本指南面向负责管理 NHS 组织内信息风险的人员。 它反映了政府的指导方针，并与内阁办公室关于“政府内部数据处理程序”的报告一致。 关键要求是在工作区域内以稳健的方式管理信息风险，而不是被视为 IT 或 IG 员工的唯一责任。 需要以一致的方式提供保证。 为了实现这一点，需要一种结构化的方法，建立在 NHS 的许多部分已经在其中工作的现有信息治理框架的基础上。 这种结构化方法依赖于信息资产的识别并将资产的“所有权”分配给高级负责人员。 这些信息资产所有者 (IAO) 可能在较大的组织中得到信息资产管理员 (IAA) 或同等人员的支持，他们是日常负责管理其信息资产风险的操作人员。 IAO 负责确保信息风险得到适当管理，并为 烫衣板 级别负责人称为高级信息风险负责人 (SIRO)。 SIRO 反过来向组织的会计官（通常是首席执行官）提供保证。 下图说明了这种信息风险管理结构。

[document url =“http://systems.hscic.gov.uk/infogov/security/risk/inforiskmgtgpg.pdf”width =“600”height =“820”]