Ces conseils s'adressent aux personnes responsables de la gestion des risques liés à l'information au sein des organisations du NHS. Il reflète les directives du gouvernement et est conforme au rapport du Cabinet Office sur les « Procédures de traitement des données au sein du gouvernement ». L'exigence clé est que le risque d'information soit géré de manière robuste dans les zones de travail et ne soit pas considéré comme quelque chose qui relève de la seule responsabilité du personnel informatique ou IG. Les assurances doivent être fournies de manière cohérente. Pour y parvenir, une approche structurée est nécessaire, s'appuyant sur le cadre de gouvernance de l'information existant dans lequel de nombreuses parties du NHS fonctionnent déjà. Cette approche structurée repose sur l'identification des actifs informationnels et l'attribution de la « propriété » des actifs aux cadres supérieurs responsables. Ces propriétaires d'actifs informationnels (IAO) sont susceptibles d'être soutenus au sein de grandes organisations par des administrateurs d'actifs informationnels (IAA), ou leurs équivalents, qui sont des membres du personnel opérationnel chargés au quotidien de gérer les risques liés à leurs actifs informationnels. Les IAO sont chargés de s'assurer que le risque d'information est géré de manière appropriée et de fournir des assurances à un Conseil d'administration responsable de niveau appelé Senior Information Risk Owner (SIRO). Le SIRO fournit à son tour des assurances au comptable d'une organisation, normalement le directeur général. Le diagramme suivant illustre cette structure de gestion des risques liés à l'information.

[document url = ”http://systems.hscic.gov.uk/infogov/security/risk/inforiskmgtgpg.pdf” width = ”600 ″ height =” 820 ″]