣言書を作成することになる。