NIST CSF 2.0 Govern for SMV'er og ISO 27001
Sarah, den nyudnævnte CISO i en hurtigt voksende FinTech-SMV, havde en whiteboardtavle fyldt med rammeværker og en deadline, der ikke kunne flyttes. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Leverandørrisiko. Bestyrelsens ansvarlighed. Due diligence fra enterprise-kunder.
Udløseren var velkendt: et regneark fra en stor kunde i finanssektoren. Indkøb ønskede bevismateriale for en styringsmodel for cybersikkerhed, risikovillighed, et program for leverandørsikkerhed, kortlægning af retlige og regulatoriske forpligtelser, proces for hændelseseskalering og tilpasning til ISO 27001:2022.
Den administrerende direktør ønskede ikke en forelæsning om efterlevelse. Hun ønskede et enkelt svar på et vanskeligt spørgsmål: “Hvordan dokumenterer vi over for vores bestyrelse, vores kunder og vores tilsynsmyndigheder, at vi har styr på cyberrisiko?”
Det er styringsproblemet, mange SMV’er står over for. Et kundespørgeskema er sjældent kun et kundespørgeskema. Det er ofte fem samtaler om efterlevelse komprimeret til én anmodning. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, DORA-drevne leverandørforventninger, cloudrobusthed, bestyrelsestilsyn og kontraktlige forpligtelser ligger alle skjult i samme anmodning om bevismateriale.
Mange SMV’er reagerer ved at oprette separate artefakter: et NIST-regneark, en ISO-certificeringsmappe, en GDPR-tracker, et risikoregister for leverandører og en hændelseshåndteringsplan, der ikke hænger sammen. Seks måneder senere ved ingen, hvilket dokument der er autoritativt.
Clarysecs tilgang er anderledes. Brug NIST CSF 2.0 Govern-funktionen som det ledelsesmæssige styringslag, og kortlæg den derefter til ISO 27001:2022-politikker, risikobehandling, anvendelighedserklæring (SoA), leverandørtilsyn, ledelsens gennemgang og revisionsbevis. Resultatet er ikke mere efterlevelsesarbejde. Det er én driftsmodel, der kan besvare spørgsmål fra revisorer, kunder, tilsynsmyndigheder og ledelse med samme sæt bevismateriale.
Hvorfor NIST CSF 2.0 Govern-funktionen er vigtig for SMV’er
NIST CSF 2.0 løfter styring til sin egen funktion ved siden af Identify, Protect, Detect, Respond og Recover. Den ændring er vigtig, fordi de fleste sikkerhedsfejl i SMV’er ikke skyldes fraværet af endnu et værktøj. De skyldes uklar ansvarlighed, svage risikobeslutninger, udokumenterede undtagelser, inkonsekvent leverandørtilsyn og politikker, der blev godkendt én gang, men aldrig operationaliseret.
NIST CSF 2.0 Govern-funktionen ændrer spørgsmålet fra “hvilke kontroller har vi?” til “hvem er ansvarlig, hvilke forpligtelser gælder, hvordan prioriteres risici, og hvordan gennemgås performance?”
For SMV’er giver Govern-resultaterne et praktisk mandat:
- Forstå og håndtere retlige, regulatoriske, kontraktlige, privatlivsrelaterede og borgerrettighedsrelaterede forpligtelser.
- Fastlægge risikovillighed, risikotolerance, risikoscore, prioritering og muligheder for risikohåndtering.
- Definere cybersikkerhedsroller, ansvar, beføjelser, eskalationsveje og ressourcer.
- Etablere, kommunikere, håndhæve, gennemgå og opdatere cybersikkerhedspolitikker.
- Gennemgå cybersikkerhedsstrategi, performance og ledelsesmæssig ansvarlighed.
- Styre cybersikkerhedsrisiko hos leverandører og tredjeparter fra due diligence til offboarding.
Derfor er NIST CSF 2.0 Govern en stærk indgang til ISO 27001:2022. NIST giver ledelsen styringssproget. ISO 27001:2022 giver det auditerbare ledelsessystem.
ISO 27001:2022-klausulerne 4 til 10 kræver, at organisationer forstår konteksten, definerer interessenter, fastlægger ISMS-omfang, dokumenterer lederskab, planlægger risikovurdering og risikobehandling, understøtter dokumenteret information, driver kontroller, evaluerer performance, gennemfører interne revisioner og ledelsens gennemgang samt løbende forbedrer sig. Annex A giver derefter kontrolreferencesættet, herunder politikker, ledelsesansvar, retlige forpligtelser, privatliv, leverandørrelationer, cloudtjenester, hændelsesstyring og IKT-beredskab for forretningskontinuitet.
