Risk Sahibi
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi risk sahibinin
(risk owner) de tanımlanmasını gerektirir. Risk sahibi riski yöneten ya da
riskten sorumlu olan kişidir. Örneğin bir server bilgisayarın sahibi (varlık
sahibi), IT yöneticisi olabilir. Risk sahibi ise daha üst düzey birisi (CIO ya
da genel müdür) olabilir. Çünkü IT yöneticisi server bilgisayarın günlük
çalışmasını sağlarlarken risk sahibi daha geniş anlamda riskleri
değerlendirmekle ve çözmekle yükümlüdür.
Risk sahibi nasıl seçilecek? Risk sahibi genellikle ilgili
sürece ve operasyona yakın olan kişidir. Genellikle orta düzey yöneticiler risk
sahibi olarak tanımlanır. Ancak birçok konuda belirttiğimiz gibi bu tür
atamalar şirketin büyüklüğüne ve organizasyonuna göre değişir.