Ledelsens gjennomgang skal omfatte vurdering av:
a) status for aktiviteter fra tidligere gjennomganger som ledelsen har foretatt;
b) endringer i eksterne og interne forhold som er relevante for ledelsesystemet for informasjonsikkerhet;
c) endringer i behovene og forventninger til interessentene som er relevante for informasjonssikkerhet;
d) informasjon om informasjonsikkerhetprestasjonen, inklusive trender angående:
- avvik og korrigerende aktiviteter;
- resultater av overvåking og måling;
- revisjonsresultater;
- oppnåelse av informasjonsikkerhetsmål;
e) tilbakemeldinger fra interessenter;
f) resultatene av risikovurderinger og status for planen for risikobehandling; og
g) muligheter for kontinuerlig behandling.