Mỗi tổ chức có thể lựa chọn thành viên thực hiện các nhiệm vụ trên (nếu có thể, mỗi thành viên sẽ thực hiện một vai trò) trước khi thiết lập ISMS. Tuy nhiên, các thành viên đều phải có kiến thức và kinh nghiệm sâu rộng về lĩnh vực an toàn thông tin như “công nghệ thông tin”, “các quyết định về quản trị” và “có hiểu biết về tổ chức”. Mỗi người chịu trách nhiệm về các công việc nhất định trong tổ chức đều có thể có hiểu biết tốt nhất về lĩnh vực chuyên môn của họ. Rất nhiều chuyên viên là các chuyên gia trong các lĩnh vực cụ thể ở tổ chức của họ nên được tham khảo ý kiến về ISMS vì ISMS cũng được sử dụng trong những lĩnh vực riêng của họ. Cũng cần có sự cân đối giữa yêu cầu về chuyên môn và kiến thức rộng để đáp ứng các mục tiêu của tổ chức. Các tư vấn viên bên ngoài có thể đưa ra những gợi ý dựa trên quan điểm vĩ mô của họ về tổ chức và kinh nghiệm từ các tình huống tương tự, mặc dù họ thường không nhất thiết phải có kiến thức sâu về các đặc trưng của tổ chức và những chi tiết về hoạt động của một tổ chức. Các thuật ngữ được sử dụng ở các ví dụ trên, ví dụ Ban an toàn thông tin và Nhóm Lập kế hoạch an toàn thông tin, hoàn toàn không phải là vấn đề quan trọng. Nhưng chức năng của mỗi bộ phận này nên được hiểu rõ. Lý tưởng nhất là các cấu trúc nội bộ nên phối hợp an toàn thông tin, trao đổi và làm việc gần gũi với từng phòng kỹ thuật.