BYOD-styring for ISO 27001, NIS2, DORA og GDPR

Den mistede iPad kl. 8:12

Kl. 8:12 lyste Sarahs skærm op med en almindelig supportsag: “Mistet iPad, salgsdirektør.”

Sarah var CISO i en hurtigt voksende fintech-virksomhed, og hun vidste straks, at dette ikke var en almindelig aktivsag. Salgsdirektøren brugte sin private iPad intensivt. Han tilgik CRM-registreringer, e-mail, følsomme prospekt- og kundelister, samarbejdsområder og dashboards for betalingspipeline fra hotelværelser, lufthavnslounges og kundelokationer.

På få minutter forværredes situationen. Enheden var ikke tilmeldt administration af mobile enheder. Der var ingen bekræftelse på, at den var krypteret. Der var ingen mulighed for fjernsletning. Regler for betinget adgang fandtes, men salgsdirektøren havde fået en undtagelse måneder tidligere, fordi han “altid var på rejse.” Databeskyttelsesteamet kunne ikke bekræfte, hvilke kundedata der var cachet lokalt. Den compliance-ansvarlige videresendte en ny besked fra den eksterne revisor: “Fremlæg venligst revisionsbevis for, at private mobile enheder, der tilgår kundedata, er styret, overvåget, krypteret og kan tages ud af drift, hvis de kompromitteres.”

Den mistede iPad var ikke den egentlige eksplosion. Den var advarselsskuddet.

Dette er problemet med styring af mobile enheder og BYOD i 2026. Private telefoner og tablets er ikke længere blot medarbejderbekvemmelighed. De er forretningsendepunkter, identitetsfaktorer, datalagre, værktøjer til betalingsgodkendelse, ledsagere til privilegeret adgang og kanaler til hændelsesrapportering. En enkelt privat enhed kan indeholde en autentifikatorapp til administratoradgang, virksomhedens e-mail med personoplysninger, cachede cloudfiler, skærmbilleder af regulerede oplysninger, aktive browsersessioner til SaaS-konsoller og adgangstokens til driftsværktøjer.

For CISO’er, compliance-ansvarlige og bestyrelser er spørgsmålet ikke længere: “Tillader vi BYOD?” Det reelle spørgsmål er: “Kan vi dokumentere, at alle mobile adgangsveje er styret, risikovurderet, teknisk kontrolleret, overvåget og kan genetableres?”

Svaret bør ikke kræve separate compliance-programmer for ISO 27001, NIS2, DORA og GDPR. Et velafgrænset ISO/IEC 27001:2022 ISO/IEC 27001:2022 ledelsessystem for informationssikkerhed kan indarbejde mobil- og BYOD-risiko i politikker, aktivansvar, adgangsstyring, enheders efterlevelse, logning, hændelseshåndtering, databeskyttelseskontroller og leverandørdokumentation. Clarysecs tilgang er at opbygge dette revisionsbevis én gang og derefter genbruge det på tværs af NIS2-cyberhygiejne, DORA-styring af IKT-risiko og behandlingssikkerhed efter GDPR Article 32.

Hvorfor BYOD nu er et compliance-spørgsmål på bestyrelsesniveau

Hybride arbejdsformer har gjort mobil adgang permanent. Salgsdirektører godkender kontrakter fra private iPhones. Økonomichefer autoriserer betalinger fra tablets. Ingeniører bruger autentifikatorapps på egne telefoner. Topledere rejser med virksomheds-e-mail på private enheder, fordi det er praktisk. Kontrahenter tilgår sager fra mobile browsere. Supportteams modtager hændelsesalarmer via mobile beskedapps.

Denne fleksibilitet skaber et styringshul, når adgang vokser hurtigere end politik- og kontroldesign.

NIS2 gør hullet synligt på ledelsesniveau. Article 20 kræver, at ledelsesorganer godkender cybersikkerhedsrisikostyringsforanstaltninger, fører tilsyn med implementeringen og modtager træning. Article 21 kræver passende og proportionale tekniske, operationelle og organisatoriske foranstaltninger, herunder risikoanalyse, hændelseshåndtering, forretningskontinuitet, forsyningskædesikkerhed, sikker anskaffelse og vedligeholdelse, vurdering af effektivitet, cyberhygiejne, kryptografi, HR-sikkerhed, adgangsstyring og aktivstyring. Mobil- og BYOD-styring berører næsten alle disse temaer.

DORA skærper kravene for finansielle enheder. Siden januar 2025 har DORA krævet en dokumenteret styringsramme for IKT-risiko, tilsyn fra ledelsesorganet, IKT-forretningskontinuitet, styring af IKT-hændelser, test af digital operationel robusthed og styring af IKT-tredjepartsrisiko. Hvis medarbejdere tilgår kritiske eller vigtige funktioner via mobile enheder, er disse enheder en del af IKT-risikofladen. En udbyder af administration af mobile enheder eller unified endpoint management kan også blive relevant for IKT-tredjepartsbevis, hvis den beskytter adgang til regulerede driftsaktiviteter.

GDPR tilføjer ansvarlighedsvinklen. Article 5 kræver, at personoplysninger behandles sikkert, og at den dataansvarlige kan dokumentere efterlevelse. Article 32 kræver passende tekniske og organisatoriske foranstaltninger, herunder fortrolighed, integritet, tilgængelighed, robusthed og evnen til at genetablere adgang, hvor det er nødvendigt. I praksis stiller databeskyttelsesgennemgange konkrete spørgsmål: Hvem kan tilgå personoplysninger fra mobile enheder? Hvordan begrænses adgangen? Hvad sker der, når en telefon mistes? Kan virksomhedsdata slettes uden indgreb i privatlivet? Opbevares logfiler? Findes der revisionsbevis for vurdering af brud?

ISO/IEC 27001:2022 giver driftsmodellen. Punkt 4.1 til 4.4 kræver, at organisationer fastlægger interne og eksterne forhold, krav fra interessenter, regulatoriske forpligtelser, omfang og afhængigheder. Punkt 5 kræver lederskab samt roller og ansvar. Punkt 6 kræver risikovurdering og risikobehandling. Punkt 8.2 og 8.3 kræver, at organisationen udfører risikovurderinger af informationssikkerhed og implementerer risikobehandlingsplaner.

Det betyder, at BYOD ikke kan ligge i et glemt IT-notat. Det hører hjemme i ISMS-omfanget, hvor retlige forpligtelser, kundekrav, driftsmæssige afhængigheder og beslutninger om risikobehandling styres.

ISO 27001-kontrolklyngen for mobil- og BYOD-styring

Clarysec starter normalt mobil styring med en klynge på tre kontroller fra ISO/IEC 27001:2022 Annex A, understøttet af implementeringsvejledning fra ISO/IEC 27002:2022.

I Zenith Controls: The Cross-Compliance Guide Zenith Controls behandler Clarysec disse kontroller som gensidigt forstærkende. For brugerendepunkter klassificerer Zenith Controls kontrol A.8.1 som forebyggende, understøttende for fortrolighed, integritet og tilgængelighed, kortlagt til cybersikkerhedskonceptet Protect og de operationelle kapaciteter inden for aktivstyring og informationsbeskyttelse.

Guiden forklarer også, hvorfor kontroller for endepunkter hænger direkte sammen med acceptabel brug, fjernarbejde, begrænsning af informationsadgang, sikker autentifikation, fysisk beskyttelse, fortrolighedsforpligtelser og awareness-træning.

“Endepunkter er primære platforme, hvorigennem politikker for acceptabel brug håndhæves.”
Kilde: Zenith Controls, Brugerendepunkter, kontrol 8.1 Zenith Controls

For fjernarbejde kortlægger Zenith Controls A.6.7 til A.7.9 sikkerhed for aktiver uden for organisationens lokationer, A.8.1 brugerendepunkter, A.5.1 politikker for informationssikkerhed, A.6.3 bevidsthed om informationssikkerhed, uddannelse og træning, A.5.14 informationsoverførsel, A.8.20 netværkssikkerhed, A.8.22 segmentering af netværk, A.7.7 clean desk og clear screen, A.5.29 informationssikkerhed under afbrydelse og A.5.30 IKT-parathed for forretningskontinuitet.

Denne kortlægning afspejler, hvordan revisioner faktisk forløber. En revisor stopper ikke ved: “Har I en BYOD-politik?” Revisor tester, om politikken er implementeret, om enheder er tilmeldt, om adgang afhænger af efterlevelse, om der findes logfiler, om brugere er trænet, om hændelser med mistede enheder håndteres, og om undtagelser er risikoaccepteret.

Politikfundamentet: at formulere styringsreglerne tydeligt

Et forsvarligt BYOD-program starter med eksplicitte regler. Clarysecs politikbibliotek giver både SMV- og enterprise-mønstre, så organisationer kan skalere krav uden at miste revisionsklarhed.

For SMV’er etablerer Clarysecs Mobile Device and BYOD Policy-sme Mobile Device and BYOD Policy - SME en enkel styringsport:

“Private BYOD-enheder skal godkendes af den daglige leder før brug.”
Kilde: Mobile Device and BYOD Policy-sme, Styringskrav, pkt. 5.1.1 Mobile Device and BYOD Policy - SME

Den korte sætning lukker et almindeligt revisionshul. Den forhindrer tavs adgang fra private enheder, etablerer et godkendelsespunkt og giver virksomhedsejeren eller den daglige leder en synlig styringsrolle. Den understøtter også ISO 27001 punkt 5.1 til 5.3, hvor øverste ledelse skal dokumentere lederskab, kommunikere forventninger og tildele ansvar.

SMV-politikken gør også håndhævelse af baseline klar:

“Følgende kontroller skal håndhæves på alle mobile enheder (virksomhedsejede og BYOD):”
Kilde: Mobile Device and BYOD Policy-sme, Styringskrav, pkt. 5.2.1 Mobile Device and BYOD Policy - SME

For regulerede eller større organisationer er Clarysecs Mobile device and byod policy Mobile device and byod policy mere præskriptiv:

“Alle mobile enheder (virksomhedsejede eller private), der tilgår organisationens ressourcer, skal være:
5.1.1 Registreret og tilmeldt en godkendt platform til administration af mobile enheder (MDM).
5.1.2 Konfigureret med tekniske sikkerhedskontroller, herunder håndhævet kryptering og autentifikation.
5.1.3 Overvåget for efterlevelse af definerede baselines for operativsystem (OS) og patchning.”
Kilde: Mobile device and byod policy, Styringskrav, pkt. 5.1 Mobile device and byod policy

Dette er revisionsklar formulering. Revisoren kan teste populationen af mobile enheder, sammenholde den med adgangslogfiler, udtage stikprøver af tilmeldingsregistreringer og verificere, at kryptering, autentifikation og patchbaselines håndhæves.

BYOD kræver også privatlivsfølsomme samtykkegrænser. Enterprise-politikken angiver:

“Bring Your Own Device (BYOD)-adgang må kun gives efter formel accept af organisationens aftale om brug af BYOD, som omfatter:
5.2.1 Samtykke til overvågning af virksomhedscontainere eller administrerede applikationer
5.2.2 Bekræftelse af kontroller til administration af mobile enheder (MDM), såsom fjernsletning eller låsning
5.2.3 Aftale om frivillig deltagelse og retten til at trække sig”
Kilde: Mobile device and byod policy, Styringskrav, pkt. 5.2 Mobile device and byod policy

Denne bestemmelse er central for tilpasning til GDPR. Den præciserer, at overvågning gælder virksomhedscontainere eller administrerede applikationer, dokumenterer medarbejderens bekræftelse af låsning eller fjernsletning og bevarer retten til at trække sig. Den hjælper med at adskille legitim sikkerhedsovervågning af virksomhedsdata fra overdreven overvågning af privatlivet.

Fra politik til kontroller: MDM, containere, adgang og logfiler

Politik bliver først til styring, når den implementeres og dokumenteres. Den praktiske baseline starter med tilmelding.

“Alle mobile enheder skal tilmeldes en løsning til administration af mobile enheder (MDM), før de tilgår virksomhedens systemer.”
Kilde: Mobile device and byod policy, Krav til implementering af politikken, pkt. 6.1.1 Mobile device and byod policy

I enterprise-miljøer bør samme implementeringslag håndhæve kryptering, PIN-kode, adgangskode eller biometrisk autentifikation, låsning ved inaktivitet, understøttede OS-versioner, detektion af jailbreak eller root, patchbaselines og sletning eller reimaging efter gentagne mislykkede loginforsøg.

For BYOD er det bedste design normalt administrerede applikationer eller virksomhedscontainere frem for overvågning af hele enheden. Politikken indfanger dette:

“Virksomhedsdata må kun opbevares i krypterede, administrerede containere.”
Kilde: Mobile device and byod policy, Krav til implementering af politikken, pkt. 6.6.1 Mobile device and byod policy

Dette understøtter GDPR-dataminimering og behandlingssikkerhed efter Article 32, fordi forretningsdata begrænses til administrerede områder, og private områder ikke behandles som virksomhedens repositories. Det giver også virksomheden et praktisk svar, når en privat telefon mistes: tilbagekald sessioner, slet virksomhedsdata, bevar logfiler og vurder eksponering uden at slette private fotos, beskeder eller applikationer.

Betinget adgang forbinder derefter identitet med enhedens sikkerhedstilstand. Som minimum bør følsomme systemer kræve tilmelding, MFA, kryptering, understøttet OS, skærmlås, ingen jailbreak- eller root-fejl, adgang via administreret applikation og begrænsninger for downloads, deling af udklipsholder eller skærmbilleder, hvor risikoen kræver det. Det giver praktisk virkning til A.8.1 brugerendepunkter, A.8.3 begrænsning af informationsadgang og A.8.5 sikker autentifikation.

Logning lukker kredsløbet. Enterprise-politikken kræver:

“Logfiler for mobil adgang skal indsamles og opbevares i mindst 90 dage med integration til den centrale SIEM-platform, hvor det er relevant.”
Kilde: Mobile device and byod policy, Styringskrav, pkt. 5.6 Mobile device and byod policy

For mindre miljøer tilføjer Clarysecs Logging and Monitoring Policy-sme Logging and Monitoring Policy - SME et praktisk minimum:

“BYOD og fjernsystemer skal have lokal logning aktiveret for autentifikationshændelser og antivirusdetektioner”
Kilde: Logging and Monitoring Policy-sme, Krav til implementering af politikken, pkt. 6.3.1 Logging and Monitoring Policy - SME

Et mobilstyringsprogram uden logfiler er vanskeligt at forsvare. En undersøgelse af en mistet enhed kræver adgangshistorik, mislykkede forsøg, status for enhedens efterlevelse, revisionsbevis for tilbagekaldelse af sessioner og relevant DLP- eller containeraktivitet.

Hvor mobil styring passer ind i 30-trins køreplanen

Clarysecs Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint placerer mobil- og BYOD-styring på tværs af flere implementeringsfaser. Den behandler ikke BYOD som ét enkelt politikdokument.

I fasen Controls in Action, Step 16, People Controls II, adresserer Zenith Blueprint fjernarbejde og BYOD:

“Brug af private enheder (BYOD) skal enten forbydes eller kun tillades under strenge betingelser, såsom tilmelding til en Mobile Device Management (MDM)-løsning, der understøtter datacontainerisering og fjernsletning af virksomhedsdata, hvis enheden mistes, eller hvis brugeren forlader virksomheden.”
Kilde: Zenith Blueprint, Controls in Action-fasen, Step 16, People Controls II Zenith Blueprint

I Step 19, Technological Controls I, beskriver Zenith Blueprint endepunkter som udgangspunktet for digital interaktion:

“Brugerendepunkter, bærbare computere, smartphones, tablets, stationære computere og endda thin clients er dér, hvor digital interaktion begynder. De er dørene og vinduerne ind til dine systemer.”
Kilde: Zenith Blueprint, Controls in Action-fasen, Step 19, Technological Controls I Zenith Blueprint

Step 18, Physical Controls II, dækker sikring af aktiver uden for organisationens lokationer. Det omfatter enheder efterladt i biler, tablets brugt i offentlige rum, bærbare computere indchecket i bagage og filer lagret offline. Princippet er enkelt: Selv hvis en enhed mistes eller stjæles, skal data forblive utilgængelige.

Denne lagdelte tilgang er måden, hvorpå Sarah bevægede sig fra panik til styring. Hun købte ikke et værktøj og erklærede problemet løst. Hun forbandt regler for mennesker, fysisk adfærd og teknisk håndhævelse til ét revisionsbart system.

En uges sprint til BYOD-revisionsbevis

En praktisk måde at lukke hullet på er at opbygge en BYOD-bevispakke. Det er det sæt artefakter, en CISO kan udlevere til en revisor, tilsynsmyndighed, kundevurderingspart eller bestyrelsesudvalg.

På dag 1 identificeres virksomhedsejede telefoner, private telefoner brugt til MFA, BYOD-tablets med adgang til dashboards, kontrahenters mobile enheder, privilegerede brugere med adgang til administrative konsoller og enhver mobil adgang til systemer, der behandler personoplysninger eller finansielle transaktioner.

På dag 6 testes et realistisk scenarie: En salgsdirektør rapporterer, at en privat telefon med administreret virksomheds-e-mail er blevet stjålet i en lufthavn. SMV-politikken fastsætter en klar rapporteringsforventning:

“Mistede, stjålne eller kompromitterede enheder skal rapporteres til den daglige leder inden for 1 time”
Kilde: Mobile Device and BYOD Policy-sme, Krav til implementering af politikken, pkt. 6.4.1 Mobile Device and BYOD Policy - SME

Øvelsen bør teste, om teamet kan identificere enheden, tilbagekalde sessioner, fjernslette virksomhedsdata, bevare logfiler, vurdere eksponering af personoplysninger, beslutte om GDPR-analyse af brud er nødvendig og afgøre, om rapporteringstærskler efter NIS2 eller DORA kan være udløst.

