Risikovurdering og informasjonssikkerhet

Virksomheten skal gjennomføre risikovurdering ved endringer i forhold som kan påvirke informasjonssikkerheten, for eksempel endringer i informasjonssystemet eller endringer i trusselbildet.

Risiko betegner forholdet mellom sannsynligheten for at en uønsket hendelse vil inntreffe og konsekvenser av en slik hendelse. Risikovurderingen må ses i sammenheng med etablerte akseptkriterier for risiko, og den behandlingsansvarlige skal iverksette nødvendige tiltak for å oppnå tilfredsstillende informasjonssikkerhet. Datatilsynet har en veileder for risikovurdering.

For å oppnå tilfredsstillende informasjonssikkerhet må den behandlingsansvarlige kunne forvisse seg om at skytjenesten møter de kravene som er fastlagt under arbeidet med akseptkriteriene og risikovurderingen. Virksomheten må tillegge vurderingen større vekt når den går fra egen drift til skybaserte løsninger, ettersom personopplysningene vil ligge utenfor den behandlingsansvarliges direkte kontroll. Spørsmålet blir: Hvordan skal den behandlingsansvarlige forvisse seg om at informasjonssikkerheten faktisk er tilfredsstillende?

Databehandleravtalen skal inneholde en del som omhandler informasjonssikkerhet, og det er viktig at den behandlingsansvarlige går grundig gjennom denne. Avtalen i seg selv er ingen forsikring for at leverandøren har en tilfredsstillende informasjonssikkerhet.

Sikkerhetsrevisjon

Personopplysningsforskriftens kapittel 2 om informasjonssikkerhet har en bestemmelse om sikkerhetsrevisjon:

Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf. § 2-6. Resultatet fra sikkerhetsrevisjon skal dokumenteres.

Datatilsynet er derfor av den oppfatning at databehandleren må kunne legge frem dokumentasjon for informasjonssystemets utforming og sikkerhetsløsninger. Dette for at den behandlingssansvarlige kan forvisse seg om at løsningen har tilfredsstillende informasjonssikkerhet sett opp mot risikovurdering og akseptkriterier.Databehandleren ikke kan endre informasjonssikkerhetstiltak uten at den behandlingsansvarlige er blitt informert skriftlig og har godkjent endringen.

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll