A responsabilidade de implementar e gerenciar um programa de segurança da informação dentro de uma unidade depende da estrutura organizacional, mas geralmente se enquadra no gerente de unidade ou em um oficial de segurança da informação designado (ISO) , às vezes apoiado por uma equipe de segurança.

Enquanto a responsabilidade final geralmente repousa com o gerente de unidade (ou equivalente, como um chefe ou diretor de departamento), eles frequentemente delegam as tarefas diárias e aspectos técnicos a um Security Diretor dedicado (ISO) ou um membro de uma equipe de segurança dedicada. O ISO se reportaria ao gerente da unidade e garantiria que o programa alinhasse com as políticas gerais de segurança organizacional.

Aqui está um colapso:

* Gerente da unidade/Chefe/Diretor de Departamento: Possui a responsabilidade geral pela segurança da informação em sua unidade. Eles são responsáveis ​​por garantir que o programa seja eficaz e atenda aos requisitos organizacionais. Isso inclui alocação de orçamento, priorização de recursos e supervisão da equipe de segurança.

* Diretor de Segurança da Informação (ISO) ou equipe de segurança: Responsável pelo gerenciamento diário do programa, incluindo implementação de políticas, avaliação de riscos, treinamento em conscientização sobre segurança, resposta a incidentes e gerenciamento de vulnerabilidades. Eles normalmente têm a experiência técnica para implementar e manter os controles de segurança.

Em unidades menores, o gerente da unidade pode lidar diretamente com muitas das responsabilidades da ISO, potencialmente com o apoio da equipe de TI. Em organizações maiores, pode haver várias camadas de responsabilidade de segurança, com uma equipe de segurança central fornecendo orientação e suporte a unidades individuais.