Diese Anleitung richtet sich an diejenigen, die für das Management von Informationsrisiken in NHS-Organisationen verantwortlich sind. Es spiegelt die Richtlinien der Regierung wider und steht im Einklang mit dem Bericht des Kabinettsbüros über „Datenverarbeitungsverfahren innerhalb der Regierung“. Die Hauptanforderung besteht darin, dass das Informationsrisiko innerhalb der Arbeitsbereiche auf solide Weise verwaltet wird und nicht als etwas angesehen wird, das in die alleinige Verantwortung der IT- oder IG-Mitarbeiter fällt. Zusicherungen müssen einheitlich erbracht werden. Um dies zu erreichen, ist ein strukturierter Ansatz erforderlich, der auf dem bestehenden Rahmen für die Informationsverwaltung aufbaut, innerhalb dessen viele Teile des NHS bereits arbeiten. Dieser strukturierte Ansatz beruht auf der Identifizierung von Informationsbeständen und der Zuweisung des „Eigentums“ an den Vermögenswerten an verantwortliche Mitarbeiter. Diese Information Asset Owners (IAOs) werden in größeren Organisationen wahrscheinlich von Information Asset Administrators (IAAs) oder Äquivalenten unterstützt, bei denen es sich um operative Mitarbeiter handelt, die täglich für das Management von Risiken für ihre Informationsbestände verantwortlich sind. Die IAOs sind dafür verantwortlich sicherzustellen, dass das Informationsrisiko angemessen gehandhabt wird und Zusicherungen zu geben a Board Führungsebene, die als Senior Information Risk Owner (SIRO) bezeichnet wird. Der SIRO wiederum gibt dem Rechnungsführer einer Organisation, normalerweise dem Chief Executive, Zusicherungen. Das folgende Diagramm veranschaulicht diese Struktur des Informationsrisikomanagements.

[document url = ”http://systems.hscic.gov.uk/infogov/security/risk/inforiskmgtgpg.pdf” width = ”600 ″ height =” 820 ″]