Cross-compliance: ét mobilprogram, fire bevisfortællinger

Værdien af ISO 27001-baseret BYOD-styring er genbrug. Ét kontrolsæt kan generere revisionsbevis for flere forpligtelser, hvis det struktureres korrekt.

Samme logik gælder på kontrolniveau.

For NIS2 er omfang afgørende. Udbydere af digital infrastruktur, cloududbydere, datacenterudbydere, content delivery networks, DNS-udbydere, TLD-registratorer, tillidstjenesteudbydere, udbydere af offentlige elektroniske kommunikationstjenester, B2B managed service providers og managed security service providers kan være omfattet af kategorierne væsentlige eller vigtige enheder afhængigt af størrelse, sektor og national implementering. Ikke-administreret mobil adgang til driftskritiske systemer er ikke en mindre IT-undtagelse i den kontekst. Det er et styringsspørgsmål.

For DORA kan MDM- eller UEM-udbyderen blive en del af bevismaterialet for tredjepartsrisiko, hvis den understøtter adgang til kritiske eller vigtige funktioner. DORA-orienterede organisationer bør dokumentere due diligence, serviceniveauer, datalokationer, bistand ved hændelser, sikkerhedsforanstaltninger, revisionsrettigheder, exitordninger og leverandørens deltagelse i test, hvor det er relevant.

For GDPR er en mistet privat telefon ikke automatisk et anmeldelsespligtigt brud på persondatasikkerheden. Det bliver en alvorlig bekymring, hvis virksomhedsdata er tilgængelige, ukrypterede, cachet uden for administrerede containere eller eksponeret gennem aktive sessioner. Organisationen skal vide, hvilke data der var tilgængelige, om kontroller forhindrede uautoriseret adgang, og om logfiler understøtter konklusionen.

Hvordan revisorer vil teste BYOD-styring

Et modent program bør være forberedt på forskellige revisionsstile.

Zenith Blueprint-revisionstjeklisten for fjernarbejde er direkte: Revisorer vil kontrollere, om politikken er implementeret, ikke blot dokumenteret. Vær klar til at fremlægge den formelle politik, forklare håndhævelse såsom VPN-brug, endepunktskryptering eller MDM, vise BYOD-tilmelding eller begrænsninger, fremlægge træningsregistreringer og dokumentere, at fjernarbejdere forstår deres pligter.

NIST CSF 2.0 giver en nyttig supplerende model. Dens GOVERN-funktion kræver, at juridiske, regulatoriske og kontraktlige cybersikkerhedskrav forstås og styres, at cybersikkerhedsrisiko integreres i enterprise risk management, at roller og beføjelser defineres, at politikker etableres og overvåges, og at performance evalueres. For mobil styring kan en praktisk målprofil lyde: Alle enheder, der tilgår personoplysninger eller kritiske forretningssystemer, er tilmeldt, krypteret, efterlevende, overvåget og kan fjernes inden for én time efter underretning om kompromittering.

Almindelige BYOD-revisionskonstateringer

Konstateringer om mobil styring skyldes sjældent én katastrofal fejl. De skyldes typisk små undtagelser, som aldrig blev lukket.

Almindelige konstateringer omfatter:

• BYOD er tilladt i praksis, men ikke formelt godkendt
• Autentifikatorapps behandles som uden for ISMS-omfanget
• MDM er konfigureret til virksomhedsenheder, men ikke til private enheder med virksomhedsadgang
• Topledere er undtaget fra baselines for enheders efterlevelse
• Betinget adgang omgås via ældre protokoller eller ikke-administrerede browsere
• Private enheder tilgår e-mail uden containerisering
• Mobile logfiler opbevares i SaaS-platforme, men gennemgås eller eksporteres ikke
• Procedure for mistede enheder findes, men medarbejdere kender ikke rapporteringsfristen
• Ingen databeskyttelsestekst forklarer, hvad virksomheden kan og ikke kan overvåge
• Intet revisionsbevis for, at mobile undtagelser er tidsbegrænsede og risikoaccepterede
• MDM-leverandøren er ikke omfattet af styring af IKT-tredjepartsrisiko
• Ingen tabletop-øvelse for mobil kompromittering
• Ingen kortlægning fra BYOD-kontroller til GDPR Article 32-, NIS2- eller DORA-bevis

Hver konstatering kan afhjælpes. Problemet er normalt ikke mangel på værktøjer. Det er mangel på ejerskab, bevisdesign og cross-compliance-kortlægning.

