Для внедрения СУИР необходимо сформировать постоянно действующую экспертную группу, в состав которой в обязательном порядке должны входить представители подразделений информационной безопасности, ИТ и бизнес-подразделений. Численность экспертной группы может составлять от 3 до 7 человек, в зависимости от размера организации. Типовой состав экспертной группы: риск-менеджер, менеджер информационной безопасности, эксперт по оценке рисков, эксперт по информационной безопасности, ИТ менеджер или главный системный администратор, менеджеры бизнес-подразделений (производственного отдела, отдела продаж и т.п.). По мере необходимости к работе экспертной группы могут привлекаться сотрудники любых подразделений организации.
Должен быть назначен куратор со стороны высшего руководства. Функции куратора может выполнять один из заместителей генерального директора, вице-президент, руководитель службы безопасности или один из членов правления.
В соответствии с регламентом ведения проектов, принятым в организации, необходимо инициировать и документально оформить внутренний проект внедрения СУИР.