For å skape en felles plattform for sikkerhetsarbeidet skal virksomheten som behandler personopplysninger utarbeide og innføre et styringsystem for personvern og informasjonssikkerhet (internkontroll). Kravet gjelder også for databehandlere.
Poenget med et slikt system er å gi prinsipper og detaljerte regler for hvordan personvern og informasjonssikkerhet skal håndteres i virksomheten. Dokumentasjonen må gjøres "tilgjengelig" for alle ansatte slik at reglene blir oppfattet og etterlevd. For oppfølging er det nødvendig å etablere et revisjons- og kontrollsystem.
Styringsystemet bygges gjerne opp etter følgende inndeling:
1. Ledelse og organisering
Formål med informasjonsbehandlingen
Sikkerhetsmål, -strategi og akseptkriterier
Sikkerhetsledelse og ansvar
2. Sikkerhetsbestemmelser for personvern og informasjonssikkerhet
Prosedyrer
Rutiner
Rapportering
Opplæring
3. Kontroll og oppfølging
Avviksbehandling
Ledelsens gjennomgang
Styringssystemet struktureres gjerne iht NS-ISO 27001/2 eller Norm for informasjonssikkerhet, helse- og omsorgssektoren.
INFOSEC bistår med både etablering, innføring og revisjon(kontroll av styringsystem for informasjonssikkerhet.