ISO 27001:2022-genopretningsplan efter mislykket audit
E-mailen, ingen ønskede at modtage
E-mailen lander sent en fredag med en emnelinje, der lyder harmløs: “Transition Audit Outcome.”
Indholdet er ikke harmløst. Certificeringsorganet har rejst en væsentlig afvigelse. ISO/IEC 27001-certifikatet er suspenderet, eller overgangsbeslutningen kan ikke afsluttes. Revisors note er direkte: Anvendelighedserklæringen begrunder ikke fravalgte kontroller, risikovurderingen afspejler ikke den aktuelle kontekst, og der er utilstrækkelig evidens for, at nye regulatoriske forpligtelser er blevet vurderet.
Inden for en time er problemet ikke længere blot et compliance-problem. Salg spørger, om et offentligt udbud nu er i fare. Jura gennemgår kundernes kontraktklausuler. CISO’en forklarer, hvorfor SoA ikke stemmer overens med risikobehandlingsplanen. CEO’en stiller det eneste spørgsmål, der betyder noget: “Hvor hurtigt kan vi rette det?”
For mange organisationer skabte udløbet af fristen for ISO 27001:2022-overgangen ikke et teoretisk hul. Det skabte et konkret problem for forretningskontinuiteten. En ikke gennemført eller mislykket ISO 27001:2022-overgangsaudit kan påvirke udbudsberettigelse, leverandøronboarding, cyberforsikring, kundernes tillidserklæringer, NIS2-beredskab, DORA-forventninger, GDPR-ansvarlighed og bestyrelsens tillid.
Den gode nyhed er, at genopretning er mulig. Den dårlige nyhed er, at dokumentkosmetik ikke virker. Genopretningen skal behandles som et disciplineret ISMS-program for korrigerende handlinger, ikke som en forhastet omskrivning af politikker.
Hos Clarysec organiserer vi denne genopretning omkring tre sammenhængende aktiver:
- Zenith Blueprint: An Auditor’s 30-Step Roadmap, især fasen Audit, Review & Improvement.
- Clarysecs politikbibliotek for enterprise-organisationer og SMV’er, som omsætter auditkonstateringer til styrede forpligtelser.
- Zenith Controls: The Cross-Compliance Guide, som hjælper med at forbinde kontrolforventninger i ISO/IEC 27002:2022 med NIS2, DORA, GDPR, NIST-inspireret assurance og COBIT 2019-styringsperspektiver.
Dette er den praktiske genopretningsplan for CISO’er, compliance-ansvarlige, revisorer, stiftere og virksomhedsejere, der ikke har nået fristen for ISO 27001:2022-overgangen eller ikke har bestået overgangsauditen.
Først: diagnosticér fejltypen
Før én eneste politik redigeres, skal situationen klassificeres. Ikke alle fejlede eller ikke gennemførte overgange har samme forretningsmæssige konsekvens eller genopretningsvej. De første 24 timer bør fokusere på at indhente auditrapporten, certificeringsorganets beslutning, afvigelsens ordlyd, anmodninger om evidens, frister og den aktuelle certifikatstatus.
| Situation | Forretningsmæssig konsekvens | Strakshandling |
|---|---|---|
| Overgangsaudit ikke bestået med væsentlig afvigelse | Certificeringsbeslutningen kan være blokeret, eller certifikatet kan være suspenderet, indtil forholdet er korrigeret | Åbn CAPA, udfør rodårsagsanalyse, bekræft evidensforventninger med certificeringsorganet |
| Overgangsaudit bestået med mindre afvigelser | Certificeringen kan fortsætte, hvis korrigerende handlinger accepteres | Luk mindre CAPA’er hurtigt, og opdater ISMS-evidenspakken |
| Overgang ikke gennemført før fristen | Certifikatet er muligvis ikke længere gyldigt eller anerkendt | Bekræft status med certificeringsorganet, og planlæg overgangs- eller recertificeringsforløb |
| Overvågningsaudit afdækkede svag overgangsevidens | Certificeringen kan være i fare ved næste beslutningspunkt | Gennemfør en prøveaudit, og opdater SoA, risikobehandling, ledelsens gennemgang og registreringer fra intern audit |
| Kunden afviste dit certifikat eller overgangsevidens | Kommerciel risiko, udbudsrisiko og påvirkning af tillid | Udarbejd en pakke til kundernes sikkerhedsassurance med auditstatus, CAPA-plan, måldatoer og ledelsesgodkendelse |
Genopretningsplanen afhænger af fejltypen. En blokeret certificeringsbeslutning kræver målrettet afhjælpning. Et suspenderet certifikat kræver akut styring og reparation af evidens. Et tilbagetrukket eller udløbet certifikat kan kræve et bredere recertificeringsforløb.
I alle tilfælde skal hvert forhold kortlægges til den relevante ISMS-klausul, Annex A-kontrol, risikoregistrering, politikejer, retlige eller kontraktlige forpligtelse og evidenskilde.
Det er her, ISO/IEC 27001:2022 har betydning som ledelsessystem, ikke blot som kontrolkatalog. Klausul 4 til 10 kræver, at ISMS forstår kontekst, interessenter, omfang, lederskab, risikoplanlægning, support, drift, præstationsevaluering og løbende forbedring. Hvis overgangen fejlede, er ét af disse ledelsessystemled typisk brudt.
Hvorfor ISO 27001:2022-overgangsaudits fejler
Mislykkede overgangsaudits samler sig ofte omkring gentagne mønstre. Mange er ikke dybt tekniske. De handler om governance, sporbarhed, ejerskab og evidens.
| Mønster i konstatering | Hvad revisor ser | Hvad det normalt betyder |
|---|---|---|
| Anvendelighedserklæringen er ikke opdateret eller ikke begrundet | Kontroller er markeret som relevante uden begrundelse eller fravalgt uden evidens | Kontroludvælgelsen kan ikke spores til risiko, regulering eller forretningsbehov |
| Risikovurderingen afspejler ikke aktuelle forpligtelser | NIS2, DORA, GDPR, kundekontrakter, cloudafhængigheder eller leverandørrisiko mangler | Kontekst og risikokriterier er ikke opdateret |
| Ledelsens gennemgang er overfladisk | Referater findes, men beslutninger, ressourcer, mål, auditresultater eller risikoændringer drøftes ikke | Ledelsens ansvarlighed fungerer ikke i praksis |
| Intern audit testede ikke overgangsomfanget | Auditchecklisten er generisk og dækker ikke opdaterede kontroller, leverandører, cloud, robusthed eller retlige forpligtelser | Præstationsevalueringen er utilstrækkelig |
| Leverandør- og cloudkontroller er svage | Ingen due diligence, kontraktgennemgang, exit-planlægning eller løbende overvågning | Operationel styring af eksternt leverede tjenester er ufuldstændig |
| Hændelseshåndtering er ikke tilpasset regulatorisk rapportering | Ingen 24-timers eller 72-timers eskaleringslogik, ingen beslutningstræ for DORA eller GDPR, ingen øvelsesevidens | Hændelsesstyring er ikke forbundet med retlig rapportering |
| CAPA-processen er svag | Konstateringer lukkes kun med dokumentredigeringer | Rodårsagen er ikke fjernet |
Den mislykkede audit er et signal om, at ISMS ikke tilpassede sig hurtigt nok til organisationens reelle driftsmiljø.
ISO/IEC 27005:2022 er nyttig i genopretningen, fordi den understreger betydningen af at etablere kontekst ved hjælp af retlige, regulatoriske, sektorspecifikke, kontraktlige, interne og eksisterende kontrolkrav. Den understøtter også risikokriterier, der tager højde for retlige forpligtelser, leverandører, privatliv, menneskelige faktorer, forretningsmål og ledelsesgodkendt risikovillighed.
I praksis begynder genopretning efter en overgang med opdateret kontekst og opdaterede risikokriterier, ikke med et nyt versionsnummer på et gammelt dokument.
Trin 1: Frys auditsporet, og opret et genopretningskommandocenter
Den første operationelle fejl efter en mislykket audit er kaos i evidensen. Teams begynder at søge i indbakker, fællesdrev, helpdesk-sagsstyringssystemer, chatbeskeder, personlige mapper og gamle auditpakker. Revisorer tolker dette som et tegn på, at ISMS ikke er under kontrol.
Clarysecs SMV Politik for audit og overvågning af efterlevelse - SMV er eksplicit om styring af evidens:
“Al evidens skal opbevares i en central auditmappe.”
Fra afsnittet “Krav til implementering af politikken”, politikklausul 6.2.1.
Denne centrale auditmappe bliver genopretningens cockpit. Den bør omfatte:
- Certificeringsorganets rapport og korrespondance.
- Bekræftelse af certifikatstatus.
- Afvigelsesregister.
- CAPA-log.
- Opdateret risikovurdering.
- Opdateret risikobehandlingsplan.
- Opdateret anvendelighedserklæring.
- Rapport fra intern audit.
- Referat fra ledelsens gennemgang.
- Registreringer af politikgodkendelse.
- Evidens for hver relevant Annex A-kontrol.
- Pakke til kundernes sikkerhedsassurance, hvis kommercielle forpligtelser er berørt.
For enterprise-miljøer fastsætter Clarysecs Politik for audit og overvågning af efterlevelse den samme styringsforventning:
“Alle konstateringer skal resultere i en dokumenteret CAPA, der omfatter:”
Fra afsnittet “Krav til implementering af politikken”, politikklausul 6.2.1.
