Если Вы занимаетесь ИБ на практике, то риск-менеджмент осуществляете постоянно и непрерывно. Любое изменение инфраструктуры, нацеленное на повышение ИБ, либо внедрение выделенных средств защиты - это деятельность, порожденная некоторыми угрозами. То есть риск-менеджмент у Вас есть всегда.
Другое дело, что для многих специалистов данный процесс гораздо проще осуществлять, если он будет формализован, если кто-то извне разложит по полочкам все возможные риски, с которыми сталкиваются компании данного уровня или данной сферы деятельности.
Вот поэтому в ходе различных аудитов и т.п. приветствуется а иногда и требуется, чтобы процедура риск-менеджмента была формализована. Большинству (как с реализующей так и с проверяющей стороны) так проще, яснее, прозрачнее; меньше вероятность что-то упустить.
Если над Вами нет никаких надзорных органов - принимайте решение о формализации риск-менеджмента сами, а неформализованно - он существует всегда.
Средний
Простой