Clarysecs Enterprise Informationssikkerhedspolitik Informationssikkerhedspolitik angiver:
Organisationen skal opretholde en formel styringsmodel for tilsyn med ISMS, tilpasset ISO/IEC 27001-klausulerne 5.1 og 9.3.
Dette krav fra klausul 5.1 i Informationssikkerhedspolitik er den praktiske bro mellem NIST GV-ansvarlighed og ISO 27001:2022-forventninger til lederskab. Styring er ikke en årlig præsentation. Det er en formel model, der forbinder beslutninger, politikker, roller, risici, kontroller, bevismateriale og gennemgang.
Kernekortlægningen: NIST CSF 2.0 Govern til ISO 27001:2022-bevismateriale
Den hurtigste måde at gøre NIST CSF 2.0 anvendelig på er at omsætte Govern-resultater til politikejerskab og revisionsbevis. Tabellen nedenfor viser den struktur, Clarysec bruger med SMV’er, der forbereder ISO 27001:2022-certificering, due diligence fra enterprise-kunder, NIS2-beredskab, DORA-kundedokumentation og GDPR-ansvarlighed.
| NIST CSF 2.0 Govern-område | SMV-styringsspørgsmål | Tilpasning til ISO 27001:2022 | Clarysec-politikanker | Bevismateriale, som revisorer og kunder forventer |
|---|---|---|---|---|
| GV.OC, organisatorisk kontekst | Kender vi vores retlige, regulatoriske, kontraktlige, privatlivsrelaterede og forretningsmæssige forpligtelser? | Klausuler 4.1 til 4.4, Annex A 5.31 og 5.34 | Politik for juridisk og regulatorisk efterlevelse | Efterlevelsesregister, ISMS-omfang, interessentregister, kort over kundekrav, privatlivsregister |
| GV.RM, risikostyringsstrategi | Hvordan definerer, scorer, prioriterer, accepterer og behandler vi cyberrisici? | Klausuler 6.1.1 til 6.1.3, 8.2 og 8.3 | Politik for risikostyring | Risikometode, risikoregister, risikobehandlingsplan, godkendelser fra risikoejere, SoA-kortlægning |
| GV.RR, roller og ansvar | Hvem ejer cybersikkerhedsbeslutninger, undtagelser, ressourcer og rapportering? | Klausuler 5.1 til 5.3, Annex A 5.2 og 5.4 | SMV-politik for styringsroller og ansvarsområder | RACI, rollebeskrivelser, mødereferater, godkendelser af undtagelser, træningsregistreringer |
| GV.PO, politik | Er politikker godkendt, kommunikeret, håndhævet, gennemgået og opdateret? | Klausuler 5.2, 7.5 og 9.3, Annex A 5.1 | Informationssikkerhedspolitik | Politikregister, godkendelsesregistreringer, versionshistorik, medarbejderbekræftelser, referater fra politikgennemgang |
| GV.OV, tilsyn | Bliver cybersikkerhedsstrategi og performance gennemgået og justeret? | Klausuler 9.1, 9.2, 9.3, 10.1 og 10.2 | Politik for revision og efterlevelsesovervågning | KPI-dashboard, plan for intern revision, output fra ledelsens gennemgang, korrigerende handlinger |
| GV.SC, forsyningskæderisiko | Er leverandører kendt, prioriteret, vurderet, kontraktligt reguleret, overvåget og offboardet? | Annex A 5.19 til 5.23 og 5.30 | SMV-politik for tredjeparts- og leverandørsikkerhed | Leverandørfortegnelse, due diligence-registreringer, kontraktklausuler, gennemgangslog, exitplaner, hændelseskontakter |
Denne kortlægning er bevidst bevismateriale-først. Den beder ikke SMV’en om at oprette 40 dokumenter. Den stiller fem operationelle spørgsmål:
- Hvilken beslutning træffes?
- Hvem ejer den?
- Hvilken politik regulerer den?
- Hvilken ISO 27001:2022-klausul eller Annex A-kontrol understøtter den?
- Hvilket bevismateriale dokumenterer, at det er sket?
SMV-politik for styringsroller og ansvarsområder SMV-politik for styringsroller og ansvarsområder gør denne sporbarhed eksplicit:
Alle væsentlige sikkerhedsbeslutninger, undtagelser og eskaleringer skal registreres og være sporbare.
Dette citat stammer fra klausul 5.5 i SMV-politik for styringsroller og ansvarsområder. Det omsætter NIST GV.RR fra et styringsprincip til en auditerbar driftsregel.
