ISO 27001-underlag för loggning enligt NIS2, DORA och GDPR
Larmet kom in i SOC-kanalen kl. 02:17 en tisdag: flera misslyckade inloggningsförsök för den privilegierade användaren admin från en ny IP-adress. Försöken upphörde efter några minuter. En junior analytiker noterade larmet, antog att det rörde sig om ett felkonfigurerat skript eller en systemadministratör som arbetade sent, och gick vidare.
Två dagar senare satt Maria, informationssäkerhetschef på ett snabbväxande fintechbolag, i ett ledningsmöte när telefonen vibrerade. Utvecklingsteamet hade upptäckt ovanligt hög CPU-användning på en produktionsdatabasinstans. Ett nytt obehörigt användarkonto hade skapats. Larmet kl. 02:17 var inte ett falskt positivt larm. Det var det första synliga tecknet på ett intrångsförsök.
Incidenten begränsades, men utredningen visade ett större problem. Brandväggsloggar fanns i ett system. Kubernetes-loggar fanns i ett annat. Databasernas revisionsloggar lagrades separat. Flera tidsstämplar avvek med minuter. Teamet hade data, men kunde inte snabbt presentera en försvarbar bild av detektering, granskning, eskalering, begränsning och bedömning av personuppgiftsincident.
Marias uppföljningsrevision enligt ISO/IEC 27001:2022 hade avslutats framgångsrikt, men revisorn lämnade en varning: organisationen hade kontroller för loggning och övervakning, men skulle ha svårt att snabbt ta fram korrelerat underlag för rapporteringsbeslut enligt NIS2, DORA och GDPR.
Det är den verklighet många organisationer möter 2026. De har inte ett loggningsproblem. De har ett underlagsproblem.
Ett SIEM, en EDR-plattform, ett revisionsspår i molnmiljö eller en brandväggslogg är inte revisionsklart underlag i sig. Underlag blir försvarbart först när det styrs av policy, skyddas mot manipulation, granskas enligt fastställd frekvens, kopplas till incidentbeslut och bevaras tillräckligt länge för att händelser ska kunna rekonstrueras.
För ISO/IEC 27001:2022, NIS2, DORA och GDPR är huvudfrågan inte längre: ”Samlar vi in loggar?” Frågan är: ”Kan vi visa vad som hände, vem som granskade det, hur det klassificerades, om rapportering krävdes och om ledningen hade tillsyn?”
Varför loggning och övervakning blev en fråga om efterlevnadsunderlag
NIS2, DORA och GDPR har förändrat säkerhetsloggarnas verksamhetsmässiga betydelse.
Enligt NIS2 ska väsentliga och viktiga entiteter införa lämpliga och proportionerliga åtgärder för cybersäkerhetsriskhantering. Article 21 omfattar incidenthantering, kontinuitetshantering, säkerhet i leveranskedjan, säker utveckling, effektivitetsbedömning, cyberhygien, kryptografi, personalsäkerhet, åtkomstkontroll, tillgångshantering, MFA och säker kommunikation. Article 23 inför en stegvis rapporteringsmodell med tidig varning inom 24 timmar, incidentanmälan inom 72 timmar, mellanliggande uppdateringar där det är relevant och en slutrapport senast en månad efter incidentanmälan.
Den modellen bygger på loggning och övervakning. Organisationen kan inte lämna en trovärdig tidig varning om den inte kan visa när händelsen detekterades. Den kan inte klassificera en betydande incident om den inte kan rekonstruera berörda system, användaraktivitet, tjänstepåverkan och begränsningsåtgärder.
DORA skapar liknande tryck på finansiella entiteter. Articles 5 to 14 fastställer förväntningar på styrning och IKT-riskhantering, inklusive ledningsorganets ansvar, identifiering av IKT-tillgångar, skydd och förebyggande åtgärder, detektering, respons och återställning, säkerhetskopiering, återhämtning, lärande och kommunikation. Articles 17 to 23 kräver en process för hantering av IKT-relaterade incidenter som omfattar detektering, registrering, klassificering, eskalering, avisering och uppföljning. Articles 24 to 27 behandlar testning av digital operativ motståndskraft. Articles 28 to 31 skapar skyldigheter för hantering av IKT-tredjepartsrisk.
GDPR tillför ansvarsskyldighetslagret för dataskydd. Article 32 kräver lämplig säkerhet i behandlingen. Article 33 kräver incidentanmälan av personuppgiftsincident till tillsynsmyndigheten utan onödigt dröjsmål och, om möjligt, senast 72 timmar efter att organisationen fått vetskap om den, om incidenten inte sannolikt leder till risk för fysiska personers rättigheter och friheter. Article 34 kan kräva kommunikation till berörda registrerade när risken är hög. Loggar hjälper till att avgöra om personuppgifter har åtkommits, ändrats, exfiltrerats eller exponerats, men loggar kan också innehålla personuppgifter och måste därför styras därefter.
ISO/IEC 27001:2022 ger ledningssystemets ryggrad. Clauses 4.1 to 4.4 kräver att organisationen förstår kontext, intressenter, krav och ISMS-omfattning. Clauses 5.1 to 5.3 kräver ledarskap, policyanpassning, roller, ansvar och befogenheter. Clauses 6.1.1 to 6.1.3 kräver en repeterbar process för riskbedömning och riskbehandling, inklusive riskkriterier, riskägare, behandlingsalternativ, jämförelse mot kontroller i Annex A, tillämpbarhetsförklaringen och acceptans av kvarstående risk. Clause 6.2 kräver mätbara informationssäkerhetsmål.
Därför kan underlag för loggning och övervakning inte bara finnas i SOC. Det hör hemma i ISMS, riskregistret, tillämpbarhetsförklaringen, incidentresponsprocessen, arbetsflödet för personuppgiftsincidenter, leverantörsstyrningen och ledningsrapporteringen.
De ISO 27001-kontroller för loggning som revisorer kopplar först
I Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint behandlar fasen Controls in Action, Step 19: Technological Controls I, loggning, övervakning och klocksynkronisering som en sammanhängande underlagskedja.
A.8.15 – Logging: ”Loggar som registrerar aktiviteter, undantag, fel och andra relevanta händelser
ska skapas, lagras, skyddas och analyseras.”A.8.16 – Monitoring activities: ”Nätverk, system och applikationer ska övervakas för
avvikande beteende och lämpliga åtgärder ska vidtas för att utvärdera potentiella informationssäkerhetsincidenter.”A.8.17 – Clock synchronization: ”Klockorna i de informationsbehandlande system som används av
organisationen ska synkroniseras mot godkända tidskällor.”
Dessa kontroller besvarar tre revisionsfrågor:
| ISO/IEC 27001:2022-kontroll | Revisionsfråga | Underlagstema |
|---|---|---|
| Annex A.8.15 Logging | Vad hände? | Logggenerering, lagring, skydd, bevarande och analys |
| Annex A.8.16 Monitoring activities | Vem uppmärksammade och agerade? | Larmning, granskning, triagering, eskalering och respons |
| Annex A.8.17 Clock synchronization | Kan vi lita på tidslinjen? | Godkända tidskällor, NTP-konfiguration och korrelation av tidsstämplar |
Zenith Controls: The Cross-Compliance Guide Zenith Controls gör sambandet uttryckligt:
”Loggning fungerar som det grundläggande datalagret för övervakning. Kontroll 8.16 är beroende av de loggar som genereras enligt 8.15 för att analysera säkerhetshändelser, detektera avvikelser och identifiera potentiella incidenter. Utan heltäckande loggning blir övervakningssystem ineffektiva.”
Zenith Controls klassificerar ISO/IEC 27002:2022-kontroll 8.15, Logging, som en upptäckande kontroll som stödjer konfidentialitet, riktighet och tillgänglighet. Den mappas till cybersäkerhetskonceptet Detect och hantering av informationssäkerhetshändelser. Den kopplar även Logging till Monitoring activities, Assessment and decision on information security events samt Clock synchronization.
För kontroll 8.16, Monitoring activities, klassificerar Zenith Controls den som upptäckande och korrigerande, mappad till Detect och Respond. Den kopplar övervakning till övervakning av leverantörstjänster och händelsebedömning, vilket är avgörande för moln, SaaS, hanterade tjänster och outsourcade miljöer.
Det praktiska budskapet är enkelt. Loggar ger fakta. Övervakning identifierar avvikelser. Klocksynkronisering gör fakta tillförlitliga över systemgränser. Händelsebedömning omvandlar larm till beslut.
Hur revisionsklart loggningsunderlag faktiskt ser ut
Revisionsklart underlag är inte en mapp med skärmbilder. Det är ett sammanhängande spår som visar kontrolldesign, kontrolldrift och beslutsfattande.
En mogen underlagsfil för loggning och övervakning innehåller normalt följande:
| Underlagspost | Vad den visar | Typisk källa |
|---|---|---|
| Loggnings- och övervakningspolicy | Ledningsgodkända krav på loggning, granskning, bevarande, skydd och eskalering | Clarysecs policybibliotek, ISMS-policyuppsättning |
| Förteckning över systemloggning | Vilka system som producerar vilka loggar och vem som äger dem | CMDB, tillgångsregister, plan för anslutning till SIEM |
| Konfiguration för SIEM eller logginsamlare | Centraliserad insamling, parsning, korrelation och larmning | SIEM-panel, syslog-konfiguration, inställningar för molnrevision |
| Underlag för bevarande | Loggar bevaras enligt policy, rättsliga krav och avtalskrav | Lagringspolicy, SIEM-inställningar för bevarande, arkivinställningar |
| Underlag för integritet | Loggar skyddas mot obehörig ändring eller radering | RBAC, skrivskydd, kryptering, hashverifiering |
| Granskningsprotokoll | Loggar och larm granskas enligt fastställd frekvens | Daglig SOC-rapport, granskningschecklista, ärendekö |
| Eskaleringsregistreringar | Högprioriterade larm eskaleras inom definierade tidsramar | Incidentärende, e-post, beredskapslarmslogg, tidsstämpel i arbetsflöde |
| Incidentkoppling | Larm bedöms och omvandlas till incidenter när tröskelvärden uppfylls | Incidentregister, klassificeringspost, grundorsaksanalys |
| Underlag för klocksynkronisering | Systemklockor är synkroniserade mot godkända tidskällor | NTP-konfiguration, slutpunktspolicy, serverbaslinje |
| Ledningsrapportering | Ledningen får mätetal och riskrelevanta övervakningsresultat | ISMS-rapport, underlag till riskkommitté, styrelsepanel |
Clarysecs Enterprise Loggnings- och övervakningspolicy Loggnings- och övervakningspolicy ramar in detta direkt:
”Denna policy är nödvändig för att stödja ISO/IEC 27001 Clause 8.1 och Annex A Controls 8.15 (Logging), 8.16 (Monitoring) och 8.17 (Clock Synchronization), och är direkt mappad till regulatoriska skyldigheter enligt GDPR, NIS2, DORA och COBIT 2019.”
Från avsnittet ”Syfte”, policyklausul 1.3.
Samma policy fastställer den operativa förväntningen:
”Etablera centraliserade loggnings- och larmsystem (t.ex. SIEM) för att aggregera, korrelera och eskalera misstänkt aktivitet nära realtid.”
Från avsnittet ”Mål”, policyklausul 3.4.
För mindre organisationer översätter Clarysecs SME-version av Loggnings- och övervakningspolicy Loggnings- och övervakningspolicy - SME samma princip till proportionerliga krav:
”IT-supportleverantören ska definiera och följa ett regelbundet schema för logggranskning:”
Från avsnittet ”Styrningskrav”, policyklausul 5.1.1.
Den definierar även bevarande och skydd:
”Loggar ska bevaras i minst 12 månader om inte en längre bevarandetid krävs enligt lag eller avtal, eller är motiverad som del av en aktiv incident eller rättslig tvist.”
Från avsnittet ”Styrningskrav”, policyklausul 5.2.1.
”Loggar ska lagras på skrivskyddade platser och åtkomst ska begränsas till enbart behörig personal.”
Från avsnittet ”Styrningskrav”, policyklausul 5.3.1.
För NIS2 och DORA kan en 12-månaders baslinje för underlag vara skillnaden mellan trovärdig rekonstruktion och misslyckad utredning. För GDPR stödjer den ansvarsskyldighet, samtidigt som uppgiftsminimering, åtkomstkontroll och disciplinerat bevarande fortfarande krävs.
