1.2.3.2.2.2. Risicomanager
In sommige entiteiten bestaat ook de rol van risicomanager, -beheerder of -coördinator. Meestal is dit een bredere rol die informatieveiligheid overstijgt en die kijkt naar allerlei soorten bedrijfsrisico’s. De risicomanager heeft vaak een primaire focus op tactische en/of strategische bedrijfsrisico’s. Veiligheidsrisico’s kunnen ook een aandachtsgebied zijn voor de risicomanager die erop toeziet dat concrete veiligheidsrisico’s en trends zichtbaar zijn voor het hogere management en deze risico’s worden geadresseerd. Een risicomanager zoals bedoelt hier is niet de eigenaar van het geïdentificeerde risico. Het eigenaarschap blijft bij degene die verantwoordelijk is voor de asset, het proces, het product of de dienst waar het risico speelt. Ten slotte, risicobeheer is ook een integraal onderdeel van de CISO rol ongeacht of er wel of niet een specifieke rol voor risicobeheer bestaat binnen een entiteit. Risicobeheer is altijd onderdeel van het takenpakket van de CISO.
Verantwoordelijkheden zijn onder andere:
Identificeren van hoge en strategische informatieveiligheidsrisico's voor de organisatie en het monitoren van de status;
Het vastleggen van strategische risico’s in een centraal risicoregister;
Op regelmatige basis uitvoeren van organisatie-brede updaterondes die tot doel hebben de risico’s actueel, accuraat en compleet te houden.