Deze begeleiding is bedoeld voor degenen die verantwoordelijk zijn voor het beheer van informatierisico's binnen NHS-organisaties. Het weerspiegelt de richtlijnen van de overheid en is consistent met het rapport van het kabinet over 'Gegevensverwerkingsprocedures binnen de overheid'. De belangrijkste vereiste is dat informatierisico's op een robuuste manier worden beheerd binnen werkgebieden en niet worden gezien als iets dat uitsluitend de verantwoordelijkheid is van IT- of IG-personeel. Zekerheden moeten op een consistente manier worden verstrekt. Om dit te bereiken is een gestructureerde aanpak nodig, voortbouwend op het bestaande kader voor informatiebeheer waarbinnen veel onderdelen van de NHS al werken. Deze gestructureerde benadering steunt op de identificatie van informatiemiddelen en het toewijzen van 'eigendom' van activa aan senior verantwoordelijke medewerkers. Deze Information Asset Owners (IAO's) worden binnen grotere organisaties waarschijnlijk ondersteund door Information Asset Administrators (IAA's), of equivalenten, die operationeel personeel zijn met dagelijkse verantwoordelijkheid voor het beheren van risico's voor hun informatie-assets. De IAO's zijn verantwoordelijk voor het waarborgen dat informatierisico's op de juiste wijze worden beheerd en voor het bieden van garanties aan een: Board level lead een Senior Information Risk Owner (SIRO) genoemd. De SIRO geeft op zijn beurt zekerheid aan de rekenplichtige van een organisatie, normaal gesproken de algemeen directeur. Het volgende diagram illustreert deze informatierisicobeheerstructuur.

[document url = "http://systems.hscic.gov.uk/infogov/security/risk/inforiskmgtgpg.pdf" width = "600" height = "820"]