Acest ghid se adresează celor responsabili cu gestionarea riscului informațional în cadrul organizațiilor NHS. Acesta reflectă orientările guvernamentale și este în concordanță cu raportul Cabinetului privind „Procedurile de prelucrare a datelor în cadrul guvernului”. Cerința cheie este ca riscul informațional să fie gestionat într-un mod robust în zonele de lucru și să nu fie văzut ca ceva care este responsabilitatea exclusivă a personalului IT sau IG. Asigurările trebuie furnizate într-o manieră consecventă. Pentru a realiza acest lucru, este necesară o abordare structurată, bazată pe cadrul existent de guvernanță a informațiilor în care multe părți ale NHS lucrează deja. Această abordare structurată se bazează pe identificarea activelor informaționale și atribuirea „proprietății” asupra activelor personalului superior responsabil. Este posibil ca acești proprietari de active de informații (IAO) să fie sprijiniți în cadrul organizațiilor mai mari de administratori de active de informații (IAA) sau echivalente, care sunt personal operațional cu responsabilitate zilnică pentru gestionarea riscurilor pentru activele lor informaționale. IAO-urile sunt responsabile pentru a se asigura că riscul de informare este gestionat corespunzător și pentru a oferi asigurări pentru a Bordul director lider de nivel numit Senior Information Risk Owner (SIRO). SIRO, la rândul său, oferă asigurări contabilului unei organizații, de obicei directorului executiv. Următoarea diagramă ilustrează această structură de management al riscului informațional.

[document url = "http://systems.hscic.gov.uk/infogov/security/risk/inforiskmgtgpg.pdf" width = "600" height = "820"]