Bilginin sahibi olan kişi o bilgiyi kimlerin görmesi ve değiştirmesi gerektiğini belirleyen bir politika belirlemelidir. Genellikle bir kişinin rolü erişim derecesini belirler. Örneğin muhasebe bölümündeki herhangi bir kişi hesap verisini görebilir fakat sadece hesap analisti yeni hesaplar ekleyebilir.

Bilgi sahibi ayrıca o veriye kimlerin erişeceğine, bilginin nasıl korunacağına, bilginin ne kadar süre boyunca korunması gerektiğine, bilginin imhası için gerekli en uygun metoda ve bilginin şifrelenip şifrelenmeyeceğine karar verir.

Bilgi sahibi bu sorumluluklarla ilgili günlük görevleri yerine getirecek yetkili bir yönetici de tayin edebilir.  Her ne kadar Bilgi Teknolojileri Birimi verinin gözeticisi de olsa asla sahibi olmamalıdır. Bilgi Teknolojileri Bölümü çalışanları bilginin o iş birimi için ne kadar önemli olduğunu, bilginin nasıl kullanıldığını ve hangi kişilerin o bilgiye erişmesi gerektiğini bilemeyebilir.

Bilgi Teknolojileri Birimi çalışanlarının bilginin sahibi olamamasının nedeni görevler ayrılığı ilkesidir.  Eğer Bilgi Teknolojileri Bölümü bilgiye kimin erişeceğine karar verirse, daha sonra erişimi yönetir. bunun sonucunda da erişim kontrol politikasının izlenmesi ve yetkisiz erişimlerin saptanması ile ilgili bir kontrol ve denge kurulamaz.  Bilgi Teknolojilerinin rolü verinin gözetimi ile sınırlıdır.