Fortællingen på bestyrelsesniveau

Ledelsen har ikke brug for alle detaljer i MDM-konfigurationen. Den har brug for en klar ansvarlighedsfortælling.

En stærk BYOD-position på bestyrelsesniveau siger:

1. Vi ved, hvilke mobile enheder der tilgår organisationens ressourcer.
2. Vi skelner mellem virksomhedsejet adgang og BYOD-adgang.
3. BYOD er frivilligt, godkendt og reguleret af aftale.
4. Virksomhedsdata er krypteret og isoleret.
5. Adgang afhænger af enhedens efterlevelse.
6. Logfiler opbevares og gennemgås.
7. Mistede eller kompromitterede enheder rapporteres hurtigt.
8. Virksomhedsdata kan slettes, eller adgang kan tilbagekaldes.
9. Risici for personoplysninger vurderes efter GDPR.
10. Undtagelser godkendes, tidsbegrænses og gennemgås.

Dette forbinder mobil styring med risikovillighed, operationel robusthed, retlig ansvarlighed og kundetillid. Det giver også ledelsesorganer det revisionsbevis, de har brug for for at dokumentere tilsyn efter NIS2 og DORA.

Hvordan Clarysec hjælper

Clarysecs model for mobil- og BYOD-styring kombinerer politik, implementering og cross-compliance-kortlægning.

For det første giver politikbiblioteket organisationer styringssprog, der er klar til tilpasning. Mobile Device and BYOD Policy-sme er praktisk for mindre virksomheder, der har behov for klare regler for godkendelse og rapportering. Mobile device and byod policy understøtter regulerede miljøer, der kræver MDM, kryptering, autentifikation, OS-baselines, DLP, containere, logning og formelle BYOD-aftaler.

For det andet giver Zenith Blueprint implementeringsvejen. Den viser, hvor mobil styring hører hjemme i den 30-trins revisionskøreplan: fjernarbejde, sikring af aktiver uden for organisationens lokationer og kontroller for endepunkter. Det forhindrer den almindelige fejl at behandle BYOD som ét enkelt dokument i stedet for et levende kontrolsystem.

For det tredje giver Zenith Controls cross-compliance-kompasset. Den forbinder ISO/IEC 27001:2022 Annex A-kontrollerne A.8.1, A.6.7 og A.7.9 med relaterede kontroller, understøttende standarder og revisionsforventninger. Den kortlægning hjælper CISO’er med at besvare tilsynsmyndighedens reelle spørgsmål: Vis, at jeres mobile styring er proportional, implementeret og effektiv.

Næste skridt: opbyg din forsvarlige BYOD-bevispakke

Hvis din organisation tillader mobil- eller BYOD-adgang, skal du ikke vente på, at en mistet iPad afslører bevisgabet.

Start med en fokuseret vurdering:

• Kortlæg hver mobil adgangsvej til virksomhedsdata og kritiske systemer.
• Sammenlign faktisk adgang med Mobile device and byod policy Mobile device and byod policy eller Mobile Device and BYOD Policy-sme Mobile Device and BYOD Policy - SME.
• Opret en én-sides post i risikoregisteret for mobil risiko med kobling til ISO/IEC 27001:2022 ISO/IEC 27001:2022.
• Brug Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint til at implementere kontroller for fjernarbejde, aktiver uden for organisationens lokationer og endepunkter.
• Brug Zenith Controls: The Cross-Compliance Guide Zenith Controls til at kortlægge revisionsbevis til forventninger efter NIS2, DORA, GDPR, NIST og COBIT 19.
• Brug Logging and Monitoring Policy-sme Logging and Monitoring Policy - SME til at definere praktiske logningsforventninger for mindre miljøer.
• Gennemfør en tabletop-øvelse for mistet enhed, og bevar revisionsbeviset.

Clarysec kan hjælpe dig med at omsætte ikke-administreret mobil adgang til et forsvarligt, revisionsbart styringsprogram. Download politikkerne, kortlæg dine kontroller med Zenith Controls, implementér køreplanen med Zenith Blueprint, og planlæg en Clarysec-vurdering, før din næste revisor stiller spørgsmålet kl. 8:12.