Ledningens genomgång: Informationssäkerhet Mall där allt underlag finns i denna presentation Datum 2018-XX-XX
Agenda Närvarande Inledning Uppföljning Underlag Diskussion Beslut
Närvarande Verksamheten har ofta ett behov av att dokumentera ledningens genomgång, och det är ett krav enligt ISO/IEC 27001 att så sker. Det går att använda denna presentation som sådan dokumentation. Lägg till alla deltagares namn och roll i så fall. Namn, Roll
Inledning – syfte och mål för genomgången Syftet med genomgången är att redovisa verksamhetens systematiska informationssäkerhetsarbete och dess styrning. Målet är att säkerställa arbetets fortsatta lämplighet, tillräcklighet och verkan: Med lämplighet avses att informationssäkerheten och dess styrning står i samklang med verksamhetens övergripande mål, Med tillräcklighet menas att den styrning man tidigare beslutat om, och ger uttryck för i styrande dokument (t.ex. policyer, riktlinjer och handlingsplaner), fortfarande räcker för att hantera informationssäkerhetsriskerna. Med verkan avses att beslutade säkerhetsåtgärder har trätt i kraft, det vill säga att de existerar och fungerar tillfredsställande och därmed minskar informationssäkerhetsriskerna.
Inledning Vilka relevanta händelser, inklusive incidenter, har inträffat? Vilka är de stora riskerna mot informationssäkerheten? Har interna eller externa intressenter kommit med någon återkoppling som vi behöver beakta? Stöds verksamhetens övergripande mål av det systematiska informationssäkerhetsabetet? Behövs någon ändring gällande hur informationssäkerheten styrs? Behöver styrande dokument som policy för informationssäkerhet ändras? Existerar och fungerar beslutade säkerhetsåtgärder tillfredsställande? Behövs ytterligare/andra/ändrade säkerhetsåtgärder? Vilka resurser kommer behöva tillskjutas för arbetet framåt?
Uppföljning – tidigare beslutade insatser Förklarande text: Status för åtgärder som beslutats vid ledningens tidigare genomgångar – till vilken grad är insatserna genomförda och har de fått önskad effekt på informationssäkerheten eller dess styrning. Se dokumentation av beslutade insatser från eventuella tidigare genomgångar. Beslutad insats, Status
Underlag – interna förutsättningar Förklarande text: Här föredras väsentliga förändringar i interna förutsättningar som är relevanta för informationssäkerheten och dess styrning. Vägledning och analysresultat återfinns i ”Analys Verksamhet”. Intern förutsättning, Förändring, Påverkan
Underlag – externa förutsättningar Förklarande text: Här föredras väsentliga förändringar i externa förutsättningar som är relevanta för informationssäkerheten och dess styrning. Vägledning och analysresultat återfinns i ”Analys Omvärld”. Extern förutsättning, Förändring, Påverkan
Underlag - interna intressenter Förklarande text: Här föredras väsentlig återkoppling från interna intressenter som är relevanta för informationssäkerheten och dess styrning. Vägledning och analysresultat återfinns i ”Analys Verksamhet”. Intern intressent, Återkoppling, Påverkan
Underlag – externa intressenter Förklarande text: Här föredras väsentlig återkoppling från externa intressenter som är relevanta för informationssäkerheten och dess styrning. Vägledning och analysresultat återfinns i ”Analys Omvärld”. Extern intressent, Återkoppling, Påverkan
Underlag – Resultat av riskanalyser Förklarande text: Här föredras väsentliga risker mot informationens säkerhet. Det är risksituationen i stort som tas upp, inklusive hur identifierade risker bedömts samt status vad gäller hantering av tidigare identifierade risker. Analysresultat återfinns i ”Analys Risk”. Resultat av riskanalyser i sammandrag Status i sammandrag för hantering av tidigare identifierade risker
Underlag – Avvikelser och korrigerande åtgärder Förklarande text: Här föredras information om informations- säkerhetens prestanda i fråga om trender kring avvikelser (incidenter) och korrigerande åtgärder. Se ”Vägledning Använda” för mer information. De mest väsentliga avvikelserna (incidenterna) Antal och typ av avvikelser Antal och typ av korrigerande åtgärder
Underlag – Resultat från övervakning & mätning Förklarande text: Här föredras information om informations- säkerhetens prestanda, innefattande trender i fråga om resultat från övervakning och mätning. Se ”Vägledning Utvärdera” för mer information. Resultat från övervakning i sammandrag Resultat från mätning i sammandrag
Underlag – Revisionsresultat Förklarande text: Här föredras information om informations- säkerhetens prestanda, innefattande väsentliga revisionsresultat. Se dokumentation från eventuella revisioner. Resultat av interna revisioner i sammandrag Resultat av externa revisioner i sammandrag
Underlag – Måluppfyllelse Förklarande text: Här föredras information om informations- säkerhetens prestanda gällande uppfyllnad av informationssäkerhetsmål. Se ”Utforma Mål” för mer information. Målsättning, Status måluppfyllelse
Underlag – Ständiga förbättringar Förklarande text: Här föredras information om informations- säkerhetens prestanda gällande ständiga förbättringar. Har sådana förbättringar identifierats sedan senaste ledningens genomgång, och har de införts? Ständig förbättring, Status och effekt
Diskussion Diskutera med utgångspunkt i det presenterade underlaget: Behövs någon ändring gällande hur informationssäkerheten styrs? Behöver styrande dokument som policy för informationssäkerhet ändras? Existerar och fungerar beslutade säkerhetsåtgärder tillfredsställande? Behövs ytterligare/andra/ändrade säkerhetsåtgärder? Vilka resurser kommer behöva tillskjutas för arbetet framåt?
Rekommendation till beslut från informationssäkerhetsansvarig Förklarande text: Här föredras informationssäkerhetsansvarigs eventuella förslag på beslut till högsta ledningen. Förslag, Kostnad, Nytta
Beslut Förklarande text: Här dokumenteras de beslut högsta ledningen tar vid mötet för ledningens genomgång. Dela gärna upp det på fler bilder vid behov. För varje beslut bör även anges vem som är ansvarig samt när insatsen ska vara genomförd. Beslut om förändringar i styrande dokument/regelverk för informationssäkerhet. Beslut om förändringar av riskbild, riskbedömningar eller riskhanteringsplaner. Beslut om förändringar som rör metoder för mätning och uppföljning av ledningssystemet. Beslut om införande eller förändringar av säkerhetsåtgärder. Beslut om förändringar av resursbehov för informationssäkerhetsarbete.
Nästa steg Förklarande text: Här förklaras kort vad som händer härnäst med resultatet av den dokumenterade genomgången. Distribution av dokumentation Implementering av beslutade insatser Tidpunkt för nästa ledningens genomgång
Tack Kontaktinformation till föredragande