Cele doua notiuni apar in standardul ISO 27001:2013 in locuri distincte si au intelesuri diferite chiar daca in multe organizatii acestea se confunda.
Daca de proprietarul de riscuri (risk owner) standardul vorbeste, inca de la inceput, ca fiind cel care trebuie sa isi asume urmarirea eficacitatii masurilor specifice de securitate , de detinator de resurse informationale se vorbeste ceva mai tarziu, in ANEXA A a standardului.
Proprietarul riscului trebuie sa fie obligatoriu o persoana care este sub controlul organizatiei. De regula acesta este o persoana cu autoritate pe zona respectiva, o persoana care poate dicta respectarea regulilor de securitate (ex: un director, un responsabil de o anumita activitate).
Detinatorul de resursa informationala (asset owner) este cel care raspunde de securitatea unui bun din inventarul bunurilor (asset inventory). Poate fi o persoana sau chiar organizatia, dupa caz. Detinator nu inseamna intotdeauna insa proprietarul din acte al bunului respectiv ci cel care trebuie sa raspunda de integritatea, confidentialitatea, disponibilitatea bunului respectiv. Detinator de resursa poate fi orice angajat al companiei sau chiar un tert, daca ne referim la persoane.
In practica, exista numeroase cazuri cand cele doua notiuni sunt intelese ca fiind una si aceeasi, adica detinatorul trebuie sa raspunda si de gestionarea riscurilor de securitate ale bunului respectiv.
Exemplu: pentru riscul de furt, organizatia poate stabili ca angajatii care sunt detinatori de resurse pot fi si proprietari de risc simultan, intrucat trebuie sa urmareasca zilnic daca masurile de securitate impotriva furtului bunurilor pe care le utilizeaza in mod frecvent (ex: laptopuri, smartphone-uri) sunt eficace.
Exista insa si cazuri cand cele doua roluri nu sunt indeplinite de aceeasi persoana, daca ne referim la acelasi risc.
Exemplu: administratorul IT poate fi proprietarul riscurilor de securitate informatica legate de laptopuri, in sensul ca el este cel care implementeaza si raspunde de regulile de securitate pe aceste dispozitive (ex: criptarea unei partitii, punerea de parole). Detinatorii laptopurilor pot fi angajatii care pleaca pe teren cu laptopurile si care au obligatia sa isi tina datele sensibile doar in partitia criptata si sa utilizeze o parola de o anumita calitate.