Ledelsesgennemgang

Ledelsesgennemgang (management review) er den øverste ledelses periodiske evaluering af ISMS'ets performance og egnethed. Det er et obligatorisk krav i ISO 27001 (klausul 9.3) og sikrer, at informationssikkerhed er forankret på toplederniveau.

Tilbage til ordbog

Hvad er en ledelsesgennemgang?

Ledelsesgennemgangen er det forum, hvor organisationens øverste ledelse tager ejerskab over informationssikkerheden ved at gennemgå ISMS'ets samlede performance. Det er ikke en teknisk IT-gennemgang, men en strategisk ledelsesevaluering, der typisk afholdes mindst én gang om året.

Mødet giver ledelsen mulighed for at vurdere, om ISMS'et stadig er egnet til formålet, om ressourcerne er tilstrækkelige, og om der er behov for strategiske justeringer.

Input til ledelsesgennemgangen

ISO 27001 klausul 9.3.2 specificerer, hvad der skal fremlægges for ledelsen:

Status på handlinger fra tidligere ledelsesgennemgange
Ændringer i interne og eksterne forhold, der påvirker ISMS'et
Feedback fra interessenter, herunder kunder og myndigheder
Resultater af risikovurdering og status på risikobehandlingsplan
Performance-indikatorer og måleresultater
Resultater af interne og eksterne audits
Sikkerhedshændelser og afvigelser
Muligheder for løbende forbedring

Output og beslutninger

Ledelsesgennemgangen skal resultere i konkrete beslutninger og handlinger relateret til:

Muligheder for løbende forbedring
Eventuelle behov for ændringer i ISMS'et
Ressourcebehov (budget, personale, teknologi)

Ikke et formalitetsmøde: Ledelsesgennemgangen skal resultere i reelle beslutninger. En ekstern revisor vil kontrollere, at der faktisk er truffet og dokumenteret beslutninger, og at disse er fulgt op efterfølgende.

Dokumentation

Resultater fra ledelsesgennemgangen skal dokumenteres og opbevares. Typisk i form af referater, der indeholder præsenterede data, diskussioner og beslutninger. Dette er dokumenteret information, som certificeringsrevisoren vil kontrollere.

Ofte stillede spørgsmål om ledelsesgennemgang

Hvad er en ledelsesgennemgang i ISO 27001?

En ledelsesgennemgang er den øverste ledelses periodiske evaluering af ISMS'ets performance, egnethed og effektivitet. Det er et obligatorisk krav under ISO 27001 klausul 9.3 og sikrer, at informationssikkerhedsbeslutninger træffes på øverste niveau.

Hvor ofte skal en ledelsesgennemgang gennemføres?

ISO 27001 foreskriver ikke en specifik frekvens, men standarden kræver gennemgange med 'planlagte intervaller'. De fleste organisationer gennemfører mindst én ledelsesgennemgang om året. Hyppigere gennemgange kan være passende i perioder med væsentlige ændringer.

Hvad skal inkluderes som input til ledelsesgennemgangen?

Klausul 9.3.2 oplister påkrævede input, herunder status på tidligere handlinger, ændringer i interne og eksterne forhold, feedback fra interessenter, resultater af risikovurdering, auditresultater, sikkerhedshændelser, performance-indikatorer og muligheder for forbedring.

Hvem skal deltage i ledelsesgennemgangen?

Den øverste ledelse skal deltage, da gennemgangen er deres ansvar under ISO 27001. I praksis præsenterer informationssikkerhedschefen eller CISO'en typisk materialet, og relevante afdelingsledere kan deltage afhængigt af dagsordenen.

Hvad skal ledelsesgennemgangen producere som output?

Gennemgangen skal producere beslutninger om muligheder for løbende forbedring, eventuelle ændringer i ISMS'et og ressourcebehov. Disse beslutninger skal dokumenteres og følges op.