Ordlyden indfører en struktureret forventning om korrigerende handling. Det afgørende punkt er enkelt: Hver auditkonstatering skal blive et styret CAPA-punkt, ikke en uformel opgave i en persons notesbog.
For SMV’er er ledelsens involvering lige så vigtig:
“GM skal godkende en plan for korrigerende handling og følge dens implementering.”
Fra Politik for audit og overvågning af efterlevelse - SMV, afsnittet “Styringskrav”, politikklausul 5.4.2.
Det betyder noget, fordi ISO 27001:2022 ikke behandler lederskab som symbolsk. Øverste ledelse skal fastlægge politik, tilpasse mål til forretningsstrategien, stille ressourcer til rådighed, kommunikere betydningen af informationssikkerhed, tildele ansvar og fremme løbende forbedring.
Hvis den mislykkede overgang behandles som “compliance-personens problem”, vil næste audit igen afsløre svag ledelsesmæssig ansvarlighed.
Trin 2: Genopbyg kontekst, forpligtelser og risiko
En mislykket overgangsaudit betyder ofte, at ISMS-konteksten ikke længere afspejler organisationens virkelighed. Forretningen kan være flyttet til cloudplatforme, have tilføjet nye leverandører, være gået ind på regulerede markeder, behandle flere personoplysninger eller være blevet relevant for kunder under NIS2 eller DORA. Hvis disse ændringer mangler i ISMS, bliver risikovurderingen og SoA ufuldstændige.
Clarysecs Politik for juridisk og regulatorisk efterlevelse fastsætter baseline:
“Alle retlige og regulatoriske forpligtelser skal kortlægges til specifikke politikker, kontroller og ejere i ledelsessystemet for informationssikkerhed (ISMS).”
Fra afsnittet “Krav til implementering af politikken”, politikklausul 6.2.1.
Denne klausul er kritisk efter en overgangsfejl. ISO 27001:2022-klausul 4.1 til 4.3 kræver, at organisationer vurderer interne og eksterne forhold, interessenter, krav, grænseflader, afhængigheder og omfang. Retlige, regulatoriske og kontraktlige forpligtelser er ikke fodnoter. De former ISMS.
NIS2 Article 21 kræver passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger, herunder risikoanalyse, politikker, hændelseshåndtering, backup, genopretning efter alvorlige hændelser, krisestyring, sikkerhed i forsyningskæden, sikker udvikling, håndtering af sårbarheder, effektivitetsvurderinger, cyberhygiejne, uddannelse, kryptografi, HR-sikkerhed, adgangsstyring, styring af aktiver og sikker kommunikation. Article 20 placerer ansvaret på ledelsesorganets niveau. Article 23 etablerer trinvis rapportering af væsentlige hændelser, herunder tidlig varsling, hændelsesunderretning, opdateringer og endelig rapportering.
DORA gælder direkte for finansielle enheder fra 17. januar 2025 og dækker styring af IKT-risiko, rapportering af større hændelser, robusthedstest, IKT-tredjepartsrisiko, kontraktlige krav og tilsyn med kritiske IKT-tredjepartsudbydere. For finansielle enheder inden for anvendelsesområdet bliver DORA en central drivkraft for IKT-styring, leverandørkontrol, test, hændelsesklassificering og ledelsesmæssig ansvarlighed.
GDPR tilføjer ansvarlighed for personoplysninger. Article 5 kræver lovlig, rimelig, gennemsigtig, begrænset, nøjagtig, opbevaringsbevidst og sikker behandling med dokumenterbar efterlevelse. Article 4 definerer brud på persondatasikkerheden på en måde, der direkte påvirker hændelsesklassificering. Article 6 kræver kortlægning af behandlingsgrundlag, og Article 9 tilføjer skærpede krav til særlige kategorier af data.
Det betyder ikke, at der skal oprettes separate compliance-universer. Det betyder, at ISO 27001:2022 skal bruges som det integrerede ledelsessystem, og at forpligtelser skal kortlægges ind i én risiko- og kontrolarkitektur.
Clarysecs Politik for risikostyring forbinder risikobehandling direkte med kontroludvælgelse:
“Kontrolbeslutninger, der følger af risikobehandlingsprocessen, skal afspejles i SoA.”
Fra afsnittet “Krav til implementering af politikken”, politikklausul 6.5.1.
En mislykket audit er også en grund til at gennemgå selve risikostyringsprocessen. Clarysecs SMV Politik for risikostyring - SMV identificerer denne udløser:
“En større hændelse eller auditkonstatering afdækker mangler i risikostyringen”
Fra afsnittet “Krav til gennemgang og opdatering”, politikklausul 9.2.1.1.
I genopretningstilstand betyder det, at risikoregisteret, risikokriterierne, behandlingsplanen og SoA skal genopbygges samlet.