Start med en CSF Govern-profil, ikke et kontrolregneark
NIST CSF 2.0 Organizational Profiles hjælper organisationer med at beskrive aktuelle og målrettede cybersikkerhedsresultater. For SMV’er er profilen det sted, hvor styring bliver håndterbar.
En praktisk Govern-profilworkshop bør besvare fem spørgsmål:
- Hvad er omfattet: hele virksomheden, en SaaS-platform, et reguleret produkt eller et kundemiljø?
- Hvilke forpligtelser driver profilen: kundekontrakter, GDPR, NIS2-eksponering, DORA-drevne kundeforventninger, ISO 27001:2022-certificering eller investor-due diligence?
- Hvad dokumenterer det nuværende bevismateriale, ikke hvad folk tror findes?
- Hvilken måltilstand er realistisk for de næste 90 dage og de næste 12 måneder?
- Hvilke risici, politikker, leverandører og SoA-poster skal ændres?
Zenith Blueprint: En revisors 30-trins køreplan Zenith Blueprint understøtter dette i fasen ISMS Foundation & Leadership, trin 6, “Dokumenteret information og opbygning af ISMS-biblioteket.” Den anbefaler at forberede SoA tidligt og bruge den som et kontrolbibliotek:
✓ Yderligere kontroller: Er der kontroller uden for Annex A, som I kunne medtage? ISO 27001 tillader, at andre kontroller tilføjes i SoA. Måske ønsker I for eksempel at medtage efterlevelse af NIST CSF eller specifikke privatlivskontroller fra ISO 27701. Generelt er Annex A dækkende, men I kan frit tilføje eventuelle unikke kontroller, I planlægger
✓ Brug et regneark (SoA Builder): En praktisk tilgang er at forberede SoA- regnearket nu. Vi har udarbejdet en SoA_Builder.xlsx-skabelon, som lister alle Annex A- kontroller med kolonner for anvendelighed, implementeringsstatus og noter.
For en SMV er dette vigtigt. I behøver ikke at tvinge NIST CSF 2.0 ind i ISO Annex A, som om de to er identiske. I kan medtage CSF Govern-resultater som yderligere styringskrav i jeres SoA-bibliotek, kortlægge dem til ISO 27001:2022-klausuler og Annex A-kontroller og bruge dem til at forbedre ledelsens gennemgang, leverandørstyring, risikorapportering og efterlevelsesovervågning.
Opbyg et Govern-register for bevismateriale
Et Govern-register for bevismateriale er det praktiske værktøj, der omsætter rammeværker til dokumentation. Det bør forbinde hvert NIST-resultat med en ISO-reference, politikejer, bevismateriale, gennemgangsfrekvens, hul og handling.
| Felt | Eksempelpost |
|---|---|
| CSF-resultat | GV.OC-03 |
| Styringsspørgsmål | Er retlige, regulatoriske, kontraktlige, privatlivsrelaterede og borgerrettighedsrelaterede forpligtelser forstået og håndteret? |
| ISO 27001:2022-reference | Klausuler 4.2, 4.3 og 6.1.3, Annex A 5.31 og 5.34 |
| Clarysec-politik | Politik for juridisk og regulatorisk efterlevelse |
| Ejer af bevismateriale | Compliance Manager |
| Bevismateriale | Efterlevelsesregister v1.4, kort over kundeforpligtelser, GDPR-register over behandlingsaktiviteter |
| Gennemgangsfrekvens | Kvartalsvis og ved ændringer i marked, kunde eller produkt |
| Hul | DORA-flow-down-klausuler fra kunder er ikke kortlagt til leverandørkontrakter |
| Handling | Opdater skabelon for leverandørkontrakter og SoA-noter |
| Forfaldsdato | 30 dage |
Clarysecs Enterprise Politik for juridisk og regulatorisk efterlevelse Politik for juridisk og regulatorisk efterlevelse fastlægger det styrende krav:
Alle retlige og regulatoriske forpligtelser skal kortlægges til specifikke politikker, kontroller og ejere i ledelsessystemet for informationssikkerhed (ISMS).
Dette er klausul 6.2.1 i Politik for juridisk og regulatorisk efterlevelse. For SMV’er tilføjer SMV-politik for juridisk og regulatorisk efterlevelse SMV-politik for juridisk og regulatorisk efterlevelse et praktisk krav om krydskortlægning:
Hvor en regulering gælder på tværs af flere områder (f.eks. GDPR gælder for opbevaring, sikkerhed og privatliv), skal dette tydeligt kortlægges i efterlevelsesregisteret og træningsmaterialet.
Dette citat stammer fra klausul 5.2.2 i SMV-politik for juridisk og regulatorisk efterlevelse. Tilsammen omsætter disse klausuler GV.OC-03 til en styret, gennemgåelig og revisionsklar proces.
Forbind risikoscore med risikobehandling og SoA
NIST GV.RM kræver risikomål, risikovillighed, risikotolerance, standardiseret risikoberegning, responsmuligheder og kommunikationslinjer. ISO 27001:2022 operationaliserer dette gennem risikovurdering, risikobehandling, godkendelse fra risikoejer, accept af restrisiko og anvendelighedserklæring (SoA).
SMV-politik for risikostyring SMV-politik for risikostyring er bevidst konkret:
Hver risikopost skal omfatte: beskrivelse, sandsynlighed, konsekvens, score, ejer og behandlingsplan.
Dette stammer fra klausul 5.1.2 i SMV-politik for risikostyring. Enterprise Politik for risikostyring Politik for risikostyring forstærker forbindelsen til SoA:
En anvendelighedserklæring (SoA) skal afspejle alle behandlingsbeslutninger og skal opdateres, når kontroldækningen ændres.
Det er klausul 5.4 i Politik for risikostyring.
Overvej en reel SMV-risiko: uautoriseret adgang til produktionskundedata på grund af inkonsekvent MFA-håndhævelse på tværs af cloudadministrationskonti.
En stærk Govern-kortlægning vil omfatte:
- NIST GV.RM for standardiseret risikodokumentation og prioritering.
- NIST GV.RR for rolleejerskab og beføjelse til at håndhæve adgangsstyring.
- NIST GV.PO for håndhævelse og gennemgang af politik.
- ISO 27001:2022-klausulerne 6.1.2, 6.1.3, 8.2 og 8.3.
- Annex A-kontroller for adgangsstyring, identitetsstyring, autentifikationsoplysninger, logning, overvågning, konfiguration og cloudtjenester.
- Bevismateriale såsom en post i risikoregisteret, eksport af MFA-konfiguration, godkendelse af undtagelse, cloud IAM-gennemgang, beslutning fra ledelsens gennemgang og opdateret SoA-note.
Zenith Blueprint, risikostyringsfasen, trin 13, “Planlægning af risikobehandling og anvendelighedserklæring,” forklarer sammenhængen:
✓ Sørg for overensstemmelse med jeres risikoregister: hver afbødende kontrol, I har skrevet i risiko- behandlingsplanen, bør svare til en Annex A-kontrol markeret “Anvendelig.” Omvendt bør I, hvis en kontrol er markeret som anvendelig, have enten en risiko eller et krav, der driver den.
Det er forskellen mellem at sige “vi bruger MFA” og at dokumentere “vi har en styret, risikobaseret, ISO 27001:2022-tilpasset begrundelse for MFA med bevismateriale, ejer og gennemgangsfrekvens.”
Styr leverandørrisiko uden at overbygge programmet
NIST GV.SC er en af de mest nyttige dele af Govern-funktionen for SMV’er, fordi moderne SMV’er er stærkt afhængige af leverandører: cloududbydere, betalingsbehandlere, HR-platforme, helpdesk-systemer, koderepositorier, CI/CD-værktøjer, overvågningsværktøjer og administrerede sikkerhedstjenester.
ISO 27001:2022 Annex A understøtter dette gennem leverandør- og cloudkontroller, herunder 5.19 Informationssikkerhed i leverandørrelationer, 5.20 Håndtering af informationssikkerhed i leverandøraftaler, 5.21 Styring af informationssikkerhed i IKT-forsyningskæden, 5.22 Overvågning, gennemgang og ændringsstyring af leverandørtjenester, 5.23 Informationssikkerhed ved brug af cloudtjenester og 5.30 IKT-beredskab for forretningskontinuitet.
SMV-politik for tredjeparts- og leverandørsikkerhed SMV-politik for tredjeparts- og leverandørsikkerhed gør kravet til bevismateriale klart:
Disse gennemgange skal dokumenteres og opbevares sammen med leverandørens registrering. Opfølgende handlinger skal spores tydeligt.
Dette er klausul 6.3.2 i SMV-politik for tredjeparts- og leverandørsikkerhed.
En enkel SMV-leverandørmodel kan bruge tre niveauer:
| Leverandørniveau | Kriterier | Minimumsbevismateriale | Gennemgangsfrekvens |
|---|---|---|---|
| Kritisk | Understøtter produktion, kundedata, autentifikation, sikkerhedsovervågning, betalingsflow eller reguleret tjenesteleverance | Due diligence-spørgeskema, sikkerhedsklausuler i kontrakt, SLA, hændelseskontakt, exitplan, risikogennemgang | Årligt og ved væsentlig ændring |
| Vigtig | Understøtter forretningsdrift eller interne følsomme oplysninger, men ikke direkte kritisk tjenesteleverance | Sikkerhedsresumé, vilkår for databehandling, adgangsgennemgang, risikoaccept hvis der findes huller | Hver 18. måned |
| Standard | Lavrisikoværktøjer uden følsomme data eller kritisk afhængighed | Godkendelse fra forretningsejer, grundlæggende data- og adgangskontrol | Ved onboarding og fornyelse |
Denne enkle model understøtter NIST GV.SC, ISO 27001:2022-leverandørkontroller, kunders due diligence og DORA-drevne kontraktlige forventninger fra finansielle kunder.
Leverandøroffboarding kræver særlig opmærksomhed. NIST GV.SC forventer styring på tværs af hele leverandørlivscyklussen, herunder afslutningen af relationen. Bevismateriale bør omfatte returnering eller sletning af data, fjernelse af adgang, planlægning af tjenesteovergang, opbevarede kontraktregistreringer og gennemgang af restrisiko.
Brug Zenith Controls til tværgående efterlevelse, ikke som et separat kontrolsæt
Clarysecs Zenith Controls: Vejledningen til tværgående efterlevelse Zenith Controls er en vejledning i tværgående efterlevelse til kortlægning af ISO/IEC 27002:2022-kontroltemaer til flere rammeværker og revisionsperspektiver. Det er ikke separate “Zenith-kontroller.” Det er ISO/IEC 27002:2022-kontroller analyseret i Zenith Controls til brug for tværgående efterlevelse.
For NIST CSF 2.0 Govern er tre ISO/IEC 27002:2022-kontrolområder særligt vigtige:
| ISO/IEC 27002:2022-kontrolområde i Zenith Controls | Forbindelse til NIST CSF 2.0 Govern | Praktisk SMV-fortolkning |
|---|---|---|
| 5.1 Politikker for informationssikkerhed | GV.PO | Politikker skal godkendes, kommunikeres, håndhæves, gennemgås og opdateres, når trusler, teknologi, lovgivning eller forretningsmål ændrer sig |
| 5.4 Ledelsesansvar | GV.RR og GV.OV | Sikkerhedsansvar skal tildeles på ledelses- og driftsniveau med ressourcer, rapportering og gennemgang |
| 5.31 Retlige, lovbestemte, regulatoriske og kontraktlige krav | GV.OC-03 | Forpligtelser skal identificeres, kortlægges til kontroller og ejere, overvåges for ændringer og dokumenteres |
Zenith Blueprint, fasen Controls in Action, trin 22, “Organisatoriske kontroller,” beskriver driftsmodellen:
Formalisér styring af informationssikkerhed
Sørg for, at jeres informationssikkerhedspolitikker (5.1) er færdiggjort, godkendt og versionsstyret. Udpeg navngivne ejere for hvert politikdomæne (f.eks. adgang, kryptering, backup), og dokumentér roller og ansvar på tværs af ISMS (5.2). Gennemgå funktionsadskillelse (5.3) i højrisiko- områder som økonomi, systemadministration og ændringsstyring. Udarbejd et enkelt styrings- kort, der viser, hvem der godkender, hvem der implementerer, og hvem der overvåger sikkerhedspolitikken.
Dette styringskort er et af de mest værdifulde artefakter, en SMV kan udarbejde. Det besvarer NIST GV.RR, ISO 27001:2022-krav til lederskab, NIS2-forventninger til ledelsens ansvarlighed og kundespørgsmål om, hvem der ejer cyberrisiko.
Én styringsmodel for NIS2, DORA, GDPR, NIST og ISO
Govern-funktionen bliver mest værdifuld, når en SMV står over for overlappende krav.
NIS2 kræver, at omfattede væsentlige og vigtige enheder vedtager passende og forholdsmæssige foranstaltninger til cybersikkerhedsrisikostyring. Den placerer også ansvar hos ledelsesorganer for at godkende foranstaltninger til cybersikkerhedsrisikostyring, føre tilsyn med implementeringen og følge træning. NIST GV.RR understøtter ledelsesmæssig ansvarlighed. GV.RM understøtter risikobaserede foranstaltninger. GV.SC understøtter sikkerhed i forsyningskæden. GV.PO understøtter politikker. GV.OV understøtter performancegennemgang.
NIS2-hændelsesstyring indfører også trinvise rapporteringsforventninger, herunder tidlig varsling inden for 24 timer, hændelsesunderretning inden for 72 timer og endelig rapportering inden for én måned for væsentlige hændelser. Disse tidsfrister bør afspejles i procedurer for hændelseshåndtering, eskalationsveje, kommunikationsplaner og ledelsesrapportering.
DORA finder anvendelse fra 17. januar 2025 på finansielle enheder i EU, men mange SMV’er mærker påvirkningen gennem kundekontrakter. Finansielle kunder kan videreføre DORA-krav til IKT-udbydere, softwareleverandører, managed service providers og cloudafhængige leverandører. DORA fokuserer på styring af IKT-risiko, ledelsesorganets ansvar, hændelsesrapportering, robusthedstest, IKT-tredjepartsrisiko, kontraktlige krav og tilsyn.
GDPR tilføjer ansvarlighed for behandling af personoplysninger. SMV’er skal forstå, om de er dataansvarlige, databehandlere eller begge dele, hvilke personoplysninger de behandler, hvilke systemer og leverandører der er involveret, hvilke behandlingsgrundlag der gælder, og hvilke hændelsesscenarier der kan blive til brud på persondatasikkerheden.
Zenith Blueprint, risikostyringsfasen, trin 14, anbefaler at krydshenføre DORA-, NIS2- og GDPR-krav til ISO 27001:2022-kontrolsættet:
For hver regulering kan I, hvis den er relevant, oprette en enkel kortlægningstabel (eventuelt som bilag i en rapport), der lister reguleringens centrale sikkerhedskrav og de tilsvarende kontroller/politikker i jeres ISMS. Dette er ikke obligatorisk i ISO 27001, men det er en nyttig intern øvelse for at sikre, at intet falder mellem to stole.
Et praktisk kort over tværgående efterlevelse kan se sådan ud:
| Styringskrav | NIST CSF 2.0 Govern | ISO 27001:2022-anker | Relevans for NIS2, DORA, GDPR | Primært bevismateriale |
|---|---|---|---|---|
| Ledelsesmæssig ansvarlighed | GV.RR og GV.OV | Klausuler 5.1, 5.3 og 9.3, Annex A 5.4 | NIS2-tilsyn fra ledelsesorgan, DORA-ansvar for ledelsesorgan | Styringskort, RACI, referater fra ledelsens gennemgang |
| Retlige og kontraktlige forpligtelser | GV.OC-03 | Klausuler 4.2, 4.3 og 6.1.3, Annex A 5.31 og 5.34 | GDPR-ansvarlighed, NIS2-retligt omfang, DORA-flow-downs i kontrakter | Efterlevelsesregister, kort over kundeforpligtelser, privatlivsregister |
| Risikobaserede sikkerhedsforanstaltninger | GV.RM | Klausuler 6.1.2, 6.1.3, 8.2 og 8.3 | NIS2-risikoforanstaltninger, DORA-ramme for IKT-risiko, GDPR-behandlingssikkerhed | Risikoregister, risikobehandlingsplan, SoA |
| Leverandørstyring | GV.SC | Annex A 5.19 til 5.23 og 5.30 | NIS2-sikkerhed i forsyningskæden, DORA IKT-tredjepartsrisiko, GDPR-databehandlere | Leverandørfortegnelse, due diligence, kontrakter, gennemgangslog |
| Politikstyring | GV.PO | Klausul 5.2 og Annex A 5.1 | Alle rammeværker forventer dokumenterede, godkendte og kommunikerede regler | Politikregister, versionshistorik, bekræftelser |
| Revision og forbedring | GV.OV | Klausuler 9.1, 9.2, 9.3, 10.1 og 10.2 | DORA-test og afhjælpning, NIS2-effektivitet, GDPR-ansvarlighed | Interne revisionsrapporter, KPI’er, korrigerende handlinger |
Værdien er effektivitet. Ét velfungerende ISO 27001:2022 ISMS, styret af NIST CSF 2.0 Govern, kan generere genanvendeligt bevismateriale til flere rammeværker på én gang.
Revisors perspektiv: at dokumentere, at styring er reel
En politik på en hylde er ikke styring. Revisorer og vurderingsparter leder efter en rød tråd: overordnet politik, defineret proces, operationel registrering, ledelsens gennemgang og forbedringshandling.
