Terwijl de uiteindelijke verantwoordelijkheid vaak bij de unitmanager ligt (of gelijkwaardig, zoals een afdelingshoofd of directeur), delegeren zij vaak de dagelijkse taken en technische aspecten aan een toegewijde Information Security Officer (ISO) of een lid van een speciaal beveiligingsteam. De ISO rapporteert aan de unitmanager en zorgt ervoor dat het programma aansluit bij het algemene beveiligingsbeleid van de organisatie.

Hier is een overzicht:

* Eenheidsmanager/afdelingshoofd/directeur: Is eigenaar van de algehele verantwoordelijkheid voor informatiebeveiliging binnen hun eenheid. Zij zijn er verantwoordelijk voor dat het programma effectief is en voldoet aan de organisatorische vereisten. Dit omvat budgettoewijzing, prioritering van middelen en toezicht op het beveiligingsteam.

* Informatiebeveiligingsfunctionaris (ISO) of beveiligingsteam: Verantwoordelijk voor het dagelijkse beheer van het programma, inclusief beleidsimplementatie, risicobeoordeling, training in beveiligingsbewustzijn, incidentrespons en kwetsbaarheidsbeheer. Zij beschikken doorgaans over de technische expertise om beveiligingscontroles te implementeren en te onderhouden.

In kleinere eenheden kan de unitmanager veel van de verantwoordelijkheden van de ISO rechtstreeks op zich nemen, eventueel met de steun van IT-personeel. In grotere organisaties kunnen er meerdere lagen van beveiligingsverantwoordelijkheid zijn, waarbij een centraal beveiligingsteam begeleiding en ondersteuning biedt aan individuele eenheden.