ISO 27001:2022 – åtgärdsplan efter underkänd revision
E-postmeddelandet ingen ville få
E-postmeddelandet kommer sent en fredag med en ämnesrad som låter harmlös: ”Resultat av övergångsrevision.”
Innehållet är inte harmlöst. Certifieringsorganet har identifierat en större avvikelse. ISO/IEC 27001-certifikatet är indraget eller så kan övergångsbeslutet inte stängas. Revisorns notering är tydlig: tillämpbarhetsförklaringen motiverar inte exkluderade kontroller, riskbedömningen speglar inte aktuell kontext och evidensen är otillräcklig för att visa att nya regulatoriska skyldigheter har beaktats.
Inom en timme är frågan inte längre bara ett efterlevnadsproblem. Säljfunktionen frågar om en offentlig upphandling nu är i riskzonen. Juridikfunktionen granskar klausuler i kundavtal. CISO:n förklarar varför SoA inte stämmer överens med riskbehandlingsplanen. Verkställande direktören ställer den enda fråga som spelar roll: ”Hur snabbt kan vi åtgärda detta?”
För många organisationer skapade den passerade tidsfristen för övergång till ISO 27001:2022 inte en teoretisk lucka. Den skapade ett reellt problem för verksamhetskontinuiteten. En missad eller underkänd övergångsrevision till ISO 27001:2022 kan påverka behörighet i upphandlingar, leverantörsintroduktion, cyberförsäkring, kundförsäkran, beredskap för NIS2, förväntningar enligt DORA, ansvarsskyldighet enligt GDPR och styrelsens förtroende.
Den goda nyheten är att återställning är möjlig. Den dåliga nyheten är att kosmetiska dokumentändringar inte fungerar. Återställningen ska hanteras som ett disciplinerat program för korrigerande åtgärder inom ISMS, inte som en hastig omskrivning av policyer.
På Clarysec organiserar vi denna återställning kring tre sammanhängande tillgångar:
- Zenith Blueprint: En revisors 30-stegs färdplan, särskilt fasen Revision, granskning och förbättring.
- Clarysec:s policybibliotek för större organisationer och små och medelstora företag, som omvandlar revisionsiakttagelser till styrda skyldigheter.
- Zenith Controls: guiden för tvärgående efterlevnad, som hjälper till att koppla kontrollförväntningar enligt ISO/IEC 27002:2022 till NIS2, DORA, GDPR, NIST-liknande säkerhetsförsäkran och styrningsperspektiv enligt COBIT 2019.
Detta är den praktiska återställningsplanen för CISO:er, complianceansvariga, revisorer, grundare och verksamhetsägare som missade tidsfristen för övergång till ISO 27001:2022 eller fick övergångsrevisionen underkänd.
Börja med att fastställa feltypen
Innan en enda policy redigeras ska situationen klassificeras. Alla underkända eller missade övergångar har inte samma verksamhetspåverkan eller återställningsväg. De första 24 timmarna bör fokusera på att få fram revisionsrapporten, certifieringsorganets beslut, formuleringen av avvikelser, begäran om evidens, tidsfrister och aktuell certifikatstatus.
| Situation | Verksamhetspåverkan | Omedelbar åtgärd |
|---|---|---|
| Övergångsrevision underkänd med större avvikelse | Certifieringsbeslutet kan blockeras eller certifikatet kan dras in tills problemet är åtgärdat | Öppna CAPA, genomför rotorsaksanalys och bekräfta förväntningar på evidens med certifieringsorganet |
| Övergångsrevision godkänd med mindre avvikelser | Certifieringen kan fortsätta om korrigerande åtgärder accepteras | Stäng mindre CAPA:er snabbt och uppdatera ISMS-paketet med evidens |
| Övergången slutfördes inte före tidsfristen | Certifikatet kanske inte längre är giltigt eller erkänt | Bekräfta status med certifieringsorganet och planera övergångs- eller omcertifieringsväg |
| Uppföljande revision visade svag övergångsevidens | Certifieringen kan vara i riskzonen vid nästa beslutspunkt | Genomför en mock audit och uppdatera SoA, riskbehandling, ledningens genomgång och internrevisionsunderlag |
| Kund avvisade ert certifikat eller övergångsunderlag | Kommersiell risk, upphandlingsrisk och påverkan på förtroende | Ta fram ett paket för kundförsäkran med revisionsstatus, CAPA-plan, måldatum och godkännande i styrningen |
Återställningsplanen beror på feltypen. Ett blockerat certifieringsbeslut kräver riktat åtgärdsarbete. Ett indraget certifikat kräver skyndsam reparation av styrning och evidens. Ett återkallat eller utgånget certifikat kan kräva en bredare väg via förnyad certifiering.
I samtliga fall ska varje problem mappas till relevant ISMS-klausul, Annex A-kontroll, riskpost, policyägare, rättslig eller avtalsmässig skyldighet och evidenskälla.
Det är här ISO/IEC 27001:2022 är ett ledningssystem och inte bara en kontrollkatalog. Klausulerna 4 till 10 kräver att ISMS förstår kontext, intressenter, omfattning, ledarskap, riskplanering, stöd, verksamhet, utvärdering av prestanda och ständig förbättring. Om övergången underkändes är någon av dessa ledningssystemkopplingar normalt bruten.
Varför övergångsrevisioner till ISO 27001:2022 underkänns
Underkända övergångsrevisioner samlas vanligtvis kring återkommande mönster. Många är inte djupt tekniska. De handlar om styrning, spårbarhet, ägarskap och evidens.
| Iakttagelsemönster | Vad revisorn ser | Vad det normalt innebär |
|---|---|---|
| Tillämpbarhetsförklaringen är inte uppdaterad eller inte motiverad | Kontroller är markerade som tillämpliga utan motivering eller exkluderade utan evidens | Kontrollvalet är inte spårbart till risk, regelverk eller verksamhetsbehov |
| Riskbedömningen speglar inte aktuella skyldigheter | NIS2, DORA, GDPR, kundavtal, molnberoenden eller leverantörsrisk saknas | Kontext och riskkriterier har inte uppdaterats |
| Ledningens genomgång är ytlig | Protokoll finns, men inga beslut, resurser, mål, revisionsresultat eller riskförändringar diskuteras | Ledningens ansvarsskyldighet fungerar inte i praktiken |
| Internrevisionen testade inte övergångens omfattning | Revisionschecklistan är generisk och täcker inte uppdaterade kontroller, leverantörer, moln, resiliens eller rättsliga skyldigheter | Utvärderingen av prestanda är inte tillräcklig |
| Leverantörs- och molnkontroller är svaga | Ingen leverantörsgranskning, avtalsgranskning, exitplanering eller löpande övervakning | Den operativa styrningen av externt tillhandahållna tjänster är ofullständig |
| Incidentrespons är inte anpassad till regulatorisk rapportering | Ingen eskaleringslogik för 24 eller 72 timmar, inget beslutsträd för DORA eller GDPR och ingen evidens från övningar | Incidenthantering är inte kopplad till rättslig rapportering |
| CAPA-processen är svag | Iakttagelser stängs enbart genom dokumentändringar | Rotorsaken har inte eliminerats |
Den underkända revisionen är en signal om att ISMS inte har anpassats tillräckligt snabbt till organisationens verkliga driftsmiljö.
ISO/IEC 27005:2022 är användbar vid återställning eftersom den förstärker vikten av att etablera kontext utifrån rättsliga, regulatoriska, sektorsspecifika, avtalsmässiga, interna och befintliga kontrollkrav. Den stödjer också riskkriterier som beaktar rättsliga skyldigheter, leverantörer, integritetsskydd, mänskliga faktorer, verksamhetsmål och en riskaptit som godkänts av ledningen.
Praktiskt innebär det att övergångsåterställning börjar med uppdaterad kontext och uppdaterade riskkriterier, inte med ett nytt versionsnummer på ett gammalt dokument.
Steg 1: Frys revisionsunderlaget och skapa ett återställningscenter
Det första operativa misstaget efter en underkänd revision är evidenskaos. Team börjar leta i inkorgar, delade enheter, ärendehanteringssystem, chattmeddelanden, personliga mappar och gamla revisionspaket. Revisorer tolkar detta som ett tecken på att ISMS inte är kontrollerat.
Clarysec:s SMF Policy för revision och övervakning av regelefterlevnad – SMF är tydlig om styrning av evidens:
”All evidens ska lagras i en centraliserad revisionsmapp.”
Från avsnittet ”Krav för införande av policyn”, policyklausul 6.2.1.
Den centraliserade revisionsmappen blir återställningens kontrollpunkt. Den bör innehålla:
- Certifieringsorganets rapport och korrespondens.
- Bekräftelse av certifikatstatus.
- Avvikelseregister.
- CAPA-logg.
- Uppdaterad riskbedömning.
- Uppdaterad riskbehandlingsplan.
- Uppdaterad tillämpbarhetsförklaring.
- Internrevisionsrapport.
- Protokoll från ledningens genomgång.
- Poster över policygodkännanden.
- Evidens för varje tillämplig Annex A-kontroll.
- Paket för kundförsäkran, om kommersiella åtaganden påverkas.
För större organisationer fastställer Clarysec:s Policy för revision och övervakning av regelefterlevnad samma styrningsförväntan:
”Alla iakttagelser ska resultera i en dokumenterad CAPA som omfattar:”
Från avsnittet ”Krav för införande av policyn”, policyklausul 6.2.1.
Formuleringen inför en strukturerad förväntan på korrigerande åtgärder. Kärnpunkten är enkel: varje revisionsiakttagelse ska bli en styrd CAPA-post, inte en informell uppgift i någons anteckningsbok.
För små och medelstora företag är ledningens medverkan lika viktig:
”Verksamhetschefen (GM) ska godkänna en plan för korrigerande åtgärder och följa upp dess genomförande.”
Från Policy för revision och övervakning av regelefterlevnad – SMF, avsnittet ”Styrningskrav”, policyklausul 5.4.2.
Detta är viktigt eftersom ISO 27001:2022 inte behandlar ledarskap som symboliskt. Högsta ledningen ska fastställa policy, anpassa mål till verksamhetsstrategin, tillhandahålla resurser, kommunicera vikten av informationssäkerhet, tilldela ansvar och främja ständig förbättring.
Om den underkända övergången behandlas som ”compliancepersonens problem” kommer nästa revision återigen att visa svag ansvarsskyldighet hos ledningen.
Steg 2: Bygg om kontext, skyldigheter och risk
En underkänd övergångsrevision innebär ofta att ISMS-kontexten inte längre speglar organisationens verklighet. Verksamheten kan ha flyttat till molnplattformar, lagt till nya leverantörer, gått in på reglerade marknader, behandlat mer personuppgifter eller blivit relevant för kunder enligt NIS2 eller DORA. Om dessa förändringar saknas i ISMS blir riskbedömningen och SoA ofullständiga.
Clarysec:s Policy för rättslig och regulatorisk efterlevnad sätter baslinjen:
”Alla rättsliga och regulatoriska skyldigheter ska mappas till specifika policyer, kontroller och ägare inom ledningssystemet för informationssäkerhet.”
Från avsnittet ”Krav för införande av policyn”, policyklausul 6.2.1.
Denna klausul är kritisk efter ett övergångsmisslyckande. ISO 27001:2022 klausulerna 4.1 till 4.3 kräver att organisationer beaktar interna och externa frågor, intressenter, krav, gränssnitt, beroenden och omfattning. Rättsliga, regulatoriska och avtalsmässiga skyldigheter är inte sidonoteringar. De formar ISMS.
NIS2 Article 21 kräver lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder, inklusive riskanalys, policyer, incidenthantering, säkerhetskopiering, katastrofåterställning, krishantering, leveranskedjesäkerhet, säker utveckling, sårbarhetshantering, effektivitetsbedömningar, cyberhygien, utbildning, kryptografi, HR-säkerhet, åtkomstkontroll, tillgångshantering och säker kommunikation. Article 20 placerar ansvaret på ledningsorgansnivå. Article 23 skapar stegvis rapportering av betydande incidenter, inklusive tidig varning, incidentanmälan, uppdateringar och slutrapportering.
DORA gäller direkt för finansiella entiteter från den 17 januari 2025 och omfattar IKT-riskhantering, rapportering av större incidenter, resiliensprovning, IKT-tredjepartsrisk, avtalskrav och tillsyn över kritiska IKT-tredjepartsleverantörer. För finansiella entiteter som omfattas blir DORA en central drivkraft för IKT-styrning, leverantörskontroll, testning, incidentklassificering och ledningens ansvarsskyldighet.
GDPR tillför ansvarsskyldighet för personuppgifter. Article 5 kräver laglig, korrekt, transparent, begränsad, exakt, lagringsminimerad och säker behandling, med påvisbar efterlevnad. Article 4 definierar personuppgiftsincident på ett sätt som direkt påverkar incidentklassificering. Article 6 kräver mappning av rättslig grund och Article 9 lägger till skärpta krav för särskilda kategorier av personuppgifter.
Detta innebär inte att separata efterlevnadsvärldar ska skapas. Det innebär att ISO 27001:2022 används som det integrerade ledningssystemet och att skyldigheter mappas in i en gemensam risk- och kontrollarkitektur.
Clarysec:s Riskhanteringspolicy kopplar riskbehandling direkt till kontrollval:
”Kontrollbeslut som följer av riskbehandlingsprocessen ska återspeglas i SoA.”
Från avsnittet ”Krav för införande av policyn”, policyklausul 6.5.1.
En underkänd revision är också ett skäl att granska själva riskhanteringsprocessen. Clarysec:s SMF Riskhanteringspolicy – SMF identifierar denna utlösare:
”En större incident eller revisionsiakttagelse visar på brister i riskhanteringen”
Från avsnittet ”Krav för granskning och uppdatering”, policyklausul 9.2.1.1.
I återställningsläge innebär det att riskregistret, riskkriterierna, behandlingsplanen och SoA måste byggas om tillsammans.
Steg 3: Reparera SoA som ryggrad för spårbarhet
I de flesta underkända övergångar är tillämpbarhetsförklaringen det första dokumentet att granska. Det är också ett av de första dokumenten revisorer gör stickprov på. En svag SoA visar revisorn att kontrollvalet inte är riskbaserat.
Zenith Blueprint ger en praktisk instruktion i fasen Revision, granskning och förbättring, steg 24, Revision, granskning och förbättring:
”Er SoA bör vara förenlig med ert riskregister och er riskbehandlingsplan. Dubbelkontrollera att varje kontroll som ni har valt som riskbehandling är markerad som ’Tillämplig’ i SoA. Omvänt gäller att om en kontroll är markerad som ’Tillämplig’ i SoA bör ni ha en motivering för den – normalt en mappad risk, ett rättsligt/regulatoriskt krav eller ett verksamhetsbehov.”
Från Zenith Blueprint: En revisors 30-stegs färdplan, fasen Revision, granskning och förbättring, steg 24.
Det är återställningsprincipen. SoA är inte en formalitet. Den är ryggraden för spårbarhet mellan risker, skyldigheter, kontroller, införandeevidens och revisionsslutsatser.
En praktisk reparation av SoA bör följa denna ordning:
- Exportera aktuell SoA.
- Lägg till kolumner för risk-ID, regulatorisk skyldighet, verksamhetskrav, policyreferens, evidensplats, ägare, införandestatus och datum för senaste test.
- Mappa minst en försvarbar motivering för varje tillämplig kontroll.
- Skriv en specifik exkluderingsmotivering för varje exkluderad kontroll.
- Stäm av SoA mot riskbehandlingsplanen.
- Stäm av SoA mot internrevisionsresultat.
- Ställ den svåra frågan: om en revisor gör stickprov på denna rad, kan vi styrka den på fem minuter?
En försvarbar SoA-rad bör se ut så här:
| SoA-fält | Exempel på återställningspost |
|---|---|
| Kontrollmotivering | Tillämplig på grund av molndrift, betalningsförmedlare, outsourcad support och avtalsmässiga säkerhetsåtaganden gentemot kund |
| Riskkoppling | R-014 avbrott hos tredjepartstjänst, R-021 dataexponering hos leverantör, R-027 regulatorisk överträdelse på grund av fel hos personuppgiftsbiträde |
| Skyldighetskoppling | Leveranskedjesäkerhet enligt NIS2, IKT-tredjepartsrisk enligt DORA där tillämpligt, ansvarsskyldighet för personuppgiftsbiträde enligt GDPR |
| Policykoppling | Policy för leverantörssäkerhet och tredjepartssäkerhet, rutin för avtalsgranskning, checklista för leverantörsbedömning |
| Evidens | Leverantörsregister, riskklassningar, due diligence-frågeformulär, undertecknat personuppgiftsbiträdesavtal, granskning av SOC-rapport, exitplan, årligt granskningsprotokoll |
| Ägare | Vendor Management Office (VMO), informationssäkerhetschef, Juridik |
| Testning | Internrevisionsstickprov av de fem största kritiska leverantörerna genomfört, undantag loggade i CAPA |
| Status | Införd med två öppna korrigerande åtgärder för avtalsuppdateringar |
Denna rad berättar en återställningshistoria. Den visar verksamhetskontext, risklogik, regulatorisk relevans, ägarskap, införande, testning och återstående åtgärd.
För exkluderingar gäller samma disciplin. Om organisationen exempelvis inte bedriver intern programvaruutveckling kan en exkludering av ISO/IEC 27002:2022 control 8.25 Secure development life cycle och control 8.28 Secure coding vara försvarbar, men endast om det är sant, dokumenterat och stöds av evidens som visar att programvaran är kommersiell standardprogramvara eller helt outsourcad med leverantörskontroller på plats.
Steg 4: Genomför rotorsaksanalys, inte kosmetiska dokumentändringar
En underkänd övergångsrevision orsakas sällan av en enda saknad fil. Den orsakas normalt av en bruten process.
Zenith Blueprint, fasen Revision, granskning och förbättring, steg 27, Revisionsiakttagelser – analys och rotorsak, anger:
”För varje identifierad avvikelse (större eller mindre), fundera över varför den inträffade – detta är avgörande för effektiv korrigering.”
Från Zenith Blueprint, fasen Revision, granskning och förbättring, steg 27.
Om iakttagelsen säger ”SoA-motiveringar saknas” kan korrigeringen vara att uppdatera SoA. Men rotorsaken kan vara att tillgångsägare inte deltog i riskbedömningen, att rättsliga skyldigheter inte mappades eller att regelefterlevnadsteamet underhöll SoA isolerat.
En användbar återställningstabell skiljer svaga korrigeringar från verkliga korrigerande åtgärder:
| Revisionsiakttagelse | Svag korrigering | Rätt rotorsaksfråga | Bättre korrigerande åtgärd |
|---|---|---|---|
| SoA är inte anpassad till riskbehandling | Uppdatera SoA-formuleringar | Varför stämdes SoA inte av mot riskbehandling? | Inför kvartalsvis avstämning mellan SoA och risk, ägd av ISMS-ansvarig |
| Inga leverantörsbedömningar | Ladda upp ett frågeformulär | Varför granskades inte leverantörer? | Tilldela leverantörsägare, definiera risknivåer, slutför granskningar och övervaka årligen |
| Ledningens genomgång är ofullständig | Lägg till en agendapunkt i efterhand | Varför omfattade ledningens genomgång inte övergångsstatus? | Uppdatera mallen för ledningens genomgång och schemalägg kvartalsvis styrningsgenomgång |
| Incidentrapportering har inte testats | Redigera incidentrutinen | Varför övades inte rapporteringen? | Genomför en skrivbordsövning med beslutspunkter för NIS2, DORA och GDPR och behåll evidens |
| Internrevisionen var för snäv | Utöka checklistan | Varför missade revisionsplaneringen övergångens omfattning? | Godkänn en riskbaserad revisionsplan som omfattar regelverk, leverantörer, moln och resiliens |
Det är här trovärdigheten återkommer. Revisorer förväntar sig inte perfektion. De förväntar sig ett kontrollerat system som upptäcker, korrigerar, lär och förbättrar.
Steg 5: Bygg CAPA som en revisor kan lita på
Korrigerande och förebyggande åtgärder är området där många organisationer återtar kontrollen. CAPA-registret bör bli återställningens färdplan och det primära underlaget för att den underkända revisionen hanterades systematiskt.
Zenith Blueprint, fasen Revision, granskning och förbättring, steg 29, Ständig förbättring, förklarar strukturen:
”Säkerställ att varje korrigerande åtgärd är specifik, kan tilldelas och är tidsbegränsad. I praktiken skapar ni ett miniprojekt för varje problem.”
Från Zenith Blueprint, fasen Revision, granskning och förbättring, steg 29.
Er CAPA-logg bör innehålla:
- Iakttagelse-ID.
- Källrevision.
- Klausul- eller kontrollreferens.
- Allvarlighetsgrad.
- Problembeskrivning.
- Omedelbar korrigering.
- Rotorsak.
- Korrigerande åtgärd.
- Förebyggande åtgärd, där relevant.
- Ägare.
- Förfallodag.
- Krav på evidens.
- Status.
- Effektivitetskontroll.
- Ledningens godkännande.
Clarysec:s Policy för revision och övervakning av regelefterlevnad – SMF identifierar också en större avvikelse som en utlösare för granskning:
”En certifieringsrevision eller uppföljande revision resulterar i en större avvikelse”
Från avsnittet ”Krav för granskning och uppdatering”, policyklausul 9.2.2.
Om övergångsrevisionen gav en större avvikelse ska själva processen för revision och övervakning av regelefterlevnad granskas. Varför upptäckte inte internrevisionen problemet först? Varför eskalerade inte ledningens genomgång det? Varför avslöjade inte SoA bristen i evidensen?
Det är så en underkänd revision blir ett starkare ISMS.
Steg 6: Använd Zenith Controls för att koppla ISO-evidens till tvärgående efterlevnad
En omrevision sker inte isolerat. Kunder, tillsynsmyndigheter, försäkringsgivare och interna styrningsteam kan alla granska samma evidens ur olika vinklar. Här är Zenith Controls värdefull som guide för tvärgående efterlevnad. Den hjälper team att sluta behandla ISO 27001, NIS2, DORA, GDPR, NIST-liknande säkerhetsförsäkran och COBIT 2019-styrning som separata checklistor.
Tre ISO/IEC 27002:2022-kontroller är särskilt relevanta vid återställning efter övergång.
| ISO/IEC 27002:2022-kontroll | Relevans vid återställning | Evidens att förbereda |
|---|---|---|
| 5.31 Rättsliga, lagstadgade, regulatoriska och avtalsmässiga krav | Bekräftar att skyldigheter är identifierade, dokumenterade och kopplade till ISMS | Rättsligt register, avtalsförpliktelser, regulatorisk karta, matris över policyägare, SoA-motivering |
| 5.35 Oberoende granskning av informationssäkerhet | Bekräftar att granskningsaktivitet är objektiv, avgränsad, kompetent och leder till åtgärder | Internrevisionsplan, rapport från oberoende granskning, revisorskompetens, CAPA-poster, rapportering till ledningen |
| 5.36 Efterlevnad av policyer, regler och standarder för informationssäkerhet | Bekräftar att policyer inte bara publiceras, utan övervakas och tillämpas | Policyintyg, undantagsloggar, övervakningsrapporter, disciplinärt arbetsflöde, efterlevnadstestning |
I Zenith Controls kopplas ISO/IEC 27002:2022 control 5.31 direkt till integritetsskydd och PII:
”5.34 omfattar efterlevnad av dataskyddslagstiftning (t.ex. GDPR), vilket är en kategori av rättsliga krav under 5.31.”
Från Zenith Controls, control 5.31, kopplingar till andra kontroller.
För återställning innebär detta att det rättsliga registret inte får ligga utanför ISMS. Det måste driva SoA, riskbehandlingsplanen, policyuppsättningen, kontrollägarskapet och revisionsbevisen.
För ISO/IEC 27002:2022 control 5.35 betonar Zenith Controls att oberoende granskning ofta sträcker sig in i operativ evidens:
”Oberoende granskningar enligt 5.35 bedömer ofta tillräckligheten i loggning och övervakningsaktiviteter.”
Från Zenith Controls, control 5.35, kopplingar till andra kontroller.
Det är praktiskt. En revisor kan börja med styrning och sedan göra stickprov på loggar, larm, övervakningsposter, åtkomstgranskningar, incidentärenden, återställningstester, leverantörsgranskningar och ledningsbeslut.
För ISO/IEC 27002:2022 control 5.36 förklarar Zenith Controls relationen till intern policystyrning:
”Kontroll 5.36 fungerar som tillämpningsmekanism för de regler som definieras under 5.1.”
Från Zenith Controls, control 5.36, kopplingar till andra kontroller.
Det är här många övergångsprogram misslyckas. Policyer finns, men efterlevnaden av dem övervakas inte. Rutiner finns, men undantag fångas inte upp. Kontroller deklareras, men testas inte.
Steg 7: Förbered för olika revisionsperspektiv
Ett starkt återställningspaket ska tåla mer än en revisors perspektiv. ISO-certifieringsrevisorer, DORA-tillsynsfunktioner, NIS2-granskare, GDPR-intressenter, team för kundförsäkran, NIST-orienterade bedömare och COBIT 2019-granskare av styrning kan alla ställa olika frågor om samma evidens.
| Revisionsperspektiv | Sannolik fråga | Evidens som hjälper |
|---|---|---|
| ISO 27001:2022-revisor | Är ISMS effektivt, riskbaserat, korrekt avgränsat, granskat av ledningen och föremål för ständig förbättring? | Omfattning, kontext, intressenter, riskbedömning, SoA, behandlingsplan, internrevision, ledningens genomgång, CAPA |
| NIST-orienterad bedömare | Fungerar styrning, riskidentifiering, skydd, detektering, respons och återställningsaktiviteter sammanhängande? | Tillgångsförteckning, riskregister, åtkomstkontroller, loggning, övervakning, åtgärdsplaner för incidenter, återställningstester |
| COBIT 2019- eller ISACA-liknande revisor | Är styrningsmål, ägarskap, prestationsövervakning, riskhantering och säkerställande av efterlevnad inbyggda? | RACI, godkända mål, mätetal, revisionsplan, rapportering till ledningen, kontrollägarskap, ärendeuppföljning |
| NIS2-granskare av efterlevnad | Har ledningen godkänt och övervakat proportionerliga riskåtgärder för cybersäkerhet och arbetsflöden för incidentrapportering? | Styrelseprotokoll, riskåtgärder, leverantörskontroller, incidenteskalering, utbildning, kontinuitets- och krisevidens |
| DORA-granskare | Är IKT-riskhantering dokumenterad, testad, leverantörsmedveten och integrerad i styrningen? | IKT-riskramverk, resiliensprovningar, incidentklassificering, IKT-avtalsregister, exitplaner, revisionsrätt |
| GDPR-granskare | Kan organisationen visa ansvarsskyldighet för dataskydd och hantering av personuppgiftsincidenter? | RoPA, mappning av rättslig grund, DPIA:er där så krävs, personuppgiftsbiträdesavtal, incidentloggar, tekniska och organisatoriska åtgärder |
Målet är inte dubblerad evidens. En enda SoA-rad för loggning och övervakning kan stödja ISO-evidens, NIST-liknande förväntningar på detektering, DORA-incidenthantering, NIS2-effektivitetsbedömning och GDPR-detektering av personuppgiftsincidenter. En enda leverantörsriskfil kan stödja ISO:s leverantörskontroller, DORA IKT-tredjepartsrisk, NIS2-leveranskedjesäkerhet och GDPR-ansvarsskyldighet för personuppgiftsbiträden.
Detta är det praktiska värdet av tvärgående efterlevnad.
Steg 8: Genomför slutlig dokumentationsgranskning och mock audit
Innan ni återkommer till certifieringsorganet ska ni genomföra en skarp intern utmaning. Zenith Blueprint, fasen Revision, granskning och förbättring, steg 30, Certifieringsförberedelse – slutlig granskning och mock audit, rekommenderar att ISO 27001:2022 klausulerna 4 till 10 kontrolleras en i taget och att evidens valideras för varje tillämplig Annex A-kontroll.
Den rekommenderar:
”Kontrollera Annex A-kontroller: säkerställ att ni för varje kontroll som ni markerat som ’Tillämplig’ i SoA har något att visa upp.”
Från Zenith Blueprint, fasen Revision, granskning och förbättring, steg 30.
Den slutliga granskningen bör vara rak:
- Kan varje tillämplig kontroll förklaras?
- Kan varje exkluderad kontroll motiveras?
- Kan acceptans av kvarstående risk visas?
- Har ledningen granskat övergångsmisslyckandet, resurser, mål, revisionsresultat och korrigerande åtgärder?
- Har internrevisionen testat den uppdaterade SoA och riskbehandlingsplanen?
- Finns evidens för leverantörs-, moln-, kontinuitets-, incident-, integritets-, åtkomst-, sårbarhets-, loggnings- och övervakningskontroller?
- Är policyer godkända, aktuella, kommunicerade och versionshanterade?
- Är CAPA:er kopplade till rotorsaker och effektivitetskontroller?
- Kan evidens hittas snabbt i den centraliserade revisionsmappen?
Clarysec:s Informationssäkerhetspolicy ger styrningsbaslinjen:
”Organisationen ska införa och underhålla ett ledningssystem för informationssäkerhet i enlighet med ISO/IEC 27001:2022 klausulerna 4 till 10.”
Från avsnittet ”Krav för införande av policyn”, policyklausul 6.1.1.
För små och medelstora företag måste granskningen också följa certifieringskrav och regulatoriska förändringar. Clarysec:s Informationssäkerhetspolicy – SMF anger:
”Denna policy ska granskas av verksamhetschefen (GM) minst årligen för att säkerställa fortsatt efterlevnad av certifieringskrav enligt ISO/IEC 27001, regulatoriska förändringar (såsom GDPR, NIS2 och DORA) och förändrade verksamhetsbehov.”
Från avsnittet ”Krav för granskning och uppdatering”, policyklausul 9.1.1.
Det är exakt detta många övergångsprogram missade: ISO, regelverk och verksamhetsförändring rör sig tillsammans.
Vad ni ska säga till kunder medan ni återställer
Om en underkänd eller missad övergång påverkar kundavtal är tystnad farligt. Ni behöver inte lämna ut varje internrevisionsdetalj, men ni bör ge kontrollerad säkerhetsförsäkran.
Ett kommunikationspaket till kunder bör innehålla:
- Aktuell certifieringsstatus bekräftad av certifieringsorganet.
- Status för övergångsrevisionen och övergripande åtgärdsplan.
- Bekräftelse på att en CAPA-process är aktiv och godkänd av ledningen.
- Måldatum för korrigerande åtgärder och revisionsstängning.
- Uttalande om att ISMS fortsatt är i drift.
- Kontaktpunkt för säkerhetsförsäkran.
- Uppdaterat informationssäkerhetspolicyuttalande, om lämpligt.
- Evidens för kompenserande kontroller inom eventuella högriskområden.
Undvik vaga påståenden som ”vi är helt compliant” medan revisionen är olöst. Säg det som är sant: ISMS är i drift, korrigerande åtgärder är godkända, evidens konsolideras och en stängningsgranskning eller omrevision är planerad.
Detta är särskilt viktigt om kunder förlitar sig på er som leverantör i NIS2-relevanta sektorer såsom digital infrastruktur, moln, datacenter, innehållsleveransnätverk, DNS, betrodda tjänster, publika elektroniska kommunikationer, hanterade tjänster eller hanterade säkerhetstjänster. Om er revisionsstatus påverkar deras leveranskedjerisk behöver de trovärdig säkerhetsförsäkran.
En praktisk 10-dagars återställningssprint
Tidslinjer varierar beroende på certifieringsorgan, allvarlighetsgrad, omfattning och evidensmognad. Men återställningssekvensen är tillförlitlig.
| Dag | Aktivitet | Resultat |
|---|---|---|
| 1 | Samla in revisionsrapport, bekräfta certifikatstatus, öppna centraliserad revisionsmapp | Återställningscenter |
| 2 | Klassificera iakttagelser, tilldela ägare, informera ledningen | Godkänd återställningsstyrning |
| 3 | Uppdatera kontext, skyldigheter, intressenter och antaganden om omfattning | Uppdaterad kontext- och efterlevnadskarta |
| 4 | Stäm av riskbedömning och riskbehandlingsplan | Uppdaterat riskregister och behandlingsplan |
| 5 | Reparera SoA med motiveringar, exkluderingar, evidens och ägare | Revisionsklar SoA |
| 6 | Genomför rotorsaksanalys för alla iakttagelser | Rotorsakslogg |
| 7 | Bygg CAPA-plan med måldatum och krav på evidens | CAPA-register |
| 8 | Samla in och testa evidens för prioriterade kontroller | Evidenspaket |
| 9 | Genomför ledningens genomgång och godkänn kvarstående risker | Protokoll från ledningens genomgång |
| 10 | Genomför mock audit och förbered svar till certifieringsorganet | Paket klart för omrevision |
Skicka inte in svaret förrän det berättar en sammanhängande historia. Revisorn ska kunna följa kedjan från iakttagelse till rotorsak, från rotorsak till korrigerande åtgärd, från korrigerande åtgärd till evidens och från evidens till ledningens genomgång.
Clarysec:s återställningsarbetsflöde
När Clarysec stödjer en missad eller underkänd övergång till ISO 27001:2022 organiserar vi arbetet i ett fokuserat återställningsarbetsflöde.
| Återställningsfas | Clarysec-tillgång | Resultat |
|---|---|---|
| Revisionstriage | Zenith Blueprint steg 24, 27, 29, 30 | Klassificering av iakttagelser, evidenskarta, plan för revisionsstängning |
| Återställning av styrning | Informationssäkerhetspolicy, Policy för revision och övervakning av regelefterlevnad | Godkänt ansvar, ledningsmedverkan, centraliserad evidensmapp |
| Uppdatering av riskbild | Riskhanteringspolicy, ISO/IEC 27005:2022-metod | Uppdaterad kontext, kriterier, riskregister, behandlingsplan |
| Reparation av SoA | Zenith Blueprint steg 24, Riskhanteringspolicy | Spårbar SoA med risk, skyldighet, ägare, evidens och status |
| Kartläggning för tvärgående efterlevnad | Zenith Controls | Anpassning till NIS2, DORA, GDPR, NIST-liknande arbetssätt och COBIT 2019-säkerhetsförsäkran |
| Genomförande av CAPA | Zenith Blueprint steg 29, revisionspolicyer | Rotorsak, korrigerande åtgärd, ägare, tidsfrist, effektivitetskontroll |
| Mock audit | Zenith Blueprint steg 30 | Paket klart för omrevision och kundförsäkran |
Det handlar inte om att producera pappersarbete. Det handlar om att återställa förtroendet för att ISMS är styrt, riskbaserat, underbyggt av evidens och föremål för förbättring.
Slutråd: behandla den underkända övergången som ett stresstest
En missad tidsfrist för ISO 27001:2022-övergång eller en underkänd övergångsrevision känns som en kris, men den är också en diagnostisk möjlighet. Den visar om ert ISMS kan absorbera förändring, integrera rättsliga skyldigheter, hantera leverantörer, bevisa att kontroller fungerar och lära av misslyckanden.
De organisationer som återhämtar sig snabbast gör tre saker väl:
- De centraliserar evidens och stoppar kaoset.
- De bygger om spårbarheten mellan risk, SoA, kontroller, policyer och skyldigheter.
- De hanterar revisionsiakttagelser genom disciplinerad CAPA och ledningens genomgång.
De organisationer som får kämpa försöker lösa problemet genom att redigera dokument utan att åtgärda ägarskap, övervakning, evidens eller rotorsak.
Om ni missade tidsfristen eller fick er övergångsrevision underkänd är nästa steg inte panik. Det är strukturerad återställning.
Clarysec kan hjälpa er att genomföra triagering av övergångsrevisionen, bygga om er SoA, mappa förväntningar enligt NIS2, DORA, GDPR, NIST-liknande arbetssätt och COBIT 2019 via Zenith Controls, genomföra korrigerande åtgärder med Zenith Blueprint och anpassa policyevidens med Informationssäkerhetspolicy, Policy för revision och övervakning av regelefterlevnad, Riskhanteringspolicy och Policy för rättslig och regulatorisk efterlevnad.
Ert certifikatproblem kan åtgärdas. Ert ISMS kan bli starkare än det var före revisionen. Om er övergångsrevision är olöst, starta återställningsbedömningen nu, konsolidera er evidens och förbered ett omrevisionspaket som visar att ert ISMS inte bara är dokumenterat, utan fungerar.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
