Styringssystem for informasjonssikkerhet

For å skape en felles plattform for sikkerhetsarbeidet skal virksomheten som behandler personopplysninger utarbeide og innføre et styringsystem for informasjonssikkerhet (internkontroll). Kravet gjelder også for databehandlere.


Poenget med et slikt system er å gi prinsipper og detaljerte regler for hvordan informasjonssikkerhet skal håndteres i virksomheten. Dokumentasjonen må gjøres "tilgjengelig" for alle ansatte slik at reglene blir oppfattet og etterlevd. For oppfølging er det nødvendig å etablere et revisjons- og kontrollsystem.


Styringsystemet bygges gjerne opp etter følgende inndeling:


    1. Ledelse og organisering


        Formål med informasjonsbehandlingen

        Sikkerhetsmål, -strategi og akseptkriterier

        Sikkerhetsledelse og ansvar


    2. Sikkerhetsbestemmelser


        Prosedyrer

        Rutiner

        Rapportering

        Opplæring


    3. Kontroll og oppfølging


        Sikkerhetsrevisjon

        Risikovurdering

        Avviksbehandling

        Ledelsens gjennomgang


Styringssystemet struktureres gjerne iht personopplysningsloven, personvernforordningen (GDPR), NS-ISO 27001/2 eller Norm for informasjonssikkerhet, helse- og omsorgssektoren.


INFOSEC bistår med både etablering, innføring og revisjon(kontroll av styringsystem for informasjonssikkerhet.

Copyright © All Rights Reserved