Art und Umfang der Informationssicherheitsorganisation sind von Größe, Ausrichtung und Struktur der jeweiligen Organisation abhängig. Die Funktion des Informationssicherheitsbeauftragten sollte jedoch in jeder Organisation eingeführt werden, da er für alle Belange der Informationssicherheit zuständig ist. Der Informationssicherheitsbeauftragte muss bei Projekten, die Auswirkungen auf die Informationsverarbeitung haben, sowie bei der Einführung neuer Anwendungen und IT-Systeme beteiligt werden, damit sichergestellt ist, dass sicherheitsrelevante Aspekte ausreichend beachtet werden. Dazu gehören z. B. die Beschaffung von IT-Systemen oder die Gestaltung von IT-gestützten Geschäftsprozessen.