Trin 3: Reparer SoA som sporbarhedens rygrad
I de fleste mislykkede overgange er anvendelighedserklæringen det første dokument, der skal inspiceres. Det er også et af de første dokumenter, revisorer udtager stikprøver fra. En svag SoA fortæller revisor, at kontroludvælgelsen ikke er risikobaseret.
Zenith Blueprint giver en praktisk instruktion i fasen Audit, Review & Improvement, trin 24, Audit, Review & Improvement:
“Din SoA bør være konsistent med dit risikoregister og din risikobehandlingsplan. Dobbelttjek, at hver kontrol, du har valgt som risikobehandling, er markeret som ‘Applicable’ i SoA. Omvendt bør du, hvis en kontrol er markeret som ‘Applicable’ i SoA, have en begrundelse for det - typisk en kortlagt risiko, et retligt/regulatorisk krav eller et forretningsbehov.”
Fra Zenith Blueprint: An Auditor’s 30-Step Roadmap, fasen Audit, Review & Improvement, trin 24.
Det er genopretningsprincippet. SoA er ikke en formalitet. Den er sporbarhedens rygrad mellem risici, forpligtelser, kontroller, implementeringsevidens og auditkonklusioner.
En praktisk SoA-reparation bør følge denne rækkefølge:
- Eksportér den aktuelle SoA.
- Tilføj kolonner for risiko-ID, regulatorisk forpligtelse, forretningskrav, politikreference, evidensplacering, ejer, implementeringsstatus og dato for seneste test.
- Kortlæg mindst én forsvarlig begrundelse for hver relevant kontrol.
- Skriv en specifik fravalgsbegrundelse for hver fravalgt kontrol.
- Afstem SoA med risikobehandlingsplanen.
- Afstem SoA med resultaterne fra intern audit.
- Stil det svære spørgsmål: Hvis en revisor udtager denne række som stikprøve, kan vi så dokumentere den på fem minutter?
En forsvarlig SoA-række bør se sådan ud:
| SoA-felt | Eksempel på genopretningspost |
|---|---|
| Kontrolbegrundelse | Relevant på grund af cloudhosting, betalingsformidler, outsourcet support og kontraktlige kundesikkerhedsforpligtelser |
| Risikolink | R-014 driftsafbrydelse hos tredjepartstjeneste, R-021 leverandørdataeksponering, R-027 regulatorisk brud som følge af processorfejl |
| Forpligtelseslink | NIS2-sikkerhed i forsyningskæden, DORA IKT-tredjepartsrisiko hvor relevant, GDPR-ansvarlighed for databehandlere |
| Politiklink | Politik for tredjeparts- og leverandørsikkerhed, procedure for kontraktgennemgang, tjekliste for leverandørvurdering |
| Evidens | Leverandørregister, risikovurderinger, due diligence-spørgeskema, underskrevet DPA, gennemgang af SOC-rapport, exit-plan, registrering af årlig gennemgang |
| Ejer | leverandøransvarlig, CISO, Jura |
| Test | Stikprøve i intern audit af de fem vigtigste kritiske leverandører gennemført, undtagelser logget i CAPA |
| Status | Implementeret med to åbne korrigerende handlinger for kontraktopdateringer |
Denne række fortæller en genopretningshistorie. Den viser forretningskontekst, risikologik, regulatorisk relevans, ejerskab, implementering, test og resterende handling.
For fravalg gælder samme disciplin. Hvis organisationen for eksempel ikke udfører intern softwareudvikling, kan et fravalg af ISO/IEC 27002:2022-kontrol 8.25 Secure development life cycle og kontrol 8.28 Secure coding være forsvarligt, men kun hvis det er sandt, dokumenteret og understøttet af evidens for, at software er kommerciel standardsoftware eller fuldt outsourcet med leverandørkontroller på plads.
Trin 4: Udfør rodårsagsanalyse, ikke dokumentkosmetik
En mislykket overgangsaudit skyldes sjældent én manglende fil. Den skyldes typisk en brudt proces.
Zenith Blueprint, fasen Audit, Review & Improvement, trin 27, Audit Findings - Analysis & Root Cause, angiver:
“For hver identificeret afvigelse (væsentlig eller mindre) skal du overveje, hvorfor den opstod - dette er afgørende for effektiv korrektion.”
Fra Zenith Blueprint, fasen Audit, Review & Improvement, trin 27.
Hvis konstateringen siger “SoA-begrundelser mangler”, kan korrektionen være at opdatere SoA. Men rodårsagen kan være, at aktivejere ikke var involveret i risikovurderingen, at retlige forpligtelser ikke var kortlagt, eller at compliance-teamet vedligeholdt SoA isoleret.
