Strukturering af planerne
Planer for tilbagevendende aktiviteter kan indgå i et årshjul, hvor alle punkterne i elementerne i arbejdet indgår. Aktiviteter, der afsluttes, og som ikke har behov for at blive gentaget, før der igen er identificeret et forbedringspotentiale kan i stedet indføjes en årsplan.
Forskellen på årshjulet og årsplanen
Årshjulet indeholder aktiviteter, der skal gentages med passende tidsintervaller. De er ikke i sig selv en sikkerhedsforanstaltning, men er ofte aktiviteter, der har karakter af opfølgning, evaluering, møder eller lignende. Alt sammen aktiviteter, der skal sikre, at den gennemførte indsats er tilstrækkelig. Det er ofte gennem disse aktiviteter, at der kan identificeres forbedringspotentialer og dermed opgaver til årsplanen eller risikohåndteringsplanen.
Årsplanen indeholder aktiviteter til forbedring af ledelsessystemet for informationssikkerhed, kontroller, sikringsforanstaltninger, processer eller lignende. En årsplan behøver ikke kun dække et år, den kan sagtens løbe over f.eks. tre eller fem år. Årsplanen og risikohåndteringsplanen kan med fordel slås sammen.
Der skal etableres planer for, hvornår aktiviteterne skal gennemføres. Planerne kan være udarbejdet i Excel, Word, et projektværktøj eller et Gantt-diagram, alt efter hvad der passer ind i den enkelte organisation. I planen bør deadline, ansvarlig og status fremgå under de enkelte aktiviteter.
Afrapportering og fremdrift kan fx ske på møder i informationssikkerhedsudvalget.