Digitalisering og ledelse

Mange virksomheter tenker på GDPR som et fullført prosjekt. Men det er faktisk en del av den løpende driften.

Dere har sikkert fått på plass et styringssystem for informasjonssikkerhet og personvern (ISMS) og forbedret informasjonssikkerheten. Det er bra, men har virksomheten din gjennomført sikkerhetsrevisjoner? Hva er i så fall resultatet av alt arbeidet, og hva kan dere forbedre?

 

Hvorfor gjøre sikkerhetsrevisjoner?

Sikkerhetsrevisjoner er et kjerneelement i et ISMS. Gjennom sikkerhetsrevisjoner verifiserer du at virksomheten etterlever egne krav til informasjonssikkerhet og personvern. Du kvalitetssikrer samtidig rutinene og identifiserer områder for forbedring.

Ofte trenger virksomheter å kunne vise til at informasjonssikkerhet og personvern tas på alvor i virksomheten. En revisjonsrapport gjør jobben i de fleste tilfeller, mens en ISO-sertifisering er det beste bevis.

 

Hvor ofte må vi gjøre sikkerhetsrevisjoner?

Sikkerhetsrevisjon skal gjennomføres regelmessig, og i samsvar med virksomhetens risikobilde. Besøk Datatilsynet for ytterligere informasjon om dette. 

 

Hva skal en revisjon omfatte? 

Sikkerhetsrevisjoner bør utføres basert på risiko faktisk nytteverdi. Det er sjelden nødvendig å revidere alt i en revisjon.

Fire typiske kategorier er som følger:

  1. Virksomhetens mest kritiske behandlinger: Prosesser, systemer og databehandlere, for eksempel IT-tjenester, fagsystem, lønn og personal- eller kundebehandling.
  2. Virksomhetens mest kritiske databehandler (som drifter datasystemet), gjerne i en felles revisjon med andre brukere av samme system. Det kan for eksempel være fagsystemet til virksomheten.
  3. Internkontrollen i organisatoriske deler av virksomheten, for eksempel HR-avdelingen.
  4. Hele virksomheten, gjennom mindre revisjoner over tid. 

Dere bør også beslutte hvilke standarder dere skal revidere mot. De vanligste er Personopplysningsloven (GDPR) og ISO 27001 for informasjonssikkerhet.

 

Anbefalt fremdriftsplan

Typiske hovedaktiviteter i en sikkerhetsrevisjon vil være å: 

  • Kartlegge revisjonen.

  • Velge metodikk, vurdere risiko og konkretisere omfang. 

  • Lage revisjonsplan og fremdriftsplan.

  • Gjennomføre sikkerhetsrevisjon.

  • Lage revisjonsrapport med kommentarer og forslag på tiltak. 

 

Vurder bistand fra et profesjonelt personvernombud

Flere og flere virksomheter ser nytten av en Personvernombudstjeneste.Det innebærer å tegne et abonnement med et personvernombud som deltar i kvartalsvise møter, og som bistår i ledelsens årlige gjennomgang og rapportering til styret. En slik avtale gir også tilgang til relatert rådgivning, som gjennomføring av risikovurderinger, vurdering av personvernkonsekvenser, nye behandlinger, med mer.

Dere kan også få bistand til å få på plass de vanskeligste kravene i GDPR, som dette med lagringstid og sletting av ulike behandlinger. Datatilsynet forventer at sletting er på plass nå, og dette er en utfordring for mange.

Lykke til, og ikke nøl med å ta kontakt med oss for en prat.

 

 

Last ned gratis guide: Internkontroll for informasjonssikkerhet og personvern