En nyttig genopretningstabel adskiller svage korrektioner fra egentlig korrigerende handling:
| Auditkonstatering | Dårlig korrektion | Relevant rodårsagsspørgsmål | Bedre korrigerende handling |
|---|---|---|---|
| SoA stemmer ikke overens med risikobehandling | Opdater SoA-ordlyd | Hvorfor blev SoA ikke afstemt med risikobehandlingen? | Indfør kvartalsvis afstemning mellem SoA og risiko med ejerskab hos ISMS-ansvarlig |
| Ingen leverandørevalueringer | Upload ét spørgeskema | Hvorfor blev leverandører ikke gennemgået? | Tildel leverandørejer, definér risikoniveauinddeling, gennemfør gennemgange, overvåg årligt |
| Ledelsens gennemgang er ufuldstændig | Tilføj dagsordenspunkt med tilbagevirkende kraft | Hvorfor dækkede ledelsens gennemgang ikke overgangsstatus? | Opdater skabelon for ledelsens gennemgang, og planlæg kvartalsvis styringsgennemgang |
| Hændelsesrapportering ikke testet | Redigér hændelsesprocedure | Hvorfor blev rapportering ikke øvet? | Gennemfør tabletop-øvelse med beslutningspunkter for NIS2, DORA og GDPR, og opbevar evidens |
| Intern audit er for snæver | Udvid checklisten | Hvorfor overså auditplanlægningen overgangsomfanget? | Godkend en risikobaseret auditplan, der dækker regulering, leverandører, cloud og robusthed |
Det er her, troværdigheden vender tilbage. Revisorer forventer ikke perfektion. De forventer et kontrolleret system, der opdager, korrigerer, lærer og forbedrer.
Trin 5: Byg CAPA, som en revisor kan have tillid til
Korrigerende og forebyggende handling er dér, hvor mange organisationer genvinder kontrollen. CAPA-registeret bør blive genopretningskøreplanen og den primære evidens for, at den mislykkede audit blev håndteret systematisk.
Zenith Blueprint, fasen Audit, Review & Improvement, trin 29, Continual Improvement, forklarer strukturen:
“Sørg for, at hver korrigerende handling er specifik, kan tildeles og er tidsafgrænset. I praksis opretter du et miniprojekt for hvert forhold.”
Fra Zenith Blueprint, fasen Audit, Review & Improvement, trin 29.
Din CAPA-log bør omfatte:
- Konstaterings-ID.
- Kildeaudit.
- Klausul- eller kontrolreference.
- Alvorlighed.
- Beskrivelse af forholdet.
- Strakskorrektion.
- Rodårsag.
- Korrigerende handling.
- Forebyggende handling, hvor relevant.
- Ejer.
- Forfaldsdato.
- Krævet evidens.
- Status.
- Effektivitetskontrol.
- Ledelsens godkendelse.
Clarysecs Politik for audit og overvågning af efterlevelse - SMV identificerer også en væsentlig afvigelse som en udløsende faktor for gennemgang:
“En certificeringsaudit eller overvågningsaudit resulterer i en væsentlig afvigelse”
Fra afsnittet “Krav til gennemgang og opdatering”, politikklausul 9.2.2.
Hvis overgangsauditen førte til en væsentlig afvigelse, skal selve processen for audit og overvågning af efterlevelse gennemgås. Hvorfor opdagede intern audit ikke forholdet først? Hvorfor eskalerede ledelsens gennemgang det ikke? Hvorfor afdækkede SoA ikke evidenshullet?
Sådan bliver en mislykket audit til et stærkere ISMS.
Trin 6: Brug Zenith Controls til at forbinde ISO-evidens med tværgående efterlevelse
En opfølgende audit foregår ikke isoleret. Kunder, tilsynsmyndigheder, forsikringsselskaber og interne styringsteams kan alle se på den samme evidens fra forskellige vinkler. Her er Zenith Controls værdifuld som en tværgående efterlevelsesguide. Den hjælper teams med at holde op med at behandle ISO 27001, NIS2, DORA, GDPR, NIST-inspireret assurance og COBIT 2019-styring som adskilte checklister.
Tre ISO/IEC 27002:2022-kontroller er særligt relevante ved genopretning efter en overgang.
| ISO/IEC 27002:2022-kontrol | Relevans for genopretning | Evidens, der skal forberedes |
|---|---|---|
| 5.31 Retlige, lovbestemte, regulatoriske og kontraktlige krav | Bekræfter, at forpligtelser er identificeret, dokumenteret og forbundet til ISMS | Juridisk register, kontraktlige forpligtelser, regulatorisk kortlægning, matrix over politikejere, SoA-begrundelse |
| 5.35 Uafhængig gennemgang af informationssikkerhed | Bekræfter, at gennemgangsaktiviteten er objektiv, afgrænset, kompetent og fulgt op | Plan for intern audit, uafhængig gennemgangsrapport, revisorkompetence, CAPA-registreringer, rapportering til ledelsen |
| 5.36 Overholdelse af politikker, regler og standarder for informationssikkerhed | Bekræfter, at politikker ikke blot er offentliggjort, men overvåges og håndhæves | Politikattestering, logfiler over undtagelser, overvågningsrapporter, disciplinært workflow, efterlevelseskontrol |
I Zenith Controls er ISO/IEC 27002:2022-kontrol 5.31 direkte knyttet til privatliv og personhenførbare oplysninger (PII):
“5.34 dækker efterlevelse af databeskyttelseslovgivning (f.eks. GDPR), som er én kategori af retlige krav under 5.31.”
Fra Zenith Controls, kontrol 5.31, relationer til andre kontroller.
Ved genopretning betyder det, at det juridiske register ikke må ligge uden for ISMS. Det skal drive SoA, risikobehandlingsplanen, politikgrundlaget, kontrolejerskab og audit-evidens.
For ISO/IEC 27002:2022-kontrol 5.35 fremhæver Zenith Controls, at uafhængig gennemgang ofte rækker ind i operationel evidens:
“Uafhængige gennemgange under 5.35 vurderer ofte tilstrækkeligheden af lognings- og overvågningsaktiviteter.”
Fra Zenith Controls, kontrol 5.35, relationer til andre kontroller.
Det er praktisk. En revisor kan starte med governance og derefter udtage stikprøver af logfiler, alarmer, overvågningsregistreringer, gennemgang af adgangsrettigheder, hændelsessager, backuptest, leverandørgennemgange og ledelsesbeslutninger.
For ISO/IEC 27002:2022-kontrol 5.36 forklarer Zenith Controls forholdet til intern politikstyring:
“Kontrol 5.36 fungerer som håndhævelsesmekanismen for de regler, der er defineret under 5.1.”
Fra Zenith Controls, kontrol 5.36, relationer til andre kontroller.
Det er her, mange overgangsprogrammer fejler. Politikker findes, men efterlevelse af dem overvåges ikke. Procedurer findes, men undtagelser registreres ikke. Kontroller erklæres, men testes ikke.
Trin 7: Forbered jer på forskellige auditperspektiver
En stærk genopretningspakke bør kunne holde til mere end én revisors perspektiv. ISO-certificeringsrevisorer, DORA-tilsyn, NIS2-gennemgange, GDPR-interessenter, kunders assurance-teams, NIST-orienterede vurderingsparter og COBIT 2019-styringsrevisorer kan alle stille forskellige spørgsmål til den samme evidens.
| Auditperspektiv | Sandsynligt spørgsmål | Evidens, der hjælper |
|---|---|---|
| ISO 27001:2022-revisor | Er ISMS effektivt, risikobaseret, korrekt afgrænset, gennemgået af ledelsen og løbende forbedret? | Omfang, kontekst, interessenter, risikovurdering, SoA, behandlingsplan, intern audit, ledelsens gennemgang, CAPA |
| NIST-orienteret vurderingspart | Fungerer governance, risikoidentifikation, beskyttelse, detektion, respons og genopretning sammenhængende? | Aktivfortegnelse, risikoregister, adgangskontroller, logning, overvågning, hændelsesplaybooks, genopretningstest |
| COBIT 2019- eller ISACA-lignende revisor | Er styringsmål, ejerskab, performanceovervågning, risikostyring og compliance-assurance indlejret? | RACI, godkendte mål, metrikker, auditplan, rapportering til ledelsen, kontrolejerskab, sporing af forhold |
| NIS2-efterlevelsesgennemgang | Har ledelsen godkendt og ført tilsyn med forholdsmæssige foranstaltninger til styring af cybersikkerhedsrisici og workflows for hændelsesrapportering? | Bestyrelsesreferater, risikoforanstaltninger, leverandørkontroller, hændelseseskalering, træning, evidens for kontinuitet og krisestyring |
| DORA-gennemgang | Er styring af IKT-risiko dokumenteret, testet, leverandørbevidst og integreret i governance? | IKT-risikostyringsramme, robusthedstest, hændelsesklassificering, IKT-kontraktregister, exit-planer, revisionsrettigheder |
| GDPR-gennemgang | Kan organisationen dokumentere ansvarlighed for databeskyttelse og håndtering af brud? | RoPA, kortlægning af behandlingsgrundlag, DPIA’er hvor nødvendigt, databehandlerkontrakter, logfiler over brud, tekniske og organisatoriske foranstaltninger |
Målet er ikke at duplikere evidens. Én SoA-række for logning og overvågning kan understøtte ISO-evidens, NIST-inspirerede forventninger til detektion, DORA-hændelseshåndtering, NIS2-effektivitetsvurdering og GDPR-detektion af brud. Én leverandørrisikofil kan understøtte ISO-leverandørkontroller, DORA IKT-tredjepartsrisiko, NIS2-sikkerhed i forsyningskæden og GDPR-ansvarlighed for databehandlere.
