For å skape en felles plattform for sikkerhetsarbeidet skal virksomheten som behandler personopplysninger utarbeide og innføre et styringsystem for personvern og informasjonssikkerhet (internkontroll). Kravet gjelder også for databehandlere.
Målet med et slikt system er å gi prinsipper og detaljerte regler for hvordan personvern og informasjonssikkerhet skal håndteres i virksomheten. Dokumentasjonen må gjøres "tilgjengelig" for alle ansatte slik at reglene blir oppfattet, forstått og etterlevd. For oppfølging er det nødvendig å etablere et revisjons- og kontrollsystem.
Styringsystemet bygges gjerne opp etter følgende inndeling:
1. Ledelse og organisering
2. Sikkerhetsbestemmelser for personvern og informasjonssikkerhet
3. Kontroll og oppfølging
Styringssystemet struktureres gjerne iht NS-ISO 27001/2 eller Norm for informasjonssikkerhet, helse- og omsorgssektoren.
INFOSEC bistår med etablering, innføring og revisjon (kontroll) av styringsystem for personvern og informasjonssikkerhet.