Styringssystem for informasjonssikkerhet

For å skape en felles plattform for sikkerhetsarbeidet i virksomheten er det nødvendig å utarbeide og innføre et styringsystem for informasjonssikkerhet (internkontroll).

 

Poenget med et slikt system er å gi prinsipper og detaljerte regler for hvordan informasjonssikkerhet skal håndteres i virksomheten. Dokumentasjonen må gjøres "tilgjengelig" for alle ansatte slik at reglene blir oppfattet og etterlevd. For oppfølging er det nødvendig å etablere et enkelt revisjons- og kontrollsystem.

 

Styringsystemet bygges gjerne opp etter følgende inndeling:

 

1. Ledelse og organisering

 

Formål med informasjonsbehandlingen

Sikkerhetsmål, -strategi og akseptkriterier

Sikkerhetsledelse og ansvar

 

2. Sikkerhetsbestemmelser

 

Prosedyrer

Rutiner

Rapportering

Opplæring

 

3. Kontroll og oppfølging

 

Sikkerhetsrevisjon

Risikovurdering

Avviksbehandling

Ledelsens gjennomgang

 

Styringssystemet struktureres gjerne iht personopplysningsforskriften, NS-ISO 27001/2 eller Norm for informasjonssikkerhet, helse- og omsorgstjenesten.

 

INFOSEC bistår med både etablering, innføring og revisjon av styringsystem for informasjonssikkerhet.

Copyright © All Rights Reserved