Inom ett företag är den person som ansvarar för att säkra verksamhetens digitala informationsinfrastruktur vanligtvis känd som Chief Information Security Officer (CISO). Det faller vanligtvis på denna professionella att skapa och upprätthålla en säkerhetsställning för företaget. Det kan innefatta allt från rutiner för hantering av känslig information till metoderna för att skydda den digitala infrastrukturen. Som en del av c-sviten av företagstjänstemän fungerar chefen för informationssäkerhet vanligtvis på en hög nivå och kan vara ansvarig för ett antal informationssäkerhetspersonal.
Det primära ansvaret för en informationssäkerhetschef är vanligtvis att skydda integriteten hos informationsteknologins (IT) infrastruktur och all proprietär information som företaget besitter. Detta kan börja med fysiska lösningar och mjukvarulösningar, som brandväggar, men sträcker sig ofta även till personal. CISO kommer vanligtvis att ange procedurer som måste följas vid hantering av privilegierad eller proprietär information, för att förhindra att den hamnar i konkurrenternas händer. Han kan också vara ansvarig för att skapa en ståndpunkt om hur man ska reagera om det uppstår ett sammanbrott i förfarandet.
Förutom informationssäkerhet kan en CISO vara inblandad i saker som integritet och förebyggande av bedrägerier. Eftersom dessa områden ofta är förknippade med IT, kommer CISO ibland att behöva skapa rutiner för att förhindra bedrägerier och hantera det om det inträffar.
Inom den typiska företagsstrukturen rapporterar en informationssäkerhetschef vanligtvis till en högt placerad medlem av c-suiten. Detta kan vara verkställande direktören (CEO), Chief Operating Officer (COO) eller en annan chef, beroende på det specifika företaget. I vissa fall rapporterar CISO istället till chefen för den juridiska avdelningen, eftersom många informationssäkerhetsfunktioner kan få direkta juridiska konsekvenser.
Vissa företag eller mindre företag kan ta bort ansvaret för CISO-positionen från c-suiten. Istället för att ha en företagsledare som ansvarar för dessa säkerhetsfrågor kan det finnas en direktör eller en vice VD för informationssäkerhet. Deras ansvar kommer ofta att likna dem för en CISO, helt enkelt med en annan titel och position på arbetsplatsen.
I vissa situationer är CISO ansvarig för både den fysiska säkerheten och informationssäkerheten i ett företag, i vilket fall han ibland kommer att hänvisas till som chief security officer (CSO). Kombinationen av dessa roller skapar i allmänhet en mängd nya ansvarsområden eftersom CSO måste hantera fysisk säkerhet för affärsverksamheten, stöld, företagsspionage och andra relaterade frågor. En anledning till att kombinera rollerna kan vara den ökande närvaron av teknik i frågor om fysisk säkerhet, där övervakningsenheter och andra komponenter ofta är knutna till IT-infrastrukturen.