La gestione della sicurezza delle informazioni richiede cervello come prima risorsa: ci deve essere qualcuno, nell'organizzazione, che "gonfi la sicurezza", capisce cosa sta succedendo e pensa ai problemi. Questo sarà il CISO, infatti se non nel titolo.
ISMS sono strumenti pre-digeriti che aiuteranno un CISO a far fronte alle enormi dimensioni dell'ambito di sicurezza delle informazioni in grande organizzazione. La loro esistenza è giustificata solo in quel caso; loro sono artiglieria pesante. Un'analogia: per difendere adeguatamente un paese , hai bisogno di un esercito. Un esercito implica molta logistica, armi, alloggio, alimentazione e gestione delle truppe; questo implicherà molto personale amministrativo, edifici, mobili e budget. Per difendere la tua casa dai ladri, non hai bisogno di un esercito; e, in effetti, non esiste alcun pacchetto "esercito per la tua casa" prontamente in vendita (a meno che non estenda il termine "esercito" per coprire il concetto di "cane", ma è un tratto).
In una piccola organizzazione, la situazione della sicurezza delle informazioni dovrebbe essere di complessità sufficientemente bassa che un proto-CISO può gestirlo senza usare strumenti pesanti, e tali strumenti lo rallenterebbero solo senza aiutarlo veramente.
In ogni caso, l'ISMS non sostituisce sostituisce la parte intelligente della sicurezza delle informazioni, ma lo complemento di fronte a una situazione troppo complessa da gestire in un unico mente umana.