Esta guía está dirigida a los responsables de gestionar el riesgo de la información dentro de las organizaciones del NHS. Refleja las pautas gubernamentales y es consistente con el informe de la Oficina del Gabinete sobre 'Procedimientos de manejo de datos dentro del gobierno'. El requisito clave es que el riesgo de la información se gestione de manera sólida dentro de las áreas de trabajo y no se vea como algo que es responsabilidad exclusiva del personal de TI o IG. Las garantías deben proporcionarse de manera coherente. Para lograr esto, se necesita un enfoque estructurado, basado en el marco de gobierno de la información existente dentro del cual ya están trabajando muchas partes del NHS. Este enfoque estructurado se basa en la identificación de los activos de información y la asignación de la "propiedad" de los activos al personal superior responsable. Es probable que estos propietarios de activos de información (IAO) cuenten con el apoyo de administradores de activos de información (IAA) o equivalentes dentro de organizaciones más grandes, que son personal operativo con la responsabilidad diaria de administrar los riesgos de sus activos de información. Los IAO son responsables de garantizar que el riesgo de la información se gestione adecuadamente y de proporcionar garantías a un Junta Directiva líder de nivel denominado propietario principal de riesgos de la información (SIRO). SIRO, a su vez, proporciona garantías al contable de una organización, normalmente el director ejecutivo. El siguiente diagrama ilustra esta estructura de gestión de riesgos de la información.

[document url = ”http://systems.hscic.gov.uk/infogov/security/risk/inforiskmgtgpg.pdf” width = ”600 ″ height =” 820 ″]