Endpointskydd mot skadlig kod: ISO 27001-underlag för EU-regelverk

Klockan är 07:42 en måndagsmorgon. En ekonomichef öppnar en leverantörsfaktura från en e-posttråd som ser legitim ut. Några minuter senare flaggar EDR-konsolen misstänkt skriptkörning, ett försök till persistens och utgående trafik till en okänd domän. EDR-agenten isolerar den bärbara datorn automatiskt. Ransomware-kedjan bryts innan krypteringen påbörjas.
Säkerheten fungerade. Men den svåra frågan kommer därefter.
Informationssäkerhetschefen får inte bara frågan: ”Stoppade vi den skadliga koden?” Verkställande direktören och styrelsen frågar: ”Kan vi visa att detta var resiliens genom design, inte tur? Kan vi visa revisorer, kunder, tillsynsmyndigheter och försäkringsgivare att vårt endpointskydd fungerade på ett sätt som uppfyller ISO/IEC 27001:2022, cyberhygien enligt NIS2, IKT-riskhantering enligt DORA och GDPR Article 32?”
Detta är den avgörande utmaningen för slutpunktssäkerhet under 2026. Endpointskydd är inte längre bara en IT-driftfunktion. Det är ett system för efterlevnadsunderlag.
Ett enda larm om skadlig kod på en bärbar dator kan bli ett revisionsurval enligt ISO/IEC 27001:2022, en bedömning av betydande incident enligt NIS2, en IKT-relaterad incidentpost enligt DORA, en GDPR-triage av personuppgiftsincident, en diskussion om leverantörsrisk och en granskning av styrelsens styrning. Organisationer som hanterar detta väl inför inte bara EDR. De kopplar samman policy, tillgångsförteckning, tekniska kontroller, övervakning, incidentrespons, juridisk triage, leverantörsavtal, mätetal och ständig förbättring till en försvarbar kontrollberättelse.
Clarysec ser samma mönster i SaaS-, fintech-, managed service- och reglerade digitala miljöer. De flesta organisationer har redan starka verktyg: EDR, antivirus, MDM, sårbarhetsskannrar, SIEM, e-postsäkerhet, webbfiltrering, plattformar för säkerhetskopiering och ärendehanteringssystem. Gapet är vanligen inte tekniken. Gapet är utformningen av underlaget.
Den här artikeln visar hur ni bygger revisionsklart underlag för endpointskydd mot skadlig kod med ISO/IEC 27001:2022 som ISMS-stomme, Clarysecs Endpoint Protection / Malware Policy Endpoint Protection / Malware Policy, SME Endpointskyddspolicy – skadlig kod Endpointskyddspolicy – skadlig kod – SME, Zenith Blueprint: en revisors 30-stegs färdplan Zenith Blueprint och Zenith Controls: vägledning för tvärgående efterlevnad Zenith Controls.
Varför endpointskydd mot skadlig kod nu är en efterlevnadsfråga på styrelsenivå
Den moderna slutpunkten är där identitet, verksamhetsdata, användarbeteende, angripares tillvägagångssätt och regulatorisk ansvarsskyldighet möts. Bärbara datorer ansluter från hemnätverk och flygplatser. Utvecklare kör lokala verktyg. Ledande befattningshavare reser med cachad e-post och filer. Uppdragstagare kan använda hanterade eller delvis hanterade enheter. Mobiltelefoner godkänner MFA-förfrågningar. Molnarbetslaster och servrar fungerar som slutpunkter ur ett EDR-perspektiv.
I Zenith Blueprint, fasen Controls in Action, Step 19: Technological Controls I, beskriver Clarysec användarnas slutpunkter som organisationens ”dörrar och fönster”:
Användarnas slutpunkter, bärbara datorer, smarttelefoner, surfplattor, stationära datorer och även tunna klienter, är där den digitala interaktionen börjar. De är dörrarna och fönstren in i era system. Och, likt varje fysisk struktur, måste de förstärkas, övervakas och kontrolleras.
Den inramningen är viktig eftersom endpointskydd inte bara handlar om att blockera skadlig kod. Det ska visa att organisationen vet vilka enheter som finns, styr hur de används, tillämpar säkerhetsbaslinjer, detekterar kompromettering, svarar konsekvent, bevarar underlag, återställer verksamheten och förbättrar efter incidenter.
Ett moget program för endpointskydd mot skadlig kod ska utan tvekan kunna besvara fyra revisionsfrågor:
- Känner vi till varje slutpunkt som kan få åtkomst till verksamhetssystem eller personuppgifter?
- Skyddas varje slutpunkt av ett godkänt, centralt hanterat skydd mot skadlig kod eller EDR?
- Kan vi styrka konfiguration, skanning, uppdateringar, larm, karantän, isolering, utredning och stängning?
- Kan vi koppla slutpunktshändelser till riskbehandling, incidentrespons, regulatorisk rapportering, leverantörstillsyn och ledningens genomgång?
ISO/IEC 27001:2022 tillhandahåller det ledningssystem som krävs för att besvara dessa frågor. Clauses 4.1 to 4.4 kräver att organisationen definierar kontext, intressenter, rättsliga och avtalsmässiga skyldigheter, gränssnitt, beroenden och ISMS-omfattning. För endpointskydd kan omfattningen inte stanna vid ”organisationens IT”. Den måste beakta distansarbete, privilegierade arbetsstationer, mobila enheter, molnåtkomst, leverantörshanterade enheter, slutpunktsloggar, outsourcad SOC eller MDR-tjänster och varje slutpunkt som kan påverka informationssäkerheten.
Clauses 5.1 to 5.3 gör ledningens ansvarsskyldighet uttrycklig. Högsta ledningen måste stödja ISMS, tilldela roller, tillhandahålla resurser och säkerställa policyanpassning. För slutpunkter innebär det att styrelsen inte kan godkänna cyberhygienmål och samtidigt lämna EDR-licenser, patchskuld, BYOD-undantag eller MDR-eskaleringsgap olösta.
Clauses 6.1.1 to 6.1.3 skapar motorn för riskbehandling. Risker kopplade till skadlig kod på slutpunkter måste identifieras, bedömas, behandlas, mappas till Annex A-kontroller, återspeglas i Statement of Applicability och accepteras av riskägare där kvarstående risk finns. Clauses 8.1 to 8.3 omsätter därefter riskbehandlingen i styrd drift, planerade ändringar, riskbedömning med planerade intervall eller efter betydande ändringar samt resultat av riskbehandling.
Revisionsberättelsen är inte ”vi installerade EDR”. Revisionsberättelsen är ”risken för skadlig kod på slutpunkter identifieras, bedöms, behandlas, drivs, övervakas, testas, beläggs, rapporteras och förbättras.”
Clarysecs policybrygga från EDR-inställningar till revisionsunderlag
Policy är den punkt där teknisk verklighet blir granskningsbar avsikt. Utan policy är slutpunktskonfigurationer bara verktygsinställningar. Med policy blir dessa inställningar kontrollkrav.
Clarysecs Endpoint Protection / Malware Policy för större organisationer etablerar denna brygga i clause 1.3:
Denna policy stödjer direkt efterlevnad av ISO/IEC 27001:2022 Clause 8.1 och Annex A Control 8.7 och är anpassad till regionala cybersäkerhetskrav enligt GDPR, NIS2 och DORA.
Den enda klausulen ger organisationen en direkt koppling från slutpunktsdrift till ISO/IEC 27001:2022, NIS2, DORA och GDPR. Revisorer kan därefter testa om organisationens faktiska endpointprogram motsvarar policyåtagandet.
Samma företagspolicy anger den förväntade driftmodellen i Governance Requirements, clause 5.2:
Alla slutpunkter måste registreras i centralt hanterade system för skydd mot skadlig kod (t.ex. EDR, antivirus eller likvärdiga plattformar) med en obligatorisk baskonfiguration.
Detta är precis den typ av uttalande revisorer uppskattar eftersom det är testbart. Om ”alla slutpunkter” måste vara registrerade måste underlaget visa hela populationen av slutpunkter, den förväntade EDR-populationen, registreringsstatus, undantag, kompenserande kontroller och åtgärdsstatus.
För små och medelstora företag ger Endpointskyddspolicy – skadlig kod direkta, operativa krav. Clause 5.1.3 anger:
Alla slutpunkter måste registreras i IT-tillgångsförteckningen och kopplas till det endpointskyddsverktyg som används
Clause 5.2.1 tillägger:
Alla slutpunkter måste endast köra antivirus- eller EDR-lösningar (endpoint detection and response) som är godkända av organisationen
Clause 6.1.1.1 kräver:
Kör antivirus- och malware-skanning i realtid kontinuerligt
Och clause 8.1.1 kräver:
Händelser med skadlig kod måste övervakas kontinuerligt via antiviruskonsolen eller en centraliserad EDR-panel
Tillsammans skapar dessa klausuler ett enkelt men kraftfullt bevisprov: visa tillgångsförteckningen, visa endpointskyddsverktyget, visa den godkända konfigurationen, visa kontinuerlig övervakning, visa händelser, visa ärenden och visa stängning.
ISO/IEC 27001:2022 och ISO/IEC 27002:2022: kartläggning av endpointkontroller
Endpointskydd misslyckas ofta i revisioner eftersom team behandlar det som en enda kontroll. I praktiken bygger endpointskydd mot skadlig kod på flera förstärkande kontroller.
De centrala ISO/IEC 27002:2022-kontrollerna är A.8.1 User endpoint devices och A.8.7 Protection against malware. Men effektivt endpointskydd bygger också på sårbarhetshantering, loggning, övervakning, incidentrespons, säkerhetskopiering, webbfiltrering, kontroll av flyttbara lagringsmedier, åtkomstbegränsning, leverantörshantering, styrning av molntjänster, medvetenhet och verksamhetskontinuitet.
Zenith Controls mappar ISO/IEC 27002:2022 control A.8.7, Protection against malware, som förebyggande, upptäckande och korrigerande. Den stödjer konfidentialitet, riktighet och tillgänglighet och kopplas naturligt till system- och nätverkssäkerhet, informationsskydd och detekteringsförmåga. Den visar också att A.8.1, User endpoint devices, är en förebyggande kontroll som stödjer konfidentialitet, riktighet och tillgänglighet genom tillgångshantering och endpointstyrning.
| ISO/IEC 27002:2022-kontrollområde | Endpoint- och malwareunderlag att bevara | Varför det är viktigt vid revision |
|---|---|---|
| A.8.1 User endpoint devices | Tillgångsförteckning, efterlevnadsrapporter från MDM eller UEM, krypteringsstatus, inställningar för skärmlås, funktion för fjärradering, BYOD-kontroller | Visar att slutpunkter är kända, styrda och skyddade innan åtkomst beviljas |
| A.8.7 Protection against malware | EDR-driftsättningsrapporter, inställningar för realtidsskydd, uppdateringsstatus, detektioner, karantäner, isoleringsposter, hantering av falska positiva | Visar att förebyggande, detektering och respons avseende skadlig kod är aktiv och centralt hanterad |
| A.8.8 Management of technical vulnerabilities | Sårbarhetsskanningar, patch-SLA:er, åtgärdsärenden, undantagsgodkännanden, kompenserande kontroller | Visar att exponering för skadlig kod minskas genom att exploaterbara svagheter åtgärdas |
| A.8.15 Logging och A.8.16 Monitoring activities | Slutpunktsloggar, SIEM-korrelation, larmtriage, eskaleringsunderlag, kontrollpaneler, granskningsloggar | Visar att händelser med skadlig kod är synliga, granskas och åtgärdas |
| A.5.24 to A.5.28 Incident management | Incidentrutiner, klassificeringsposter, responsåtgärder, erfarenhetsåterföring, bevarande av bevismaterial | Visar att misstänkt skadlig kod hanteras genom styrd incidenthantering, inte informell felsökning |
| A.8.13 Backups och A.5.30 ICT readiness for business continuity | Rapporter om lyckade säkerhetskopieringar, återställningstester, inställningar för oföränderliga säkerhetskopior, återställningsövningar | Visar att ransomware-resiliens omfattar återställningsförmåga |
| A.5.19 to A.5.23 Supplier and cloud service controls | MDR-avtal, SLA:er för EDR-tjänster, krav på leverantörssäkerhet, täckning för endpoints i molnmiljö, exit-arrangemang | Visar att outsourcade endpointtjänster förblir under ISMS-kontroll |
Zenith Controls är särskilt användbart eftersom det visar hur endpointskydd beror på angränsande kontroller. Protection against malware kopplas till A.5.7 Threat intelligence eftersom skydd mot skadlig kod måste anpassas till förändrade angreppssätt. Det kopplas till A.8.8 Management of technical vulnerabilities eftersom skadlig kod ofta utnyttjar kända svagheter. Det kopplas till A.8.15 Logging och A.8.16 Monitoring activities eftersom detektioner, karantäner, skanningar och uppdateringar måste samlas in och granskas. Det kopplas till A.8.23 Web filtering eftersom skadliga webbplatser fortsatt är en vanlig infektionsväg. Det kopplas till A.7.10 Storage media eftersom flyttbara lagringsmedier kan introducera skadlig kod om de inte kontrolleras.
User endpoint devices kopplas också till A.5.10 Acceptable use of information and other associated assets, A.6.7 Remote working, A.8.3 Information access restriction, A.8.5 Secure authentication, A.6.3 Information security awareness, education and training och A.6.6 Confidentiality or non-disclosure agreements.
I klartext är en säker slutpunkt inte bara en enhet med en agent. Det är en policyreglerad arbetsmiljö.
Att omvandla ett larm om skadlig kod till en försvarbar beviskedja
Återgå till måndagsmorgonens händelse med skadlig kod. EDR-agenten isolerade den bärbara datorn, men förmågan att klara revision beror på den beviskedja som följer.
En bra beviskedja för endpointskydd mot skadlig kod omfattar:
- Tillgångsposten som visar ägare, verksamhetsfunktion, kritikalitet, enhetstyp, operativsystem, dataåtkomstprofil och krypteringsstatus.
- Endpointskyddsposten som visar EDR-agentens hälsostatus, tillämpad policy, manipulationsskydd, uppdateringsstatus och realtidsskanning.
- Detektionsposten som visar larm-ID, tidsstämpel, processträd, detektionslogik, allvarlighetsgrad, berörda filer, nätverksindikatorer och automatiserade åtgärder.
- SIEM-posten som korrelerar DNS, e-post, identitet, proxy, moln och endpointtelemetri.
- Ärendeposten som visar triage, eskalering, begränsning, eliminering, återställning, rotorsak och stängning.
- Incidentbeslutet som visar om händelsen förblev en säkerhetshändelse eller blev en incident.
- Den regulatoriska triagen som visar om tröskelvärden enligt NIS2, DORA eller GDPR beaktades.
- Posten för erfarenhetsåterföring som visar policyjustering, patchning, medvetenhetsåtgärd, leverantörsärende eller uppdatering av riskregister.
Endpoint Protection / Malware Policy förstärker denna responsmodell genom sina Policy Implementation Requirements, clause 6.3, med rubriken:
Respons- och begränsningsåtgärder
För små och medelstora företag är clause 6.3.1.2 ännu mer direkt:
IT-supportleverantören måste sätta enheten i karantän, bekräfta infektionen och genomföra rotorsaksanalys
En blockerad händelse med skadlig kod ska inte försvinna in i en konsol. Om den är viktig nog att detektera är den viktig nog att klassificera, dokumentera och stänga.
NIS2-cyberhygienunderlag från endpointskydd
NIS2 gör grundläggande cyberhygien till en styrningsfråga. Organisationer som omfattas måste förstå om de omfattas, om de är väsentliga eller viktiga entiteter och hur nationella införlivandekrav gäller.
För endpointskydd mot skadlig kod är Article 21 den centrala bestämmelsen. Den kräver lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder för att hantera risker för nätverks- och informationssystem och förebygga eller minimera incidentpåverkan. Åtgärderna omfattar riskanalys och säkerhetspolicyer för informationssystem, incidenthantering, verksamhetskontinuitet, säkerhet i leveranskedjan, säker anskaffning och underhåll inklusive sårbarhetshantering, effektivitetsbedömning, grundläggande cyberhygien och utbildning, kryptografi, HR-säkerhet, åtkomstkontroll, tillgångshantering och, där det är lämpligt, MFA eller kontinuerlig autentisering.
Endpointunderlag mappar direkt mot dessa förväntningar.
| NIS2 Article 21-område | Underlag för endpointskydd mot skadlig kod |
|---|---|
| Riskanalys och säkerhetspolicyer | Riskbedömning av endpoints, Endpoint Protection / Malware Policy, Statement of Applicability, riskbehandlingsplan |
| Incidenthantering | EDR-larmposter, incidentärenden, bedömning av allvarlighetsgrad, begränsningsåtgärder, erfarenhetsåterföring |
| Verksamhetskontinuitet | Ransomware-scenarier, rapporter om säkerhetskopiering, återställningstester, återställningsrutiner |
| Säkerhet i leveranskedjan | MDR- eller MSP-avtal, ansvarsmatris, villkor för incidentstöd, revisionsrätt |
| Sårbarhetshantering | Patch-SLA:er, sårbarhetsskanningar, undantagsgodkännanden, analys av utnyttjade sårbarheter |
| Effektivitetsbedömning | Internrevisionsresultat, EDR-testdetektioner, phishing-simuleringar, skrivbordsövningar |
| Grundläggande cyberhygien och utbildning | Efterlevnad av endpointbaslinje, register över genomförda medvetenhetsutbildningar, phishing- och malwareutbildning |
| Åtkomstkontroll och tillgångshantering | Endpointförteckning, mappning mellan användare och enhet, villkorad åtkomst, kontroller för privilegierade arbetsstationer |
NIS2 Article 23 är också relevant eftersom skadlig kod kan bli en betydande incident. Om den orsakar eller skulle kunna orsaka allvarlig driftstörning, ekonomisk förlust eller betydande materiell eller immateriell skada för andra kan etappvis rapportering krävas. NIS2 innehåller en tidig varning inom 24 timmar, incidentanmälan inom 72 timmar, mellanliggande uppdateringar om sådana begärs och en slutrapport inom en månad efter anmälan.
Endpointunderlag stödjer varje steg. EDR-larmet ger den första indikatorn. Tillgångsförteckningen identifierar berörda tjänster och kritikalitet. SIEM-data och ärenden stödjer konsekvensanalys. Begränsningsposter visar åtgärd. Rotorsaksanalys stödjer slutrapportering.
Ett NIS2-klart svar är inte ”vi har antivirus”. Det är ”vi känner till våra slutpunkter, tillämpar skydd, övervakar kontinuerligt, klassificerar incidenter, utbildar användare, hanterar sårbarheter, bevarar bevismaterial och rapporterar när tröskelvärden uppfylls.”
DORA IKT-riskhantering och endpointskydd mot skadlig kod
För finansiella entiteter skapar DORA ett sektorspecifikt ramverk för digital operativ resiliens. Endpointskydd mot skadlig kod mappar starkt till IKT-riskhantering, incidenthantering, testning, kontinuitet, återställning och IKT-tredjepartsrisk.
DORA Article 5 lägger ansvaret för IKT-risk på ledningsorganet. Article 6 kräver ett välgrundat, heltäckande och dokumenterat IKT-riskhanteringsramverk. Articles 8 and 9 kräver identifiering och klassificering av IKT-stödda verksamhetsfunktioner, informationstillgångar, IKT-tillgångar, beroenden, cyberhot, sårbarheter, konfigurationer och inbördes beroenden. De omfattar också policyer och verktyg för skydd, förebyggande, detektering, åtkomstkontroll, stark autentisering, ändringshantering och patchning.
Articles 11 and 12 är centrala för ransomware-resiliens. De kräver policy för IKT-verksamhetskontinuitet, respons- och återställningsplaner, policyer för säkerhetskopiering, återställningsrutiner, testning och integritetskontroller. Article 17 kräver en process för hantering av IKT-relaterade incidenter för att detektera, hantera, klassificera, registrera, eskalera, kommunicera och återställa verksamheten efter incidenter. Article 19 skapar rapporteringsskyldigheter för större IKT-relaterade incidenter. Articles 24 to 26 behandlar testning av digital operativ resiliens. Articles 28 to 30 behandlar IKT-tredjepartsrisk och avtalsarrangemang.
| DORA-fråga | Endpointunderlag som hjälper |
|---|---|
| Identifiering av IKT-tillgångar | Endpointförteckning, ägare, verksamhetsfunktion, kritikalitet, beroendekartläggning |
| Skydd och förebyggande | EDR-baslinje, patchstatus, åtkomstkontroll, kryptering, webbfiltrering, säker konfiguration |
| Detektering | EDR-larm, SIEM-korrelation, indikatorer för tidig varning, berikning med hotinformation |
| Hantering av IKT-relaterade incidenter | Malware-incidentärende, klassificering av allvarlighetsgrad, roller, åtgärder, eskalering, rotorsak |
| Återhämtning och återställning | Post om ominstallation eller ombyggnad av enhet, underlag för återställning från säkerhetskopia eller filåterställning, integritetskontroller |
| Resilienstestning | EDR-simulering, phishing-simulering, sårbarhetsskanningar, penetrationstester, skrivbordsövningar |
| IKT-tredjepartsrisk | MDR- eller EDR-leverantörsavtal, SLA:er, revisionsrätt, incidentstöd, exit-planer |
För en finansiell entitet kan samma incident med skadlig kod som visar drift av A.8.7 också ge tillsynsunderlag enligt DORA: tillgångsklassificering, kontrolldrift, incidenthantering, återställningsförmåga, testhistorik, tredjepartsansvar och ledningens tillsyn.
GDPR Article 32 och triage av personuppgiftsincident
GDPR Article 32 kräver att personuppgiftsansvariga och personuppgiftsbiträden inför tekniska och organisatoriska åtgärder som är lämpliga i förhållande till risken. Dessa åtgärder omfattar konfidentialitet, riktighet, tillgänglighet och resiliens hos behandlingssystem och -tjänster, förmågan att återställa tillgänglighet till och åtkomst till personuppgifter samt regelbunden testning, bedömning och utvärdering av säkerhetsåtgärder.
Skadlig kod på slutpunkter blir GDPR-underlag när en slutpunkt kan få åtkomst till personuppgifter: kundregister, supportärenden, HR-filer, exporter, betalningsrelaterad information, hälsoinformation, särskilda kategorier av uppgifter, autentiseringsloggar eller molnapplikationer som innehåller personuppgifter.
Dataskyddsfrågan är faktaberoende. Kördes skadlig kod? Fick den åtkomst till filer? Fångade den autentiseringsuppgifter? Stals tokens? Exfiltrerades data? Var slutpunkten krypterad? Inaktiverades kontot? Återkallades sessioner? Fanns loggar tillgängliga? Identifierades berörda personuppgifter? Bedömdes risken för enskilda personer?
Endpointtelemetri är ofta det enda sättet att besvara dessa frågor trovärdigt.
Ett GDPR-klart endpointunderlagspaket bör koppla samman dataklassificering och register över behandlingsaktiviteter, åtkomstvägar från slutpunkter, kryptering, åtkomstbegränsning, EDR-telemetri, SIEM-loggar, analys av dataexfiltration, åtgärder för återställning av autentiseringsuppgifter, återställningsposter, juridisk granskning, beslut om personuppgiftsincident och erfarenhetsåterföring.
Dataskyddsteam bör delta i utformningen av åtgärdsplaner för endpointincidenter. Att vänta till efter en incident med skadlig kod med frågan om personuppgifter påverkades skapar onödig ansvarsskyldighetsrisk.
Bygg ett 30-minuters underlagspaket för endpointskydd mot skadlig kod
Före nästa revision, välj en detektion av skadlig kod på en slutpunkt från de senaste 90 dagarna, även om den hade låg allvarlighetsgrad eller gällde en blockerad testfil. Bygg ett underlagspaket som om revisorn valt det som stickprov.
Använd Zenith Blueprint, fasen Controls in Action, Step 19, som granskningsskript. Step 19 instruerar team att granska strategin för skydd mot skadlig kod genom att kontrollera att alla slutpunkter har en centralt hanterad lösning mot skadlig kod eller EDR installerad, aktiv och automatiskt uppdaterad, att realtidsskanning omfattar filtyper, nätverksaktivitet och flyttbara lagringsmedier, att gateway-skydd finns, att aktuella malwareloggar eller karantäner utreds och åtgärdas samt att användare får löpande utbildning i medvetenhet om phishing och skadlig kod.
Samla in detta underlag:
- Tillgångspost: enhetsnamn, serienummer, användare, ägare, verksamhetsenhet, plats, enhetstyp, operativsystem, kritikalitet, dataåtkomstprofil.
- EDR-registrering: skärmbild eller export som visar att agenten är installerad, aktiv, uppdaterad, har tillämpad policy och aktiverat manipulationsskydd.
- Efterlevnad av baslinje: kryptering, skärmlås, brandvägg, lokal administratörsstatus, patchnivå, status för förbjuden programvara.
- Detektionspost: larm-ID, tidsstämpel, detektionsnamn eller beteende, allvarlighetsgrad, processträd, berörda filer, nätverksindikatorer.
- Begränsningsåtgärd: karantän, isolering, processavslut, filborttagning, ominstallation eller ombyggnad av enhet, återställning av autentiseringsuppgifter.
- Utredningsanteckningar: analytikertriage, rotorsak, phishingväg, webbväg, exploitväg, bedömning av berörda data.
- Incidentbeslut: säkerhetshändelse eller incident, tröskelbedömning enligt NIS2, DORA och GDPR där relevant.
- Stängningsunderlag: stängning av ärende, godkännande, erfarenhetsåterföring, uppdatering av riskregister vid behov.
- Mätetal: tid till detektering, tid till begränsning, tid till åtgärd, antal liknande larm, status för falskt positivt.
- Förbättringsåtgärd: blockerad domän, justering av e-postregel, patchdriftsättning, tilldelning av medvetenhetsutbildning till användare, leverantörseskalering.
Jämför därefter underlagspaketet med er policy. Om företagspolicyn säger att alla slutpunkter måste registreras i centralt hanterat skydd mot skadlig kod med en obligatorisk baslinje, kan ni visa det? Om SME-policyn säger att händelser med skadlig kod måste övervakas kontinuerligt via antiviruskonsolen eller en centraliserad EDR-panel, kan ni visa panelen, granskaren, larmet, ärendet och stängningen?
Det är så EDR-data blir revisionsunderlag.
Hur olika revisorer testar samma endpointkontroller
Olika assurance-team ser endpointskydd genom olika linser. Underlaget kan vara detsamma, men frågorna förändras.
| Revisionsperspektiv | Vad de vanligen testar | Underlag som besvarar frågan |
|---|---|---|
| ISO/IEC 27001:2022-revisor | Om endpointkontroller väljs genom riskbehandling, ingår i Statement of Applicability, införs, övervakas och förbättras | Riskbedömning, SoA-post, endpointpolicy, EDR-driftsättningsrapport, övervakningsärenden, internrevisionsresultat |
| NIS2-granskare av cyberhygien | Om slutpunktssäkerhet stödjer proportionerlig riskhantering, incidenthantering, sårbarhetshantering, åtkomstkontroll, tillgångshantering och utbildning | Endpointförteckning, efterlevnad av baslinje, EDR-larm, incidentposter, patchmätetal, utbildningsregister |
| DORA-granskare av IKT-risk | Om endpointskydd stödjer identifiering av IKT-tillgångar, resiliens, incidenthantering, testning, kontinuitet och tillsyn över IKT-tredjeparter | Kartläggning av IKT-tillgångar, incidentklassificering, resultat från resilienstester, underlag för säkerhetskopiering, MDR-avtal, ledningsrapportering |
| GDPR-dataskyddsgranskare | Om endpointkontroller stödjer säkerhet i behandlingen och bedömning av personuppgiftsincident | Kartläggning av dataåtkomst, kryptering, loggar, analys av dataexfiltration, triage av personuppgiftsincident, underlag för begränsning och återställning |
| NIST CSF 2.0-bedömare | Om resultat inom styrning, identifiering, skydd, detektering, respons och återställning är integrerade | Nuvarande profil och målprofil, tillgångsförteckning, åtkomstkontroller, övervakning, incidentrespons, återställningsunderlag |
| Granskare enligt COBIT 2019-styrning | Om ägarskap, mål, prestation, risk och assurance är definierade | RACI, KPI:er, KRI:er, styrelserapportering, kontrollägarunderlag, undantag, uppföljning av åtgärder |
| ISACA-internrevisor | Om kontroller är ändamålsenligt utformade och fungerar konsekvent över stickprov | Stickprovstestning, skärmbilder, konfigurationsexporter, undantagsgodkännanden, återutförande av övervakningskontroller |
NIST CSF 2.0 är särskilt användbart som bryggspråk för verkställande ledning. Funktionen GOVERN stödjer intressentförväntningar, rättsliga skyldigheter, riskaptit, ansvarsskyldighet, policy, resurser och tillsyn. De operativa funktionerna bidrar till att förklara hur tillgångshantering, åtkomstkontroll, dataskydd, övervakning, incidentrespons, begränsning, eliminering, återställning och kommunikation samverkar.
I Clarysec-projekt ger ISO/IEC 27001:2022 den formella ISMS-stommen, Zenith Controls tillhandahåller kartläggningsguiden för tvärgående efterlevnad och NIST CSF 2.0 ger ett styrelsevänligt kommunikationslager.
Leverantörshanterade endpointtjänster ingår i bevismodellen
Många organisationer outsourcar delar av endpointskyddet till MSP:er, MSSP:er, MDR-leverantörer, leverantörer av molnbaserade skrivbord eller EDR-leverantörer. Outsourcing kan stärka förmågan, men ansvarsskyldigheten outsourcas inte.
NIS2 Article 21 omfattar säkerhet i leveranskedjan och leverantörsrelationer. DORA går längre för finansiella entiteter genom att kräva strategi för IKT-tredjepartsrisk, register över avtalsarrangemang, leverantörsgranskning, analys av koncentrationsrisk, revisions- och inspektionsrätt, uppsägningsrätt, incidentstöd, exit-strategier och tydlig ansvarsfördelning. ISO/IEC 27001:2022 Annex A omfattar kontroller för leverantörsrelationer, leverantörsavtal, kontroller för IKT-leveranskedjan, övervakning och ändringshantering av leverantörstjänster samt anskaffning, användning, hantering och exit för molntjänster.
Underlag för outsourcat endpointskydd bör omfatta:
- Leverantörsgranskning före leverantörsonboarding.
- Avtalsklausuler för övervakning, incidentavisering, åtkomst, datalagringsplats, revisionsrätt, servicenivåer och samverkan.
- Ansvarsmatris för larmtriage, isolering, rotorsaksanalys, rapportering och bevarande av bevismaterial.
- Rapporter som visar leverantörens prestation och SLA-efterlevnad.
- Underlag som visar att leverantörsincidenter och plattformsavbrott granskas.
- Exit-plan om EDR- eller MDR-leverantören fallerar, sägs upp eller blir oacceptabel.
- Bekräftelse på att loggar och forensisk bevisning fortsatt är tillgängliga för organisationen.
Ett vanligt revisionsfel är en MDR-panel utan ägarskap. Organisationen kan se larm men kan inte visa vem som äger risken, vad leverantören måste göra, hur larmkvalitet granskas eller hur bevismaterial bevaras för regulatoriska och rättsliga ändamål.
Mätetal som gör endpointverktyg till ledningsunderlag
Styrelser och tillsynsmyndigheter behöver inte rå larmvolym. De behöver indikatorer som visar om risken för skadlig kod på slutpunkter är under kontroll.
| Mätetal | Varför det är viktigt |
|---|---|
| Täckningsgrad för endpoints | Visar om kända slutpunkter skyddas av godkänd EDR eller lösning mot skadlig kod |
| Antal ohanterade slutpunkter | Synliggör brister i tillgångsförteckning, introduktion eller skugg-IT |
| Andel friska agenter | Visar om agenter är aktiva, uppdaterade och rapporterar |
| Patchefterlevnad för kritiska slutpunkter | Kopplar exponering för skadlig kod till sårbarhetshantering |
| Genomsnittlig tid till detektering | Visar övervakningens effektivitet |
| Genomsnittlig tid till isolering | Visar hastighet i begränsning av ransomware och skadlig kod |
| Återkommande skadlig kod per användare eller verksamhetsenhet | Identifierar svagheter i utbildning, process eller åtkomst |
| Felfrekvens för karantän | Visar om responsåtgärder är tillförlitliga |
| Högriskundantag öppna bortom SLA | Visar disciplin i styrningen |
| Andel lyckade återställningstester | Visar resiliens om skadlig kod orsakar störning |
| Incidenter med slutförd rotorsaksanalys | Visar lärande och ständig förbättring |
Dessa mätetal stödjer prestationsutvärdering och ledningens genomgång enligt ISO/IEC 27001:2022, ledningsorganets tillsyn enligt NIS2, styrning och IKT-riskstrategi enligt DORA, ansvarsskyldighet enligt GDPR och internrevisionsplanering.
Företagsversionen av Endpoint Protection / Malware Policy, avsnittet Enforcement and Compliance, clause 8.2 anger:
Internrevision måste genomföra periodiska granskningar av efterlevnaden av endpointskydd, inklusive:
Internrevision kan omvandla mätetalen ovan till ett kvartalsvis kontrolltest: ta stickprov på slutpunkter, jämföra tillgångsförteckning med EDR-registrering, verifiera realtidsskanning, granska patchstatus, bekräfta att användare inte kan inaktivera skyddet, granska aktuella larm om skadlig kod och spåra utvalda larm från detektion till stängning.
Vanliga endpointunderlagsgap som Clarysec hittar
Även mogna organisationer har svårt med kvaliteten på endpointunderlag. Samma gap återkommer ofta:
- Tillgångsförteckningen och EDR-förteckningen stämmer inte överens.
- Utvecklares arbetsstationer är mindre kontrollerade än standardbärbara datorer.
- Mobila enheter utesluts från endpointunderlaget.
- BYOD-åtkomst tillåts utan bindande avtalsvillkor för enhetsstatus.
- EDR-agenter är installerade men manipulationsskydd är inaktiverat.
- Larm övervakas av en leverantör, men eskaleringsregler är otydliga.
- Skadlig kod i karantän kopplas inte till ett incidentärende.
- Rotorsaksanalys hoppas över för ”blockerade” detektioner.
- Patchundantag saknar godkännande från riskägare eller utgångsdatum.
- Loggar bevaras under för kort tid för att stödja bedömning av personuppgiftsincident.
- Återställning från säkerhetskopia testas generellt men inte mot ransomware-scenarier.
- Styrelserapportering visar antal larm i stället för riskreducering.
Lösningen är inte fler kalkylblad. Lösningen är en sammanhängande driftmodell där policy, tillgångsförteckning, endpointkonfiguration, övervakning, incidentrespons, leverantörshantering, regulatorisk triage, mätetal och revisionstestning förstärker varandra.
Tio arbetsdagar för att göra endpointskydd mot skadlig kod revisionsklart
Om ni behöver en snabb startpunkt, vidta dessa åtgärder under de kommande tio arbetsdagarna:
- Exportera endpointförteckningen och EDR-förteckningen och stäm därefter av dem.
- Identifiera ohanterade, inaktiva, föråldrade, dubblerade och undantagna slutpunkter.
- Bekräfta inställningar för realtidsskanning, manipulationsskydd, automatisk uppdatering, isolering och karantän.
- Ta stickprov på fem larm om skadlig kod och spåra vart och ett till utredning och stängning.
- Kontrollera om endpointhändelser kan stödja incidenttriage enligt NIS2, DORA och GDPR.
- Granska MDR-, MSP- och EDR-leverantörsavtal avseende incidentstöd, åtkomst till underlag, revisionsrätt, SLA:er och exit-villkor.
- Lägg till endpointtäckning, agenters hälsostatus, isoleringstid, patchefterlevnad och slutförd rotorsaksanalys i ledningsrapporteringen.
- Kör ett internrevisionsstickprov med checklistan i Zenith Blueprint Step 19.
- Använd Zenith Controls för att mappa A.8.1 och A.8.7 till loggning, övervakning, sårbarhetshantering, incidentrespons, leverantörskontroller och återställning.
- Uppdatera er styrningsbaslinje med Clarysecs Endpoint Protection / Malware Policy eller SME Endpointskyddspolicy – skadlig kod.
Endpointskydd mot skadlig kod under 2026 handlar inte bara om att stoppa ransomware. Det handlar om att visa att organisationen kan förebygga, detektera, begränsa, återställa, rapportera och förbättra.
Clarysec kan hjälpa er att omvandla endpointskydd från en verktygsdriftsättning till ett försvarbart system för underlag för tvärgående efterlevnad. Ladda ned Endpoint Protection / Malware Policy, börja med SME Endpointskyddspolicy – skadlig kod om ni behöver en enklare driftmodell, använd Zenith Blueprint för att införa kontrollerna och använd Zenith Controls för att koppla ert endpointunderlag till ISO/IEC 27001:2022, NIS2, DORA, GDPR Article 32, NIST CSF 2.0 och revisionsförväntningar.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council