Styringssystem for personvern og informasjonssikkerhet

For å skape en felles plattform for sikkerhetsarbeidet skal virksomheten som behandler personopplysninger utarbeide og innføre et styringsystem for personvern og informasjonssikkerhet (internkontroll). Kravet gjelder også for databehandlere.


Poenget med et slikt system er å gi prinsipper og detaljerte regler for hvordan personvern og informasjonssikkerhet skal håndteres i virksomheten. Dokumentasjonen må gjøres "tilgjengelig" for alle ansatte slik at reglene blir oppfattet og etterlevd. For oppfølging er det nødvendig å etablere et revisjons- og kontrollsystem.


Styringsystemet bygges gjerne opp etter følgende inndeling:


    1. Ledelse og organisering


        Formål med informasjonsbehandlingen

        Sikkerhetsmål, -strategi og akseptkriterier

        Sikkerhetsledelse og ansvar


    2. Sikkerhetsbestemmelser for personvern og informasjonssikkerhet


        Prosedyrer

        Rutiner

        Rapportering

        Opplæring


    3. Kontroll og oppfølging


        Sikkerhetsrevisjon

        Risikovurdering

        Avviksbehandling

        Ledelsens gjennomgang


Styringssystemet struktureres gjerne iht NS-ISO 27001/2 eller Norm for informasjonssikkerhet, helse- og omsorgssektoren. 


INFOSEC bistår med både etablering, innføring og revisjon(kontroll av styringsystem for informasjonssikkerhet.