在成功的结构中,汇报部门在管理层中占有很重要的地位。对信息安全部门主管或CISO来说,直接向顶层管理者汇报是一个明智的选择,因为这有助于增加高层管理者的客观性和发现问题的能力,及发现什么对整个机构最有利
虽然有很多有效的模型来设置机构中的信息安全部门,但是在大型机构中, 这个部门通常设置于信息技术部门内部,并由CISO或CIO来领导。这种结构意味着CISO和CIO的总体目标(goals)和阶段目标(objectives)是紧密联系的。