В небольшой организации управление рисками (риск-менеджмент) может являться для одного из ее руководителей одной из его многочисленных обязанностей. По мере расширения организации и повышения ее чувствительности к информационным рискам возрастает необходимость в создании отдельной позиции риск-менеджера. В более крупной организации для выполнения функций по управлению рисками может создаваться специализированное подразделение.
Согласно BS 7799-3, сотрудники, занимающиеся управлением рисками индивидуально либо в составе соответствующего подразделения, должны обладать следующими характеристиками:
- систематичные и организованные в своем подходе к мониторингу известных рисков и предложению подходящих мер;
- бизнес-ориентированные и осведомленные о текущем состоянии бизнеса и его приоритетах;
- настойчивые и независимо мыслящие, но способные воспринимать противоположные точки зрения и примиряться с ними в случае, если это наилучшим образом помогает бизнесу;
- способные убедительно представлять аргументацию, например аргументировать расходы на уменьшение высокого риска;
- способные работать на всех уровнях в организации;
- хорошо понимающие риск, технологии и механизмы безопасности.
