このガイダンスは、NHS組織内の情報リスクの管理を担当する人々を対象としています。 これは政府のガイドラインを反映しており、「政府内のデータ処理手順」に関する内閣府の報告と一致しています。 重要な要件は、情報リスクが作業領域内で堅牢な方法で管理され、ITまたはIGスタッフの唯一の責任であると見なされないようにすることです。 保証は一貫した方法で提供される必要があります。 これを達成するには、NHSの多くの部分がすでに機能している既存の情報ガバナンスフレームワークに基づいて、構造化されたアプローチが必要です。 この構造化されたアプローチは、情報資産の識別と、資産の「所有権」を上級の責任あるスタッフに割り当てることに依存しています。 これらの情報資産所有者（IAO）は、情報資産のリスクを管理するための日常的な責任を持つ運用スタッフである情報資産管理者（IAA）または同等の組織によって大規模な組織内でサポートされる可能性があります。 IAOは、情報リスクが適切に管理されていることを確認し、 教育理事会 シニアインフォメーションリスクオーナー（SIRO）と呼ばれるレベルリード。 次に、SIROは、組織の経理責任者（通常は最高経営責任者）に保証を提供します。 次の図は、この情報リスク管理構造を示しています。

[document url =” http://systems.hscic.gov.uk/infogov/security/risk/inforiskmgtgpg.pdf” width =” 600” height =” 820”]