En sikkerhetsrevisjon omfatter kontroll og verifikasjon av nødvendige sikkerhetstiltak i virksomheten, og skal gjennomføres jevnlig.
Om faktaarket
Dette faktaarket omhandler sikkerhetsrevisjon og hvordan virksomheten skal og bør gjennomføre en sikkerhetsrevisjon. Alle virksomheter som behandler helse- og personopplysninger er pålagt å gjennomføre sikkerhetsrevisjoner. Sikkerhetsrevisjonen må tilpasses omfanget av virksomheten.
Det er virksomhetens ledelse som har et ansvar for at det gjennomføres sikkerhetsrevisjoner. Databehandler har et selvstendig ansvar for å gjennomføre sikkerhetsrevisjoner.
Sikkerhetsrevisjonen skal gjennomføres jevnlig og minimum årlig. Formålet med å gjennomføre sikkerhetsrevisjon er å:
- kontrollere at det er gjennomført nødvendige sikkerhetstiltak ift gjennomførte risikovurderinger
- vurdere om sikkerhetstiltakene er tilstrekkelige
- kontrollere at lover og regler ift. informasjonssikkerhet følges
- sikre at etablerte prosedyrer for sikkerhet benyttes og fungerer etter hensikten
Målgruppe
Målgruppen for faktaarket er:
- virksomhetens leder/ledelse
- sikkerhetsleder
- personvernombud
- IKT-ansvarlig
- databehandler
- leverandør
Krav i Normen
Faktaarket gjelder følgende kapitler i Normen:
