Les autorités qualifiées de la sécurité des systèmes d'information sont chargées de :
- définir une politique de sécurité des systèmes d'information adaptée à sa structure et d'en fixer les objectifs ;
- s'assurer que les dispositions contractuelles et réglementaires sur la sécurité des systèmes d'information sont bien appliquées ;
- élaborer les consignes et les directives internes ;
- s'assurer que les contrôles internes de sécurité sont régulièrement effectués ;
- sensibiliser et organiser la formation du personnel aux questions de sécurité ;
- informer le fonctionnaire de sécurité des systèmes d'information (FSSI) auprès du haut fonctionnaire de défense (HFD) des événements notables ayant compromis la sécurité des systèmes d'information.
Les autorités hiérarchiques sont personnellement responsables de l'application des mesures qui ont été définies par les AQSSI, destinées à assurer la sécurité des systèmes d'information.
Elles peuvent désigner un ou plusieurs agents de sécurité des systèmes d'information (ASSI). Ces derniers assurent la gestion et le suivi des moyens de sécurité des systèmes d'information se trouvant sur le ou les sites où s'exercent leurs responsabilités.