Styring av informasjonssikkerhet og personopplysningsvern

Virksomhetens leder skal sørge for god styring og kontroll i virksomheten, inkludert ivaretakelse av tilstrekkelig informasjonssikkerhet og personopplysningsvern.

Alle risikoeiere i virksomheten skal ha god oversikt over sine ansvarsområder, slik at arbeidet med styring av informasjonssikkerhet og personopplysningsvern gjøres effektivt og målrettet.

Risikoeiere skal sørge for å ha tilstrekkelig oversikt over risiko knyttet til informasjonssikkerhet og personopplysningsvern på sitt ansvarsområde, og vite hvilke risikoer som må håndteres.

I forlengelse av risikovurderinger, skal virksomheten beslutte hvordan de identifiserte risikoene skal håndteres. Det må avklares om det finnes aktuelle tiltak for å redusere risikoen, eller om den bør håndteres ved å unngå eller dele den, eller akseptere den.

Virksomhetens ledere skal ha innsikt i status på arbeidet med informasjonssikkerhet og personopplysningsvern, og om de har tilstrekkelig oversikt over risiko på sitt ansvarsområde.

Virksomheten skal være i stand til å oppdage og reagere på uønskede hendelser. Feil, avvik og uønskede hendelser skal avdekkes og følges opp, for å redusere konsekvensen og lære av det som har skjedd.

Informasjonssikkerhet og personopplysningsvern involverer mange roller og krever ulike typer kompetanse, fra virksomhetsstyring og risikostyring til regelverkforståelse, tiltak og teknisk innsikt.

Virksomheten skal ivareta krav til informasjonssikkerhet og personopplysningsvern i anskaffelser.

Ledere på alle nivå skal sørge for god og tydelig kommunikasjon, som setter virksomheten i stand til å jobbe helhetlig med informasjonssikkerhet og personopplysningsvern.