Alle virksomheter skal ha et styringssystem for informasjonssikkerhet og personvern (internkontroll). Med styringssystem menes formalisering av hvordan virksomheten planlegger, gjennomfører, evaluerer, kontrollerer og korrigerer etterlevelse av relevant regelverk, sikkerhetskrav, avtaler, tjenester og produkter.
Informasjonssikkerhet og personvern bør inngå som en del av det totale styringssystemet i virksomheten. Styringssystemet skal tilpasses virksomhetens størrelse og ha en risikobasert tilnærming. Det skal ta hensyn til virksomhetens risiko, egenart og aktiviteter, samt informasjonsbehandlingens art, omfang, formål og sammenhengen den utføres i. For mindre virksomheter betyr det at de ikke trenger et like omfattende styringssystem som store virksomheter.
Se nærmere i Normens veileder om internkontroll for informasjonssikkerhet for veiledning om hva som bør inngå i et styringssystem og Normens veileder for små helsevirksomheter.
Virksomhetens ledelse har ansvaret for å fastsette mål og strategi for informasjonssikkerhet, etablere styringssystem, sikkerhetsorganisering med roller og ansvar, og sørge for at det inngå som en del av den overordnede virksomhetsstyringen. Virksomhetens leder skal gi tilstrekkelige økonomiske rammer og ressurser for gjennomføring av alle nødvendige aktiviteter for å etablere og opprettholde et egnet sikkerhetsnivå i virksomheten.
Styringssystemet skal godkjennes av virksomhetens leder og gjennomgås minst årlig med sikte på å forbedre virksomhetens sikkerhetsarbeid.
Styringssystemet skal gjøres kjent for samtlige ansatte med tjenstlig behov samt leverandører og underleverandører.
Styringssystemet skal dokumenteres. Dokumenter angitt i styringssystemet skal holdes løpende oppdatert, kontinuerlig forbedres og arkiveres fra det tidspunktet dokumentet ble erstattet med en ny gjeldende versjon. Dette kan f.eks. være rutiner for sikkerhetsrevisjoner, risikovurderinger, driftsrutiner, avvik og hvordan de håndteres, ledelsens gjennomgang, databehandleravtaler mv.
Dokumentasjon av risiko og tiltak knyttet til informasjonssikkerhet skal sikres ut fra de behov for sikkerhet som foreligger. Dersom dokumentasjon skal deles med annen virksomhet må dataansvarlig vurdere om detaljert informasjon som kan ha sikkerhetsmessig betydning skal fjernes før utlevering. Dokumentasjonen skal til enhver tid være oppdatert og tilgjengelig.
Alle offentlige virksomheter skal beskrive mål og etablere strategi for informasjonssikkerhet. Dette skal danne grunnlaget for styringssystemet.