Det er den praktiske værdi af tværgående efterlevelse.
Trin 8: Gennemfør en afsluttende dokumentationsgennemgang og prøveaudit
Før I vender tilbage til certificeringsorganet, skal I gennemføre en skarp intern udfordring. Zenith Blueprint, fasen Audit, Review & Improvement, trin 30, Certification Preparation - Final Review & Mock Audit, anbefaler at gennemgå ISO 27001:2022-klausul 4 til 10 én for én og validere evidens for hver relevant Annex A-kontrol.
Den anbefaler:
“Kontrollér Annex A-kontroller: Sørg for, at du for hver kontrol, du har markeret som ‘Applicable’ i SoA, har noget at vise for den.”
Fra Zenith Blueprint, fasen Audit, Review & Improvement, trin 30.
Den afsluttende gennemgang bør være direkte:
- Kan hver relevant kontrol forklares?
- Kan hver fravalgt kontrol begrundes?
- Kan accept af restrisiko dokumenteres?
- Har ledelsen gennemgået overgangsfejlen, ressourcer, mål, auditresultater og korrigerende handlinger?
- Har intern audit testet den opdaterede SoA og risikobehandlingsplan?
- Er leverandør-, cloud-, kontinuitets-, hændelses-, privatlivs-, adgangs-, sårbarheds-, lognings- og overvågningskontroller dokumenteret med evidens?
- Er politikker godkendte, aktuelle, kommunikerede og versionsstyrede?
- Er CAPA’er knyttet til rodårsager og effektivitetskontroller?
- Kan evidens findes hurtigt i den centrale auditmappe?
Clarysecs Informationssikkerhedspolitik angiver styringsbaselinen:
“Organisationen skal implementere og vedligeholde et ledelsessystem for informationssikkerhed (ISMS) i overensstemmelse med ISO/IEC 27001:2022-klausul 4 til 10.”
Fra afsnittet “Krav til implementering af politikken”, politikklausul 6.1.1.
For SMV’er skal gennemgang også følge certificeringskrav og regulatoriske ændringer. Clarysecs Informationssikkerhedspolitik - SMV angiver:
“Denne politik skal gennemgås af General Manager (GM) mindst årligt for at sikre fortsat overholdelse af ISO/IEC 27001-certificeringskrav, regulatoriske ændringer (såsom GDPR, NIS2 og DORA) og ændrede forretningsbehov.”
Fra afsnittet “Krav til gennemgang og opdatering”, politikklausul 9.1.1.
Det er præcis det, mange overgangsprogrammer overså: ISO, regulering og forretningsændringer bevæger sig sammen.
Hvad I skal fortælle kunderne, mens I genopretter
Hvis en mislykket eller ikke gennemført overgang påvirker kundekontrakter, er tavshed farlig. I behøver ikke at offentliggøre alle detaljer fra intern audit, men I bør give kontrolleret assurance.
En kundekommunikationspakke bør omfatte:
- Aktuel certifikatstatus bekræftet af certificeringsorganet.
- Overgangsauditstatus og afhjælpningsplan på overordnet niveau.
- Bekræftelse af, at en CAPA-proces er aktiv og ledelsesgodkendt.
- Måldatoer for korrigerende handlinger og auditlukning.
- Erklæring om, at ISMS fortsat er operationelt.
- Kontaktpunkt for sikkerhedsassurance.
- Opdateret sikkerhedspolitikerklæring, hvis relevant.
- Evidens for kompenserende kontroller for eventuelle højrisikoområder.
Undgå vage påstande som “vi er fuldt compliant”, mens auditen er uafklaret. Sig det, der er sandt: ISMS er i drift, korrigerende handling er godkendt, evidens konsolideres, og en lukningsgennemgang eller opfølgende audit er planlagt.
Dette er særligt vigtigt, hvis kunder er afhængige af jer som leverandør i NIS2-relevante sektorer såsom digital infrastruktur, cloud, datacentre, content delivery networks, DNS, tillidstjenester, offentlige elektroniske kommunikationstjenester, managed services eller managed security services. Hvis jeres auditstatus påvirker deres forsyningskæderisiko, har de brug for troværdig assurance.
