Denne veiledningen er rettet mot de som er ansvarlige for å håndtere informasjonsrisiko i NHS-organisasjoner. Den gjenspeiler regjeringens retningslinjer og er i samsvar med statsrådsrapporten om 'Datahåndteringsprosedyrer i regjeringen'. Nøkkelkravet er at informasjonsrisiko skal håndteres på en robust måte innenfor arbeidsområder og ikke ses på som noe som alene er IT- eller IG-ansattes ansvar. Forsikringer må gis på en konsistent måte. For å oppnå dette er det nødvendig med en strukturert tilnærming som bygger på det eksisterende rammeverket for informasjonsstyring som mange deler av NHS allerede arbeider innenfor. Denne strukturerte tilnærmingen er avhengig av identifisering av informasjonsressurser og tildeling av "eierskap" av eiendeler til senior ansvarlig personell. Disse Information Asset Owners (IAOs) vil sannsynligvis bli støttet i større organisasjoner av Information Asset Administrators (IAA) eller tilsvarende, som er operativt personale med daglig ansvar for å håndtere risikoer for informasjonsmidlene deres. IAO-ene er ansvarlige for å sikre at informasjonsrisikoen håndteres på riktig måte og for å gi forsikringer til en Board nivå leder kalt en Senior Information Risk Owner (SIRO). SIRO gir på sin side forsikringer til en organisasjons regnskapsfører, vanligvis administrerende direktør. Følgende diagram illustrerer denne informasjonsrisikostyringsstrukturen.

[dokument url = "http://systems.hscic.gov.uk/infogov/security/risk/inforiskmgtgpg.pdf" width = "600" height = "820"]