Denna vägledning riktar sig till dem som är ansvariga för att hantera informationsrisker inom NHS-organisationer. Den återspeglar regeringens riktlinjer och överensstämmer med regeringens rapport om "Datahanteringsförfaranden inom regeringen". Nyckelkravet är att informationsrisk hanteras på ett robust sätt inom arbetsområden och inte ses som något som enbart är IT- eller IG-personalens ansvar. Försäkran måste tillhandahållas på ett konsekvent sätt. För att uppnå detta behövs ett strukturerat tillvägagångssätt som bygger på det befintliga ramverket för informationsstyrning inom vilket många delar av NHS redan arbetar. Detta strukturerade tillvägagångssätt bygger på identifiering av informationstillgångar och tilldelning av "äganderätt" av tillgångar till ansvarig personal. Dessa Information Asset Owners (IAOs) kommer sannolikt att få stöd inom större organisationer av Information Asset Administrators (IAA) eller motsvarande, som är operativ personal med dagligt ansvar för att hantera risker för deras informationstillgångar. IAO:erna är ansvariga för att säkerställa att informationsrisken hanteras på lämpligt sätt och för att tillhandahålla garantier till en Styrelsen nivåledare benämnd Senior Information Risk Owner (SIRO). SIRO ger i sin tur garantier till en organisations räkenskapsförare, normalt verkställande direktören. Följande diagram illustrerar denna informationsriskhanteringsstruktur.

[dokument url = "http://systems.hscic.gov.uk/infogov/security/risk/inforiskmgtgpg.pdf" width = "600" height = "820"]