Detta metodsteg vägleder om utformning av arbetssätt för uppföljning och förbättring av informationssäkerhetsarbetet och dess styrning. Avsnittet består av två delar:
-
Utvärdera och följa upp
Genom övervakning, mätning och måluppföljning erhålls uppgifter som stödjer utvärdering av ifall informationssäkerheten i stort är ändamålsenligt utformad, har avsedd verkan, samt att säkerhetsåtgärder existerar och fungerar tillfredsställande. Resultatet från utvärderingen ligger bland annat till grund för intern revision, ledningens genomgång samt som ingångsvärde till Identifiera och Analysera för nästa omtag i det systematiska informationssäkerhetsarbetet.
-
Ledningens genomgång
Med ledningens genomgång avses att ledningen ser över verksamhetens systematiska informationssäkerhetsarbete och dess styrning för att säkerställa dess fortsatta lämplighet, tillräcklighet och verkan. Genomgången sker oftast i form av ett möte, där informationssäkerhetsläget i verksamheten beskrivs av CISO, diskuteras av ledningen med utgångspunkt från specifika frågeställningar, samt där beslut tas i fråga om arbetets inriktning och resurser. Besluten kan gälla; förbättringar av informationssäkerheten, förändringar i sättet att styra informationssäkerheten och hur det beskrivs i policyer och riktlinjer för informationssäkerhet, samt beslut om resurstilldelning. Besluten ger sammantaget ledningens inriktning för det fortsatta systematiska informationssäkerhetsarbetet.
Det som beslutas av ledningen efter ledningens genomgång ska sedan hanteras i Handlingsplan, eventuellt uppdaterade Styrdokument och som övrig input till Utforma.