Genom att möten med ledningen planeras och genomförs regelbundet under kända former så säkerställs att kommunikationen sker systematiskt och får den prioritet som den kräver.
I standarden SS-EN ISO/IEC 27001:2022 definieras ledningens genomgång (avsnitt 9.3) som:
”Högsta ledningen ska, med planerade intervall, granska organisationens ledningssystem för informationssäkerhet för att säkerställa att systemet är fortsatt lämpligt, tillräckligt och verkningsfullt.”
Det är viktigt att du som CISO tillsammans med ledningen bestämmer omfattning, form och frekvens av ledningens genomgång. Ett bra sätt är att koppla relevanta områden till organisationens årshjul, så att till exempel planering, resursbehov och uppföljningsresultat för informationssäkerheten hanteras samtidigt som för organisationen som helhet. Det kan också finnas skäl till att ha ett lite mer omfattande möte en gång per år som kompletteras med övriga, kortare möten däremellan. Ett sådant årligt möte bör ligga lämpligt i tid i förhållande till organisationens verksamhetsplanering och budgetering.
Inför ledningens genomgång kan du som CISO ha ett förmöte, där du och någon i ledningen tillsammans kan stämma av genomgångens omfattning, form, inriktning med mera. Använd förmötet också till att inhämta kunskap om ledningen, till exempel om ledningen förväntar sig en presentation i något särskilt format, vilka frågor som kan tänkas bli svårare att adressera och hur du på bästa sätt kan nå fram med dessa. Om du inte redan har en egen kontaktperson i ledningen, be om att få en sådan – det hjälper både dig och ledningen att ha effektiva möten tillsammans.
Enligt standarden ska följande beaktas i ledningens genomgång:
a) Status för åtgärder som beslutats vid ledningens tidigare genomgångar
b) Förändringar i externa och interna frågor som är relevanta för ledningssystemet för informationssäkerhet
c) Information om informationssäkerhetens prestanda
d) Återkoppling från berörda parter
e) Resultat från riskbedömning och status för riskbehandlingsplan
f) Möjligheter till ständig förbättring
I vilken grad du som CISO väljer att i detalj följa det som står i SS-EN ISO/IEC 27001 är bland annat avhängigt i vilket grad organisationen valt att använda standarden – om man valt att ”utgå” från standarden eller att följa den mer ordagrant.
Punkt c) Information om informationssäkerhetens prestanda ovan handlar om att redovisa:
Dessa punkter stämmer ganska väl överens med det behov av information och kunskap som ledningar har gällande status för den egna organisationens informationssäkerhet och dess styrning (se Utforma Ledning och styrning). Ledningens genomgång bör förutom hårda fakta innefatta informella och sociala iakttagelser, till exempel hur väl informationssäkerhetsarbetet och specifika säkerhetsåtgärder mottas och accepteras i organisationen.
Ledningens genomgång är en del av CISO:s löpande dialog med ledningen, läs mer om form och innehåll i Utforma Ledning och styrning.
Punkt e) Resultat från riskbedömning och status för riskbehandlingsplan. Fokusera på de mest väsentliga delarna som framkommit vid uppföljning av riskhantering och risker (se Följa upp och förbättra Utvärdera och följa upp). Vilka punkter som ska tas upp bör stämmas av med ledningen på förmötet innan ledningens genomgång. Det kan vara av ren informativ art eller utgöra underlag för beslut.
Exempel på lämpliga punkter att ta upp är:
Särskilt viktigt är att allvarliga missförhållanden tas upp med ledningen. Finns det risker och riskområden av betydelse som förbises, felaktigt accepteras eller blundas för i organisationen? Vad är i så fall orsaken till detta; brist på resurser, okunskap eller intressekonflikter? Exempelvis kan krav på en snabb digitalisering medföra att risker negligeras eller till och med att riskanalyser helt enkelt inte genomförs. Detta behöver i så fall lyftas till ledningen så att det sker medvetet och med ledningens goda minne.