27
1 2 Beslutt , planl egg og forbered Gj ennom før Evalue r og følg opp Vur der b ehov og kartlegg risiko 3 4Sjekkliste for fase 4:
•
Ta stilling til om kontrolltiltaket har den ønskede virkningen.
•
Vurder om det fremdeles er bruk for kontrolltiltaket, og om det er innført
nye og andre tiltak som gjør dette tiltaket overflødig.
•
Vurder om virksomheten samler inn flere opplysninger enn nødvendig.
•
Utfør jevnlig en sikkerhetsrevisjon med vurderinger av hvem som skal ha
tilgang til systemet.
•
Gjør jevnlig en systematisk gjennomgang av internkontrollen med rutinene.
•
Arbeidsmiljøloven § 9-2 (3)•
Personopplysningsloven § 14og
forskriften kapittel 3 om internkontroll•
Personopplysningsloven § 13og
forskriften kapittel 2 om informasjonssikkerhet, spesielt forskriften § 2-3 om sikkerhetsledelse og § 2-5 om sikkerhetsrevisjonVirksomheten bør årlig gjennomgå sikkerhetsmål, sikkerhetsstrategi og organ-
isering av informasjonssystemene. Arbeidsgiveren skal kontrollere at disse er i
samsvar med virksomhetens behov, og eventuelt oppdatere mål, strategi og or-
ganisering. Ved gjennomgangen deltar representanter fra virksomhetens øverste
ledelse sammen med den sikkerhetsansvarlige og IT-driftslederen.
Regelverkslenke