Årshjul og planlægning

For at styre informationssikkerheden og for sikre, at ledelsen har de rette styringsværktøjer, gentages en række aktiviteter løbende år efter år, mens andre er enkeltstående aktiviteter.

Strukturering af planerne

Planer for tilbagevendende aktiviteter kan indgå i et årshjul, hvor alle punkterne i elementerne i arbejdet indgår. Aktiviteter, der afsluttes, og som ikke har behov for at blive gentaget, før der igen er identificeret et forbedringspotentiale kan i stedet indføjes en årsplan.

Forskellen på årshjulet og årsplanen

Årshjulet indeholder aktiviteter, der skal gentages med passende tidsintervaller. De er ikke i sig selv en sikkerhedsforanstaltning, men er ofte aktiviteter, der har karakter af opfølgning, evaluering, møder eller lignende. Alt sammen aktiviteter, der skal sikre, at den gennemførte indsats er tilstrækkelig. Det er ofte gennem disse aktiviteter, at der kan identificeres forbedringspotentialer og dermed opgaver til årsplanen eller risikohåndteringsplanen.

Årsplanen indeholder aktiviteter til forbedring af ledelsessystemet for informationssikkerhed, kontroller, sikringsforanstaltninger, processer eller lignende. En årsplan behøver ikke kun dække et år, den kan sagtens løbe over f.eks. tre eller fem år. Årsplanen og risikohåndteringsplanen kan med fordel slås sammen.

Der skal etableres planer for, hvornår aktiviteterne skal gennemføres. Planerne kan være udarbejdet i Excel, Word, et projektværktøj eller et Gantt-diagram, alt efter hvad der passer ind i den enkelte organisation. I planen bør deadline, ansvarlig og status fremgå under de enkelte aktiviteter.

Afrapportering og fremdrift kan fx ske på møder i informationssikkerhedsudvalget.

Tilknytning til ISO 27001

Årshjul og planlægning er omtalt i afsnit 8.1 (Driftsplanlægning og -styring).