<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=498504343650697&amp;ev=PageView&amp;noscript=1">
/ 12.01.2021 IT-sikkerhet

Sikkerhetsrevisjoner: Unngå GDPR på autopilot

Abonner på nyhetsbrev

Mange virksomheter tenker på GDPR som et fullført prosjekt. Men det er faktisk en del av den løpende driften.

Dere har sikkert fått på plass internkontroll for personvern og forbedret informasjonssikkerhet. Det er bra, men har virksomheten din gjennomført sikkerhetsrevisjoner? Hva er i så fall resultatet av alt arbeidet, og hva kan dere forbedre?

Hvis du merker at du har litt tynt grunnlag for å svare på spørsmålene over, er det nok på tide med en påminner.

 

Hvorfor gjøre sikkerhetsrevisjoner?

Sikkerhetsrevisjoner er et kjerneelement i internkontroll for informasjonssikkerhet og personvern. Gjennom sikkerhetsrevisjoner verifiserer du at virksomheten etterfølger egne krav til informasjonssikkerhet. Du kvalitetssikrer samtidig rutinene og identifiserer områder for forbedring.

I denne prosessen er det vanlig å oppdage underliggende sårbarheter som krever tiltak. Samtidig gjelder det å se fremover for å hindre at uønskede situasjoner oppstår.

Det er viktig at deres virksomhet ikke går i sjekklistefellen. Mange huker av for utførte aktiviteter i en sjekkliste og sier seg fornøyd med det. Dette er neppe nok. 

Dere må ta høyde for at risikobildet kan ha forandret seg, ved innføringen av nye systemer eller endrede rutiner. 

 

Hvor ofte må vi gjøre sikkerhetsrevisjoner?

Sikkerhetsrevisjon skal gjennomføres regelmessig, og i samsvar med virksomhetens risikobilde. Besøk Datatilsynet for ytterligere informasjon om dette. 

 

Hva skal en revisjon omfatte? 

Sikkerhetsrevisjoner bør utføres basert på faktisk nytteverdi. Det er sjelden nødvendig å revidere alt i en revisjon.

Fire typiske kategorier er som følger:

  1. Virksomhetens mest kritiske behandlinger: Prosesser, systemer og databehandlere, for eksempel fagsystem, lønn og personal- eller kundebehandling.
  2. Virksomhetens mest kritiske databehandler (som drifter datasystemet), gjerne i en felles revisjon med andre brukere av samme system. Det kan for eksempel være fagsystemet til virksomheten.
  3. Internkontrollen i organisatoriske deler av virksomheten, for eksempel HR-avdelingen.
  4. Hele virksomheten, gjennom mindre revisjoner over tid. 

Dere bør også beslutte hvilke standarder dere skal revidere mot. De vanligste er Personopplysningsloven (GDPR) og ISO 27001 for informasjonssikkerhet. 

 

Anbefalt fremdriftsplan

Typiske hovedaktiviteter i en sikkerhetsrevisjon vil være å: 

  • Kartlegge revisjonen.

  • Velge metodikk, vurdere risiko og konkretisere omfang. 

  • Lage revisjonsplan og fremdriftsplan.

  • Gjennomføre sikkerhetsrevisjon.

  • Lage revisjonsrapport med kommentarer og forslag på tiltak. 

 

Vurder bistand fra et profesjonelt personvernombud

Flere og flere virksomheter ser nytten av en Personvernombudstjeneste. Det innebærer å tegne et abonnement med et personvernombud som deltar i kvartalsvise møter, og som bistår i ledelsens årlige gjennomgang og rapportering til styret. En slik avtale gir også tilgang til relatert rådgivning, som gjennomføring av risikovurderinger, vurdering av personvernkonsekvenser, nye behandlinger, med mer. 

Dere kan også få bistand til å få på plass de vanskeligste kravene i GDPR, som dette med lagringstid og sletting av ulike behandlinger. Datatilsynet forventer at sletting er på plass nå, og dette er en utfordring for mange. 

 

Lykke til, og ikke nøl med å ta kontakt med oss for en prat.

 

 

Last ned gratis guide: Internkontroll for informasjonssikkerhet og personvern

 

Rolf Haavik

Rolf Haavik har spesialisert seg innen personvern og informasjonssikkerhet og er personvernombud for flere virksomheter. Rolf er opptatt av å gi kundene et intern-kontrollsystem for personvern som er praktisk og tilpasset virksomhetens størrelse (risikobasert). Rolf er i tillegg opptatt av å få til personvern som faktisk fungerer i første forsøk, noe som krever god forankring i hele organisasjonen og bevisst endringsledelse.

}