Αυτή η καθοδήγηση απευθύνεται σε όσους είναι υπεύθυνοι για τη διαχείριση του κινδύνου πληροφοριών εντός των οργανισμών του NHS. Αντανακλά τις κυβερνητικές κατευθυντήριες γραμμές και είναι συνεπής με την έκθεση του Υπουργικού Συμβουλίου σχετικά με τις «Διαδικασίες χειρισμού δεδομένων εντός της κυβέρνησης». Η βασική απαίτηση είναι η διαχείριση του κινδύνου πληροφόρησης με άρτιο τρόπο εντός των τομέων εργασίας και να μην θεωρείται κάτι που αποτελεί αποκλειστική ευθύνη του προσωπικού IT ή IG. Οι διαβεβαιώσεις πρέπει να παρέχονται με συνεπή τρόπο. Για να επιτευχθεί αυτό, απαιτείται μια δομημένη προσέγγιση, βασισμένη στο υπάρχον πλαίσιο διακυβέρνησης πληροφοριών εντός του οποίου λειτουργούν ήδη πολλά τμήματα του NHS. Αυτή η δομημένη προσέγγιση βασίζεται στον προσδιορισμό των στοιχείων ενεργητικού και στην ανάθεση της «ιδιοκτησίας» των περιουσιακών στοιχείων σε ανώτερα υπεύθυνα στελέχη. Αυτοί οι Ιδιοκτήτες Πληροφοριακών Στοιχείων (IAO) είναι πιθανό να υποστηρίζονται σε μεγαλύτερους οργανισμούς από Διαχειριστές Πληροφοριακών Στοιχείων (IAA) ή ισοδύναμους, οι οποίοι είναι επιχειρησιακό προσωπικό με καθημερινή ευθύνη για τη διαχείριση των κινδύνων για τα στοιχεία του ενεργητικού τους. Οι ΔΟΕ είναι υπεύθυνοι για τη διασφάλιση της κατάλληλης διαχείρισης του κινδύνου πληροφοριών και για την παροχή διαβεβαιώσεων σε α Επιτροπή Ηγετικό επίπεδο που ονομάζεται Senior Information Risk Owner (SIRO). Το SIRO με τη σειρά του παρέχει διαβεβαιώσεις στον υπόλογο ενός οργανισμού, συνήθως τον Διευθύνοντα Σύμβουλο. Το παρακάτω διάγραμμα απεικονίζει αυτή τη δομή διαχείρισης κινδύνου πληροφοριών.

[document url = "http://systems.hscic.gov.uk/infogov/security/risk/inforiskmgtgpg.pdf" width = "600" ύψος = "820"]