تستهدف هذه الإرشادات المسؤولين عن إدارة مخاطر المعلومات داخل مؤسسات NHS. إنه يعكس المبادئ التوجيهية الحكومية ويتوافق مع تقرير مكتب مجلس الوزراء حول "إجراءات معالجة البيانات داخل الحكومة". المطلب الرئيسي هو إدارة مخاطر المعلومات بطريقة قوية داخل مناطق العمل وألا يُنظر إليها على أنها مسؤولية فردية من مسؤولي تكنولوجيا المعلومات أو موظفي IG. يجب تقديم التأكيدات بطريقة متسقة. لتحقيق ذلك ، هناك حاجة إلى نهج منظم ، بناءً على إطار عمل إدارة المعلومات الحالي الذي تعمل فيه بالفعل أجزاء كثيرة من NHS. يعتمد هذا النهج المنظم على تحديد أصول المعلومات وتعيين "ملكية" الأصول لكبار الموظفين المسؤولين. من المرجح أن يتم دعم مالكي أصول المعلومات (IAOs) داخل المؤسسات الأكبر من قبل مسؤولي أصول المعلومات (IAAs) ، أو ما يعادلهم ، وهم موظفون تشغيليون يتحملون المسؤولية اليومية عن إدارة المخاطر التي تتعرض لها أصول المعلومات الخاصة بهم. إن IAOs مسؤولة عن ضمان إدارة مخاطر المعلومات بشكل مناسب وتقديم تأكيدات إلى أ مجلس يُطلق على المستوى الرصاصي لقب "مالك مخاطر المعلومات الأول" (SIRO). يقدم SIRO بدوره تأكيدات إلى مسؤول المحاسبة في المنظمة ، وعادة ما يكون الرئيس التنفيذي. يوضح الرسم البياني التالي هيكل إدارة مخاطر المعلومات.

[document url = "http://systems.hscic.gov.uk/infogov/security/risk/inforiskmgtgpg.pdf" width = "600 ″ height =" 820 ″]