Den saknade länken: händelsebedömning och rapporteringströsklar
Många organisationer samlar in loggar och larmar på avvikelser, men misslyckas vid beslutspunkten.
Var larmet bara en säkerhetshändelse, eller blev det en informationssäkerhetsincident? Var det betydande enligt NIS2? Var det en allvarlig IKT-relaterad incident enligt DORA? Berördes personuppgifter? Krävs bedömning av incidentanmälan enligt GDPR?
Den beslutspunkten mappas till ISO/IEC 27002:2022-kontroll 5.25, Assessment and decision on information security events. Zenith Controls beskriver 5.25 som triageringsfunktionen mellan råa övervakningslarm och formell incidenthantering. Den kopplar 5.25 till planering av incidenthantering, övervakningsaktiviteter, respons på informationssäkerhetsincidenter och loggning. Den mappar även 5.25 till GDPR Articles 33 och 34 för incidentanmälan och riskutvärdering, NIS2-incidentanmälan och klassificeringskriterier samt klassificering av allvarliga IKT-relaterade incidenter enligt DORA.
Clarysecs Incidenthanteringspolicy Incidenthanteringspolicy stödjer denna eskaleringspunkt:
”Om en incident leder till bekräftad eller sannolik exponering av personuppgifter eller andra reglerade data ska juridikfunktionen och dataskyddsombudet (DPO) bedöma tillämpligheten av:”
Från avsnittet ”Krav för genomförande av policyn”, policyklausul 6.4.1.
För SME anger Incidenthanteringspolicy - SME Incidenthanteringspolicy - SME kravet på tekniskt underlag:
”Loggningssystem ska konfigureras för att fånga tillräcklig detaljnivå för att stödja utredning.”
Från avsnittet ”Krav för genomförande av policyn”, policyklausul 6.4.1.
Det är här GDPR Article 33 blir operativ. Frågan är inte bara om personuppgifter åtkommits. Frågan är om loggar, övervakningslarm och incidentposter gör det möjligt för dataskyddsombudet att göra en skyndsam och försvarbar bedömning av personuppgiftsincident.
NIS2 Article 23 och DORA Articles 17 to 23 skapar liknande tryck. Rapporteringsfrister beror på kännedom, klassificering och väsentlighetsbedömning. Organisationen måste kunna visa när larmet genererades, när det granskades, vem som bedömde det, vilket beslut som fattades och när eskalering skedde.
En 60-minuters underlagsövning för utredning av privilegierad inloggning
Ett effektivt sätt att testa underlagsberedskap är att öva på ett verkligt scenario före revision eller incident.
Scenario: ett privilegierat administratörskonto loggar in från ett ovanligt land kl. 02:13 UTC. Fem minuter senare försöker kontot komma åt en exportfunktion för kunddata. Villkorad åtkomst blockerar sessionen och ett larm genereras.
Mål: ta fram ett underlagspaket på 60 minuter som visar detektering, granskning, eskalering, bedömning och stängning.
Steg 1: Bekräfta att händelsen finns i loggar
Använd Loggnings- och övervakningspolicy för att identifiera obligatoriska loggkällor: loggar från identitetsleverantör, molnadministrationsloggar, applikationsloggar, databasloggar, slutpunktsloggar och brandväggsloggar eller loggar för säker åtkomst.
Exportera händelseposten med tidsstämpel, användar-ID, käll-IP, enhet, åtgärd, resultat och korrelations-ID. Om händelsen bara finns i en konsol och inte i SIEM eller logginsamlaren ska detta registreras som en kontrollbrist.
Zenith Blueprint Step 19 rekommenderar att kritiska system vidarebefordrar loggar till SIEM eller central logginsamlare och att bevarande valideras mot policy.
Steg 2: Visa att övervakningen detekterade händelsen
Visa SIEM-larmet, EDR-larmet eller larmet från identitetsskyddet. Ta med regelnamn, allvarlighetsgrad, tidsstämpel, utlösande villkor och aviseringsväg. Om organisationen använder manuell granskning ska den dagliga rapporten och granskarens godkännande visas.
Enterprise-versionen av Loggnings- och övervakningspolicy gör detta till ett rollansvar:
”Granskar dagliga rapporter och säkerställer att avvikelser analyseras, dokumenteras och eskaleras vid behov.”
