5. Ledelsesgennemgang og løbende forbedring

Der vil være behov for regelmæssigt at gennemgå ledelsessystemet for informationssikkerhed (ISMS) med henblik på forbedring af de overordnede processer.

Udover at man løbende arbejder med at forbedre informationssikkerheden gennem processer som afvigelsesstyring, risikostyring og leverandørstyring, vil der være behov for regelmæssigt at gennemgå det samlede ledelsessystem for informationssikkerhed (ISMS) med henblik på forbedring af de overordnede processer.

Billedet illustrerer Fase 5: Ledelsesgennemgang og løbende forbedring

Billedet illustrerer Fase 5: Ledelsesgennemgang og løbende forbedring

Ledelsesrapportering

Ledelsesgennemgang foregår på baggrund af rapportering om ledelsessystemet status. Hvad der indgår i denne rapportering, beror på det besluttede sikkerhedsniveau i den enkelt organisation og på, hvad ledelsen efterspørger som beslutningsgrundlag. Udover status på sikkerhedshændelser, risikostyring, audit og afvigelser bør der rapporteres på målinger og KPI'er, der kan give overblik over trends i sikkerhedsarbejdet.

Casebeskrivelse:

I Region Hovedstaden, hvor man tidligere har rapporteret på et overordnet niveau via regionens handlingsplan, arbejdes der i dag på en konkret udvidet ledelsesrapportering, der skal udbrede kendskabet til aktuelle informationssikkerhedsudfordringer i regionen.

Læs mere om ledelsesrapportering i Region Hovedstaden under afvigelsesstyring

Casebeskrivelse:

I Statens Administration har man udviklet faste KPI'er for en række vigtige områder, hvor der rapporteres månedligt på deres status.

Læs mere om ISMS-målinger og KPI'er i Statens Administration under planlægning 

Krav og anbefalinger til ledelsens gennemgang er beskrevet i Digitaliseringsstyrelsens Vejledning i evaluering og opfølgning.

Hent Digitaliseringsstyrelsens vejledning om Evaluering og Opfølgning

Afdækning af organisationens modenhed

Digitaliseringsstyrelsen har udviklet et værktøj til afdækning af organisationens modenhed i forhold til ISO 27001. Benchmark ISO 27001 er et værktøj, som kan benyttes til at opnå et overbliksbillede af, hvor langt organisationen er nået i anvendelse og efterlevelse af ISO 27001.

Værktøjet gør det muligt at sammenligne det aktuelle modenhedsniveau med organisationens ambitioner på området. Dermed kan værktøjet benyttes til planlægning af det videre arbejde med informationssikkerhed og fungere som ledelsesværktøj til forståelse, vurdering og løbende forbedring af det interne informationssikkerhedsniveau.

Hent benchmark ISO 27001 modenhedsmåling