Et praktisk 10-dages genopretningssprint
Tidslinjer varierer afhængigt af certificeringsorgan, alvorlighed, omfang og evidensmodenhed. Men genopretningsrækkefølgen er stabil.
| Dag | Aktivitet | Output |
|---|---|---|
| 1 | Indsaml auditrapport, bekræft certifikatstatus, opret central auditmappe | Genopretningskommandocenter |
| 2 | Klassificér konstateringer, tildel ejere, brief ledelsen | Godkendt genopretningsstyring |
| 3 | Opdater kontekst, forpligtelser, interessenter og antagelser om omfang | Opdateret kontekst- og efterlevelseskort |
| 4 | Afstem risikovurdering og risikobehandlingsplan | Opdateret risikoregister og behandlingsplan |
| 5 | Reparer SoA med begrundelse, fravalg, evidens og ejere | Auditklar SoA |
| 6 | Udfør rodårsagsanalyse for alle konstateringer | Rodårsagslog |
| 7 | Udarbejd CAPA-plan med måldatoer og evidenskrav | CAPA-register |
| 8 | Indsaml og test evidens for prioriterede kontroller | Evidenspakke |
| 9 | Gennemfør ledelsens gennemgang, og godkend restrisici | Referat fra ledelsens gennemgang |
| 10 | Gennemfør prøveaudit, og forbered svar til certificeringsorganet | Pakke klar til opfølgende audit |
Indsend ikke svaret, før det fortæller en sammenhængende historie. Revisor skal kunne følge kæden fra konstatering til rodårsag, fra rodårsag til korrigerende handling, fra korrigerende handling til evidens og fra evidens til ledelsens gennemgang.
Clarysecs genopretningsarbejdsgang
Når Clarysec understøtter en ikke gennemført eller mislykket ISO 27001:2022-overgang, organiserer vi arbejdet i en fokuseret genopretningsarbejdsgang.
| Genopretningsfase | Clarysec-aktiv | Output |
|---|---|---|
| Audittriage | Zenith Blueprint trin 24, 27, 29, 30 | Klassificering af konstateringer, evidenskort, plan for auditlukning |
| Nulstilling af governance | Informationssikkerhedspolitik, Politik for audit og overvågning af efterlevelse | Godkendte ansvarsområder, ledelsesinvolvering, central evidensmappe |
| Risikoopdatering | Politik for risikostyring, ISO/IEC 27005:2022-metode | Opdateret kontekst, kriterier, risikoregister, behandlingsplan |
| SoA-reparation | Zenith Blueprint trin 24, Politik for risikostyring | Sporbar SoA med risiko, forpligtelse, ejer, evidens, status |
| Tværgående efterlevelseskortlægning | Zenith Controls | Tilpasning til NIS2, DORA, GDPR, NIST-inspireret og COBIT 2019-assurance |
| CAPA-gennemførelse | Zenith Blueprint trin 29, auditpolitikker | Rodårsag, korrigerende handling, ejer, frist, effektivitetskontrol |
| Prøveaudit | Zenith Blueprint trin 30 | Pakke klar til opfølgende audit og pakke til kundernes sikkerhedsassurance |
Det handler ikke om at fremstille papirarbejde. Det handler om at genskabe tilliden til, at ISMS er styret, risikobaseret, dokumenteret med evidens og under forbedring.
Afsluttende råd: Behandl den mislykkede overgang som en stresstest
En ikke nået ISO 27001:2022-overgangsfrist eller mislykket overgangsaudit føles som en krise, men det er også en diagnostisk mulighed. Den viser, om jeres ISMS kan absorbere ændringer, integrere retlige forpligtelser, styre leverandører, dokumentere kontroludførelse og lære af fejl.
De organisationer, der genopretter hurtigst, gør tre ting godt:
- De centraliserer evidens og stopper kaosset.
- De genopbygger sporbarhed mellem risiko, SoA, kontroller, politikker og forpligtelser.
- De håndterer auditkonstateringer gennem disciplineret CAPA og ledelsens gennemgang.
De organisationer, der kæmper, forsøger at løse problemet ved at redigere dokumenter uden at rette ejerskab, overvågning, evidens eller rodårsag.
Hvis I ikke har nået fristen eller ikke har bestået jeres overgangsaudit, er næste skridt ikke panik. Det er struktureret genopretning.
Clarysec kan hjælpe jer med at gennemføre triage af overgangsauditen, genopbygge jeres SoA, kortlægge NIS2-, DORA-, GDPR-, NIST-inspirerede og COBIT 2019-forventninger gennem Zenith Controls, udføre korrigerende handlinger med Zenith Blueprint og tilpasse politikevidens ved hjælp af Informationssikkerhedspolitik, Politik for audit og overvågning af efterlevelse, Politik for risikostyring og Politik for juridisk og regulatorisk efterlevelse.
Jeres certifikatproblem kan rettes. Jeres ISMS kan blive stærkere, end det var før auditen. Hvis jeres overgangsaudit er uafklaret, skal I starte genopretningsvurderingen nu, konsolidere jeres evidens og forberede en pakke til opfølgende audit, der dokumenterer, at jeres ISMS ikke blot er dokumenteret, men fungerer.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