Från avsnittet ”Roller och ansvar”, policyklausul 4.2.3.
Steg 3: Visa att eskalering skedde inom policykraven
För SME är eskaleringskravet uttryckligt:
”Högprioriterade larm ska eskaleras till VD och integritetssamordnare inom 24 timmar.”
Från avsnittet ”Efterlevnad och tillämpning”, policyklausul 8.1.2.
För större organisationer kan underlag omfatta ett incidentärende, eskaleringspost i Teams eller Slack, beredskapslarmslogg, e-postavisering, överlämningsanteckning från SOC eller post i ärendehanteringssystem.
Steg 4: Klassificera händelsen
Använd händelsebedömningslogiken för 5.25 från Zenith Controls. Dokumentera om larmet är en säkerhetshändelse, informationssäkerhetsincident, personuppgiftsincident, betydande NIS2-incident eller allvarlig IKT-relaterad incident enligt DORA.
Klassificeringsanteckningen bör besvara:
- Lyckades autentiseringen eller blockerades den?
- Användes privilegierad åtkomst?
- Åtkoms, ändrades eller exfiltrerades kunddata?
- Stördes reglerade tjänster?
- Påverkades kritiska IKT-tillgångar?
- Är leverantörer eller personuppgiftsbiträden involverade?
- Uppfyller händelsen interna rapporteringströsklar?
- Krävs avisering till dataskyddsombud, juridikfunktion, tillsynsmyndighet eller kund?
Steg 5: Bygg en betrodd tidslinje
Klocksynkronisering ignoreras ofta tills en utredning misslyckas. Zenith Blueprint Step 19 anger att synkroniserad tid är avgörande för händelsekorrelation eftersom loggar från olika system måste linjera vid incidentanalys.
Inkludera underlag för NTP-konfiguration för identitetsplattformar, molntjänster, servrar, slutpunkter, databaser, brandväggar och SIEM. Normalisera tidsstämplar till UTC där det är möjligt.
Steg 6: Stäng eller eskalera
Om händelsen är begränsad och inga data åtkommits ska stängning, erfarenhetsåterföring och förebyggande åtgärd dokumenteras. Om den blir en incident ska den kopplas till incidentrespons, juridisk granskning och eventuellt rapporteringsarbetsflöde enligt NIS2, DORA eller GDPR.
Skydda slutligen underlaget. Clarysecs Policy för revision och regelefterlevnadsövervakning Policy för revision och regelefterlevnadsövervakning anger:
”Alla revisionsloggar, iakttagelser och åtgärdsrapporter ska bevaras, krypteras och skyddas mot manipulation.”
Från avsnittet ”Efterlevnad och tillämpning”, policyklausul 8.5.1.
Denna enda övning ger underlag för Annex A.8.15, A.8.16, A.8.17, ISO/IEC 27002:2022-kontroll 5.25, ansvarsskyldighet vid personuppgiftsincident enligt GDPR, incidenthantering enligt NIS2 och klassificering av IKT-incident enligt DORA.
Tvärgående efterlevnadskarta för ISO 27001, NIS2, DORA och GDPR
De starkaste programmen för regelefterlevnad bygger inte separata underlagsuppsättningar för varje ramverk. De bygger ett gemensamt underlagssystem som kan betraktas genom flera revisionsperspektiv.
