ในการดำเนินการระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ จะต้องมีการกำหนดโครงสร้างและบทบาทหน้าที่คณะที่เกี่ยวข้อง เพื่อให้สามารถดำเนินงานเป็นไปอย่างต่อเนื่อง บรรลุตามวัตถุประสงค์ และมีเสถียรภาพ จึงต้องมีการแต่งตั้งคณะทำงาน โดยองค์ประกอบและหน้าที่ ดังนี้
1. คณะกรรมการระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (ISMS Management Committee)
กำกับ ดูแล กำหนดวัตถุประสงค์ ให้คำแนะนำ และข้อเสนอแนะเกี่ยวกับการดำเนินแก่คณะทำงาน รวมถึงมีอำนาจในการอนุมัติเอกสาร
2. ผู้แทนคณะกรรมการระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (ISMS Management Representative: ISMR)
เป็นผู้รับมอบหมายจากคณะกรรมการระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อกำกับ ดูแล ติดตามการดำเนินงาน และรายงานความคืบหน้า รวมถึงมีอำนาจในการอนุมัติเอกสาร
3. คณะทำงานระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (ISMS Working Committee)
วางแนวทางเพื่อสร้างกระบวนการบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศ สื่อสาร สร้างความเข้าใจ จัดอบรมหรือเข้าร่วมการอบรมให้กับเจ้าหน้าที่ในเรื่องการปฏิบัติงาน รายงานวิเคราะห์เหตุพร้อมแนวทางการแก้ไข รวมถึงรับผิดชอบในการดำเนินการทางด้านความต่อเนื่องทางธุรกิจ (BCP)
4. ผู้ประสานงานโครงการ (Project Coordinator)
ประสานงานผู้เกี่ยวข้องในการเข้าร่วมการอบรม และคณะผู้ตรวจประเมินภายใน รวมถึงคณะทำงานบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศ
5. เจ้าหน้าที่ควบคุมเอกสาร (Document Control Officer: DCO)
จัดเก็บ ดูแล ปรับปรุง เผยแพร่เอกสารภายในบริษัทฯ และติดตามการดำเนินการแก้ไขจากผู้ตรวจประเมินภายใน
6. คณะผู้ตรวจประเมินภายในระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (ISMS Internal Auditor)
วางแผน ดำเนินการ และรายงานผลการตรวจสอบประเมินภายในระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศ
