Informasjonssikkerhet, personvern og beredskap

Et ledelsessystem, ansvarlighet og informasjonssikkerhet knyttet til personopplysninger er grunnpilarene i personvernet (GDPR). Mange virksomheter må ha et personvernombud, og personvern må bygges inn i systemløsningene. Det er viktig å kombinere dette med interne prosesser tilpasset virksomhetens reelle behov, for å unngå at dette blir en teoriøvelse for å lukke avvik, uten konkrete resultater. Habberstad hjelper virksomheten med å etablere ledelsessystem og rutiner for internkontroll som fungerer i praksis.

En sikkerhetsrevisjon kan begrense risikoen for uønskede hendelser, omdømmetap og potensielt store bøter på bakgrunn av manglende «organisatoriske og tekniske tiltak». Ved å bekrefte etterlevelse av Personopplysningsloven (GDPR) og andre lover, gir du trygghet til både kunder, samarbeidspartnere og ansatte. Våre rådgivere er sertifisert som ISO 27001 Lead Auditor og Lead Implementer. ISO 27001 er den mest anerkjente standarden for «styringssystem for informasjonssikkerhet», noe GDPR krever skal være på plass. ISO 27001 er en omfattende standard, og vi anbefaler våre kunder å jobbe mot etterlevelse av standarden. 

Alle virksomheter er pålagt å ha en risikobasert tilnærming til informasjonssikkerhet og personvern. Dette er ofte nødvendig for å sikre virksomhetens eksistens, i lys av dagens trusselbilde med cybersikkerhetshendelser og dataangrep som kan påføre ubotelig skade. Risikovurderinger skal gjennomføres etter behov, for eksempel ved større endringer i arbeidsprosesser, ved anskaffelse av ny teknologi og minst årlig for kritiske system. Habberstad kan bistå med utvikling av metode for risikovurdering eller DPIA og leverer ofte prosessledelse på risikovurdering som en egen tjeneste.  

Alle virksomheter må være forberedt på å håndtere kriser og alvorlige hendelser. Virksomhetens beredskapsplan bør ta utgangspunkt i en oppdatert risikovurdering. Risikovurderingen bør kartlegge virksomhetens verdier, sårbarheter som kan utnyttes for å ramme verdiene og hvilke trusselaktører som kan ramme eller påvirke virksomheten.  

For de fleste virksomheter vil digitale systemer være avgjørende for virksomhetens leveranser.  Selv om virksomheten har god risikostyring, vil noe uforutsett og uønsket kunne inntreffe. En beredskapsplan er et nyttig verktøy for å håndtere en krise. Beredskapsplanen må være forankret på rett nivå i virksomheten med avklarte roller, ansvar og fullmakter. Den inkluderer også å ha system for varsling, etablering av kriseledelse og ha et forberedt system for å samhandle med myndigheter, leverandører, viktige kunder og media. Planen må være knyttet til styringssystemet, og virksomheten bør regelmessig teste og øve på planen. 

Ansvaret for informasjonssikkerhet i en organisasjon hviler vanligvis på flere aktører, men ledelsen, inkludert toppledelse og styret, har det overordnede ansvaret.

Som ansatt bør man ha en grunnleggende kunnskap om informasjonssikkerhet for å bl.a. kunne ta informerte beslutninger om ressursallokering og risikostyring, og for å kunne sikre organisasjonens data og omdømme mot stadig økende cybertrusler.

Kurset vil bla ta for seg:

• Introduksjon til informasjonssikkerhet
• Sårbarheter og trusler
• Roller og ansvar
• Sikkerhetspraksis og prosedyrer

Kurset legger opp til teori og caser/diskusjoner for å gi kursdeltakerne en forståelse av utfordringene og mulighetene som følger av å lede på disse områdene.

De fleste organisasjoner har et personvernombud, men ansvaret for personvern og GDPR er et felles ansvar som krever samarbeid på tvers av ulike deler av organisasjonen. Som leder er det fornuftig å ha en grunnleggende kunnskap om personvern og GDPR for å sikre at organisasjonen overholder personvernlovgivningen, for å implementere effektive tiltak for å beskytte personopplysninger.

Grunnleggende om GDPR

• De registrertes rettigheter
• Roller og ansvar
• Behandlingsprotokoll
• Avvik

Vi vil tilpasse kurset slik at det er praktisk og relevant for deres rolle og ansvar.