A responsabilidade pela implementação de medidas ou controlos concentra-se num único departamento.

Os gestores funcionais / áreas de negócio consideram a Segurança da Informação / Cibersegurança da exclusiva responsabilidade do Chief Information Security Officer (CISO)/Chief Information Officer (CIO).

O CISO/CIO não dispõe de meios para assegurar a adequação e aplicação das políticas e diretivas de segurança.

O conselho de administração não se envolve em decisões estratégicas de Segurança da Informação / Cibersegurança e delega essa responsabilidade, considerando-se não qualificada.

O Conselho de Administração recebe relatórios regulares sobre Segurança da Informação / Cibersegurança.