Alle virksomheter skal ha et styringssystem for informasjonssikkerhet og personvern (internkontroll).
Med styringssystem menes formalisering av hvordan virksomheten planlegger, gjennomfører, evaluerer/kontrollerer og korrigerer etterlevelse av relevant regelverk, krav og avtaler.
Informasjonssikkerhet og personvern bør inngå som en del av det totale styringssystemet i virksomheten.
Styringssystemet skal tilpasses virksomhetens størrelse, risiko, egenart og aktiviteter og informasjonsbehandlingens art, omfang, formål og sammenhengen den utføres i. For mindre virksomheter betyr det at de ikke trenger et like omfattende styringssystem som store virksomheter.
Se nærmere i Normens veileder om internkontroll for informasjonssikkerhet for veiledning om hva som bør inngå i et styringssystem og Normens veileder for små helsevirksomheter.
Øverste ledelse har ansvaret for styringssystemet og skal sørge for å gjøre dette kjent for samtlige ansatte. Virksomhetens øverste ledelse skal gi tilstrekkelige økonomiske rammer og ressurser for gjennomføring av nødvendige aktiviteter.
Styringssystemet skal dokumenteres. Dokumenter angitt i styringssystemet skal holdes løpende oppdatert og arkiveres fra det tidspunktet dokumentet ble erstattet med en ny gjeldende versjon. Dette kan f.eks. være rutiner for sikkerhetsrevisjoner, risikovurderinger, driftsrutiner, avvik og hvordan de håndteres, ledelsens gjennomgang, databehandleravtaler mv.
Dokumentasjon av risiko og tiltak knyttet til informasjonssikkerhet skal sikres ut fra de behov for sikkerhet som foreligger. Dersom dokumentasjon skal deles med annen virksomhet må dataansvarlig vurdere om detaljert informasjon som kan ha sikkerhetsmessig betydning skal fjernes før utlevering. Dokumentasjonen skal til enhver tid være oppdatert og tilgjengelig.
Alle offentlige virksomheter skal beskrive mål og etablere strategi for informasjonssikkerhet. Dette skal danne grunnlaget for styringssystemet.
