این راهنما برای کسانی است که مسئول مدیریت ریسک اطلاعات در سازمان های NHS هستند. این دستورالعمل دستورالعمل‌های دولت را منعکس می‌کند و با گزارش دفتر کابینه درباره «رویه‌های رسیدگی به داده‌ها در داخل دولت» سازگار است. شرط کلیدی این است که ریسک اطلاعات به شیوه ای قوی در حوزه های کاری مدیریت شود و به عنوان چیزی که تنها مسئولیت کارکنان IT یا IG است دیده نشود. تضمین ها باید به شیوه ای منسجم ارائه شوند. برای دستیابی به این هدف، یک رویکرد ساختاریافته مورد نیاز است که بر اساس چارچوب حاکمیت اطلاعات موجود است که در آن بخش‌های زیادی از NHS در حال حاضر کار می‌کنند. این رویکرد ساختاریافته بر شناسایی دارایی‌های اطلاعاتی و انتساب «مالکیت» دارایی‌ها به کارکنان ارشد پاسخگو متکی است. این صاحبان دارایی های اطلاعاتی (IAO) احتمالاً در سازمان های بزرگتر توسط مدیران دارایی های اطلاعاتی (IAA) یا مشابه آن ها، که کارکنان عملیاتی هستند و مسئولیت روزانه مدیریت ریسک دارایی های اطلاعاتی خود را بر عهده دارند، پشتیبانی می شوند. IAO ها مسئول اطمینان از مدیریت مناسب ریسک اطلاعات و ارائه تضمین به الف هستند تخته سرنخ سطح به عنوان مالک ریسک اطلاعات ارشد (SIRO) نامیده می شود. SIRO به نوبه خود تضمین هایی را به مدیر حسابداری یک سازمان، معمولاً مدیر اجرایی، ارائه می دهد. نمودار زیر این ساختار مدیریت ریسک اطلاعات را نشان می دهد.

[سند url = "http://systems.hscic.gov.uk/infogov/security/risk/inforiskmgtgpg.pdf" width = "600" height = "820"]