在成功的結構中，匯報部門在管理層中占有很重要的地位。對信息安全部門主管或CISO來說，直接向頂層管理者匯報是一個明智的選擇，因為這有助于增加高層管理者的客觀性和發現問題的能力，及發現什么對整個機構最有利，而不是什么對某一個部門（比如信息技術部門）最有利。讓一個高層決策者來管理信息安全部門會更容易獲得管理者的注意，作為回報，信息安全部門可能更能得到所需的預算和員工資源。一個直接向高層管理匯報的信息安全部門也更容易讓別人服從一定的技術規范，例如一個實施某種加密技術的標準說明。

在一些成功的機構中，管理上處于較高地位意味著信息安全部門主管是一個直接向首席執行官( CEO)匯報的高級副主管，在信息安全領域有較大的發展之前或者退而求其次，暫時有一個直接向CEO匯報的信息安全主管也是可以的。這個暫時的匯報結構體系清楚地體現了信息安全的重要性，說明了它值得受到頂層管理者的關注。

雖然如此，對大、中規模機構來說，最普遍的匯報體系是在信息安全部門主管和CEO之間還隔有幾個層次。一般來說，管理的中間層越少，信息安全工作就越具有戰略重要性?？s短CEO和信息安全主管之間的距離是很重要的。

如果機構是第一次建立信息安全部門，或者有一個重要的部門正在進行重組，就需要考慮哪一個中級管理者能成為向CEO傳送信息的最佳人選。另外還需要：

*對新主張敞開胸懷

*對頂層管理者的影響力

*站在大多數員工的角度去考慮

*鼓勵和熟悉基本的信息安全概念

*樂意接受那些從發展的觀點來看真正代表著機構利益的事物。

理想的中層管理者應當直接向CEO匯報，或者是盡可能地在機構中位于高層。管理者也同樣需要同信息安全部門有一個可靠的日常關系。例如，風險和保障管理部門會有這樣一個聯系，而通常情況下工業生產裝配線部門就不會有。雖然有很多候選項，但通常選擇執行副主管(Executive Vice President Administrative Services)、法律部門主管（首席法律總裁）以及首席信息官(CIO)來擔此重任。

這部分涉及到6個用圖形表示的模型，分別為方案一到方案六。按照順序， 對這6種匯報關系進行探討，然后討論其他6個不常見的方案。這6個模型逐一 對6種匯報系統做了探討。因為這些方案是建立在現實的經驗上，可以相信這6 個初始方案中的任何一個都可以在機構中有效地工作，這些模型也為從事具體實踐提供了有益的參考。