在成功的結(jié)構(gòu)中，匯報(bào)部門在管理層中占有很重要的地位。對信息安全部門主管或CISO來說，直接向頂層管理者匯報(bào)是一個(gè)明智的選擇，因?yàn)檫@有助于增加高層管理者的客觀性和發(fā)現(xiàn)問題的能力，及發(fā)現(xiàn)什么對整個(gè)機(jī)構(gòu)最有利，而不是什么對某一個(gè)部門（比如信息技術(shù)部門）最有利。讓一個(gè)高層決策者來管理信息安全部門會更容易獲得管理者的注意，作為回報(bào)，信息安全部門可能更能得到所需的預(yù)算和員工資源。一個(gè)直接向高層管理匯報(bào)的信息安全部門也更容易讓別人服從一定的技術(shù)規(guī)范，例如一個(gè)實(shí)施某種加密技術(shù)的標(biāo)準(zhǔn)說明。

在一些成功的機(jī)構(gòu)中，管理上處于較高地位意味著信息安全部門主管是一個(gè)直接向首席執(zhí)行官( CEO)匯報(bào)的高級副主管，在信息安全領(lǐng)域有較大的發(fā)展之前或者退而求其次，暫時(shí)有一個(gè)直接向CEO匯報(bào)的信息安全主管也是可以的。這個(gè)暫時(shí)的匯報(bào)結(jié)構(gòu)體系清楚地體現(xiàn)了信息安全的重要性，說明了它值得受到頂層管理者的關(guān)注。

雖然如此，對大、中規(guī)模機(jī)構(gòu)來說，最普遍的匯報(bào)體系是在信息安全部門主管和CEO之間還隔有幾個(gè)層次。一般來說，管理的中間層越少，信息安全工作就越具有戰(zhàn)略重要性。縮短CEO和信息安全主管之間的距離是很重要的。

如果機(jī)構(gòu)是第一次建立信息安全部門，或者有一個(gè)重要的部門正在進(jìn)行重組，就需要考慮哪一個(gè)中級管理者能成為向CEO傳送信息的最佳人選。另外還需要：

*對新主張敞開胸懷

*對頂層管理者的影響力

*站在大多數(shù)員工的角度去考慮

*鼓勵(lì)和熟悉基本的信息安全概念

*樂意接受那些從發(fā)展的觀點(diǎn)來看真正代表著機(jī)構(gòu)利益的事物。

理想的中層管理者應(yīng)當(dāng)直接向CEO匯報(bào)，或者是盡可能地在機(jī)構(gòu)中位于高層。管理者也同樣需要同信息安全部門有一個(gè)可靠的日常關(guān)系。例如，風(fēng)險(xiǎn)和保障管理部門會有這樣一個(gè)聯(lián)系，而通常情況下工業(yè)生產(chǎn)裝配線部門就不會有。雖然有很多候選項(xiàng)，但通常選擇執(zhí)行副主管(Executive Vice President Administrative Services)、法律部門主管（首席法律總裁）以及首席信息官(CIO)來擔(dān)此重任。

這部分涉及到6個(gè)用圖形表示的模型，分別為方案一到方案六。按照順序， 對這6種匯報(bào)關(guān)系進(jìn)行探討，然后討論其他6個(gè)不常見的方案。這6個(gè)模型逐一 對6種匯報(bào)系統(tǒng)做了探討。因?yàn)檫@些方案是建立在現(xiàn)實(shí)的經(jīng)驗(yàn)上，可以相信這6 個(gè)初始方案中的任何一個(gè)都可以在機(jī)構(gòu)中有效地工作，這些模型也為從事具體實(shí)踐提供了有益的參考。