For å skape en felles plattform for sikkerhetsarbeidet skal virksomheten som behandler personopplysninger utarbeide og innføre et styringsystem for personvern og informasjonssikkerhet (internkontroll). Kravet gjelder også for databehandlere.
Målet med et slikt system er å gi prinsipper og detaljerte regler for hvordan personvern og informasjonssikkerhet skal håndteres i virksomheten. Dokumentasjonen må gjøres "tilgjengelig" for alle ansatte slik at reglene blir oppfattet, forstått og etterlevd. For oppfølging er det nødvendig å etablere et revisjons- og kontrollsystem.
Styringsystemet bygges gjerne opp etter følgende inndeling:
1. Ledelse og organisering
- Formål med informasjonsbehandlingen
- Sikkerhetsmål, -strategi og akseptkriterier
- Sikkerhetsledelse og ansvar
2. Sikkerhetsbestemmelser for personvern og informasjonssikkerhet
- Prosedyrer
- Rutiner
- Rapportering
- Opplæring
3. Kontroll og oppfølging
- Avviksbehandling som resultat fra Sikkerhetsrevisjon eller Risikovurdering
- Ledelsens gjennomgang
Styringssystemet struktureres gjerne iht NS-ISO 27001/2 eller Norm for informasjonssikkerhet, helse- og omsorgssektoren.
INFOSEC bistår med etablering, innføring og revisjon (kontroll) av styringsystem for personvern og informasjonssikkerhet.