Forskellige vurderingsparter tester den tråd på forskellige måder.
| Revisionsperspektiv | Hvad de fokuserer på | Bevismateriale, der fungerer godt |
|---|---|---|
| ISO 27001:2022-revisor | Om styring er indlejret i ISMS, risikobehandling er sporbar, SoA-beslutninger er begrundede, og dokumenteret information er kontrolleret | ISMS-omfang, politikregister, risikoregister, SoA, referater fra ledelsens gennemgang, interne revisionsrapporter, korrigerende handlinger |
| NIST CSF 2.0-vurderingspart | Om der findes aktuelle og målrettede profiler, huller prioriteres, og Govern-resultater er knyttet til forretningsrisiko og tilsyn | CSF-profil, gapanalyse, POA&M, erklæring om risikovillighed, ledelsesdashboard, målprofil for leverandører |
| COBIT 2019- eller ISACA-lignende revisor | Om styringsmål, beslutningsrettigheder, performancemålinger, kontrolejerskab og assurance-aktiviteter er defineret | Styringskort, RACI, KPI- og KRI-dashboard, attesteringer fra kontrolansvarlige, revisionsplan, problemsporing |
| GDPR-vurderingspart | Om privatlivsforpligtelser er identificeret, behandling er kortlagt, sikkerhedsforanstaltninger er passende, og der findes bevismateriale for ansvarlighed | Register over behandlingsaktiviteter, kortlægning af behandlingsgrundlag, DPIA hvor nødvendigt, proces for håndtering af brud, vilkår for databehandling hos leverandører |
| Kundens sikkerhedsvurderingspart | Om SMV’en uden unødigt ophold kan dokumentere operationel sikkerhed, leverandørkontrol, hændelsesberedskab og ledelsesmæssig ansvarlighed | Bevispakke, politikker, leverandørgennemgange, output fra tabletop-øvelser for hændelser, adgangsgennemgange, gendannelsestest, sikkerhedskøreplan |
Clarysecs Enterprise Politik for styringsroller og ansvarsområder Politik for styringsroller og ansvarsområder angiver:
Styring skal understøtte integration med andre discipliner (f.eks. risiko, jura, IT, HR), og ISMS-beslutninger skal kunne spores til deres kilde (f.eks. revisionsoptegnelser, gennemgangslog, mødereferater).
Dette er klausul 5.5 i Politik for styringsroller og ansvarsområder. Den indfanger essensen af tværgående efterlevelse: styringsbeslutninger skal være sporbare.
SMV-politik for revision og efterlevelsesovervågning SMV-politik for revision og efterlevelsesovervågning tilføjer en kritisk disciplin for bevismateriale:
Metadata (f.eks. hvem der indsamlede det, hvornår og fra hvilket system) skal dokumenteres.
Dette citat stammer fra klausul 6.2.3 i SMV-politik for revision og efterlevelsesovervågning. Metadata for bevismateriale er ofte det, der adskiller en mappe med skærmbilleder fra revisionsklart bevismateriale.
Enterprise Politik for revision og efterlevelsesovervågning Politik for revision og efterlevelsesovervågning tilføjer kravet på programniveau:
Organisationen skal opretholde et struktureret program for revision og overvågning af efterlevelse, integreret i ISMS, der omfatter:
Dette er klausul 5.1 i Politik for revision og efterlevelsesovervågning. Styringsimplikationen er direkte: revision er ikke en årlig brandslukning. Den er en del af ISMS-driften.
Almindelige SMV-fejl ved kortlægning af NIST Govern til ISO 27001:2022
Den første fejl er overdokumentation uden ejerskab. En SMV skriver politikker, men udpeger ikke ejere for risikobehandling, leverandørgennemgange, godkendelser af undtagelser eller ledelsesrapportering.
Den anden fejl er at behandle retlige forpligtelser som adskilte fra ISMS. NIST GV.OC-03 kræver, at forpligtelser forstås og håndteres. ISO 27001:2022 kræver, at relevante interessentkrav og retlige, regulatoriske og kontraktlige forpligtelser tages i betragtning i ISMS.
Den tredje fejl er svag SoA-begrundelse. SoA er ikke kun en liste over anvendelige kontroller. Det er logikfilen for, hvorfor kontroller er medtaget, udeladt eller implementeret.
Den fjerde fejl er manglende bevismateriale for leverandørlivscyklussen. Leverandørstyring omfatter onboarding, kontrakter, overvågning, hændelser, ændringer og offboarding.
Den femte fejl er at undlade at opdatere målprofilen. En CSF-profil bør ændres, når virksomheden går ind i et nyt geografisk område, indgår aftale med en stor kunde, tager en kritisk leverandør i brug, lancerer et reguleret produkt, ændrer cloudarkitektur eller oplever en hændelse.
