Esta orientação destina-se aos responsáveis ​​pela gestão do risco de informação nas organizações do NHS. Ele reflete as diretrizes do Governo e é consistente com o relatório do Gabinete sobre 'Procedimentos de Tratamento de Dados dentro do Governo'. O principal requisito é que o risco da informação seja gerenciado de maneira robusta nas áreas de trabalho e não seja visto como algo que é de responsabilidade exclusiva da equipe de TI ou IG. As garantias precisam ser fornecidas de maneira consistente. Para conseguir isso, é necessária uma abordagem estruturada, com base na estrutura de governança da informação existente, na qual muitas partes do NHS já estão trabalhando. Essa abordagem estruturada baseia-se na identificação de ativos de informação e na atribuição da 'propriedade' dos ativos ao pessoal responsável sênior. Esses proprietários de ativos de informações (IAOs) provavelmente serão apoiados em organizações maiores por administradores de ativos de informações (IAAs), ou equivalentes, que são funcionários operacionais com responsabilidade diária pelo gerenciamento de riscos para seus ativos de informações. Os IAOs são responsáveis ​​por garantir que o risco da informação seja gerenciado adequadamente e por fornecer garantias a um Pranchas líder de nível denominado Senior Information Risk Owner (SIRO). O SIRO, por sua vez, fornece garantias ao Diretor de Contabilidade de uma organização, normalmente o Diretor Executivo. O diagrama a seguir ilustra essa estrutura de gerenciamento de risco da informação.

[document url = ”http://systems.hscic.gov.uk/infogov/security/risk/inforiskmgtgpg.pdf” width = ”600 ″ height =” 820 ″]