En 30-dages NIST CSF 2.0 Govern-køreplan for SMV’er
Hvis en SMV skal rykke hurtigt, så start med en fokuseret 30-dages implementeringsplan.
| Dage | Aktivitet | Output |
|---|---|---|
| 1 til 3 | Definér CSF Govern-omfang, og indsamle eksisterende politikker, kontrakter, risikoregistreringer, leverandørlister og revisionsbevis | Omfangsnotat og bevisfortegnelse |
| 4 til 7 | Opbyg Govern-registeret for bevismateriale for GV.OC, GV.RM, GV.RR, GV.PO, GV.OV og GV.SC | Aktuel profil og indledende huller |
| 8 til 12 | Kortlæg forpligtelser til ISO 27001:2022-politikker, Annex A-kontrolområder og ejere | Efterlevelsesregister og kort over politikejerskab |
| 13 til 17 | Opdater risikoregister og risikobehandlingsplan, og afstem derefter SoA-poster | Risikoregister, behandlingsplan, SoA-opdateringer |
| 18 til 22 | Prioritér leverandørstyring, herunder klassificering af kritiske leverandører, kontrakthuller og bevismateriale for gennemgang | Risikoregister for leverandører og handlingssporing |
| 23 til 26 | Forbered revisionsbevispakke med metadata, godkendelser, gennemgangslog og ledelsesbeslutninger | Bevispakke og revisionsindeks |
| 27 til 30 | Gennemfør ledelsens gennemgang, og godkend køreplanen for målprofilen | Referater fra ledelsens gennemgang, beslutninger, køreplan |
Denne plan skaber tilstrækkeligt styringsbevis til at besvare seriøse kunde- og revisionsspørgsmål, samtidig med at den bygger fundamentet for ISO 27001:2022-certificering, NIS2-beredskab, DORA-kundedokumentation og GDPR-ansvarlighed.
Det praktiske resultat: én styringsfortælling, mange anvendelser for efterlevelse
Når Sarah vender tilbage til bestyrelsen, har hun ikke længere fem løsrevne arbejdsstrømme for efterlevelse. Hun har én styringsfortælling.
NIST CSF 2.0 Govern-resultater er kortlagt til ISO 27001:2022-politikker, ejere, risici, kontroller og bevismateriale. ISMS-omfanget omfatter kunde-, leverandør-, cloud-, retlige, regulatoriske, privatlivsrelaterede og kontraktlige afhængigheder. Risikoregisteret driver behandlingsbeslutninger og SoA-anvendelighed. Politikker er godkendt, versionsstyret, ejet, kommunikeret og gennemgået. Leverandørrisici er niveauinddelt, kontraktligt reguleret, overvåget og sporet. GDPR-behandlingsforpligtelser, NIS2-forventninger til ansvarlighed og DORA-flow-downs fra kunder er krydshenført, hvor det er relevant. Revisionsbevis omfatter metadata, beslutningsregistreringer og output fra ledelsens gennemgang.
Det er sådan styring ser ud, når den er operationel.
Næste skridt: opbyg din SMV’s Govern-bevispakke med Clarysec
Hvis du forbereder dig på ISO 27001:2022, besvarer due diligence fra enterprise-kunder, kortlægger NIST CSF 2.0 Govern-resultater eller forsøger at tilpasse NIS2, DORA og GDPR uden at opbygge separate programmer, så start med styringslaget.
Clarysec kan hjælpe dig med at opbygge:
- En aktuel og en målrettet NIST CSF 2.0 Govern-profil.
- En ISO 27001:2022-politik- og SoA-kortlægning.
- Et register over tværgående efterlevelsesforpligtelser ved brug af Zenith Controls Zenith Controls.
- En 30-trins ISMS-implementeringskøreplan ved brug af Zenith Blueprint Zenith Blueprint.
- SMV-klart politikbevismateriale ved brug af Clarysecs politikværktøjssæt, herunder SMV-politik for styringsroller og ansvarsområder SMV-politik for styringsroller og ansvarsområder, SMV-politik for risikostyring SMV-politik for risikostyring, SMV-politik for juridisk og regulatorisk efterlevelse SMV-politik for juridisk og regulatorisk efterlevelse, SMV-politik for tredjeparts- og leverandørsikkerhed SMV-politik for tredjeparts- og leverandørsikkerhed og SMV-politik for revision og efterlevelsesovervågning SMV-politik for revision og efterlevelsesovervågning.
Den hurtigste vej er ikke endnu et regneark. Det er et styret, risikobaseret og revisionsklart ISMS, der gør din SMV i stand til trygt at besvare ét spørgsmål:
Kan I dokumentere, at cybersikkerhed styres, ejes, gennemgås og løbende forbedres?
Med Clarysec bliver svaret ja.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