| Underlagsförmåga | ISO/IEC 27001:2022 och ISO/IEC 27002:2022 | NIS2 | DORA | GDPR | Clarysecs implementeringsankare |
|---|---|---|---|---|---|
| Omfattning och ansvarsskyldighet | Clauses 4, 5 och 6 anpassar omfattning, ledarskap, risker, kontroller och mål | Article 20 ledningstillsyn och Article 21 riskhanteringsåtgärder | Articles 5 to 14 IKT-riskhantering och ledningsorganets ansvar | Article 5 ansvarsskyldighet och Article 32 säkerhet i behandlingen | Zenith Blueprint-faser för omfattning, risk och Controls in Action |
| Logggenerering | Annex A.8.15 och ISO/IEC 27002:2022-kontroll 8.15 | Stödjer incidenthantering och bevarande av underlag enligt Article 21 | Stödjer registrering, detektering och analys av IKT-händelser enligt Articles 10 och 17 | Stödjer ansvarsskyldighet och utredning av personuppgiftsincident | Loggnings- och övervakningspolicy, plan för anslutning till SIEM |
| Aktiv övervakning | Annex A.8.16 och händelsegranskning | Stödjer incidenthantering och beredskap för avisering enligt Article 23 | Stödjer detektering, respons och incidenthantering enligt Articles 10, 11 och 17 | Stödjer snabb detektering av personuppgiftsincident och bedömning enligt Article 33 | SOC-rapporter, larmregler, granskningsfrekvens |
| Klocksynkronisering | Annex A.8.17 | Stödjer tillförlitliga incidenttidslinjer | Stödjer konsekvent rekonstruktion av IKT-incidenter | Stödjer försvarbar tidslinje för personuppgiftsincident | Säker baslinje och NTP-underlag |
| Händelsebedömning | ISO/IEC 27002:2022-kontroll 5.25 bedömning av och beslut om händelser | Klassificering av betydande incident | Klassificering av allvarlig IKT-relaterad incident enligt Articles 18 och 19 | Riskutvärdering av personuppgiftsincident enligt Articles 33 och 34 | Incidenthanteringspolicy och klassificeringsmall |
| Leverantörsloggar | Leverantörskontroller inklusive ISO/IEC 27002:2022-kontroll 5.22 övervakning av leverantörstjänster | Article 21 säkerhet i leveranskedjan | Articles 28 to 31 IKT-tredjepartsrisk | Personuppgiftsbiträdets ansvarsskyldighet och säkerhetsunderlag | Leverantörsregister, avtalsklausuler, åtkomst till molnloggar |
| Testning och erfarenhetsåterföring | Prestationsutvärdering och ständig förbättring | Effektivitetsbedömning och cyberhygien | Articles 24 to 27 testning av digital operativ motståndskraft | Ansvarsskyldighet och säkerhetsförbättring | Skrivbordsövningar, larmjustering, internrevision |
NIST Cybersecurity Framework 2.0 kan hjälpa till att operationalisera detta som ett kommunikationslager. Dess sex funktioner, GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND och RECOVER, visar att loggning och övervakning främst hör hemma i DETECT och RESPOND, men är beroende av styrning, tillgångsförståelse och riskprioriteringar.
NIST CSF 2.0-profiler kan också stödja en färdplan för 2026. En Current Profile kan visa dagens loggtäckning och larmmognad. En Target Profile kan definiera nödvändig täckning för reglerade system, privilegierad aktivitet, leverantörsplattformar och miljöer med personuppgifter. Gapet mellan dem blir åtgärdsplanen.
Leverantörs- och molnloggar: underlagsluckan som revisorer allt oftare testar
I moderna revisioner gäller de svåraste loggningsfrågorna ofta outsourcade plattformar.
Kan ni få åtkomst till autentiseringsloggar från er molnleverantör? Loggas administrativa SaaS-åtgärder? Är databasernas revisionsloggar aktiverade i hanterade tjänster? Bevarar er MSSP larm tillräckligt länge? Kräver avtalen incidentsamverkan? Kan leverantörer tillhandahålla loggar snabbt nog för rapporteringsfrister enligt NIS2 eller DORA? Finns personuppgiftsbiträdets loggar tillgängliga för bedömning av personuppgiftsincident enligt GDPR?
Zenith Controls kopplar Monitoring activities, kontroll 8.16, till Monitoring of supplier services, kontroll 5.22. Den mappar också övervakning till ISO/IEC 27005:2024 clause 10.5, som betonar övervakning och granskning av riskbehandlingsplaner och kontroller, samt ISO/IEC 27035-2:2023 clause 7.3, där kontinuerliga övervakningsmekanismer detekterar informationssäkerhetshändelser och utlöser incidenthantering.
DORA gör leverantörsloggning särskilt viktig för finansiella entiteter eftersom hantering av IKT-tredjepartsrisk omfattar leverantörsregister, avtalsarrangemang, underleverantörsrisk, koncentrationsrisk och exitstrategier. NIS2 Article 21 placerar säkerhet i leveranskedjan inom åtgärder för cybersäkerhetsriskhantering. GDPR kan göra leverantörsloggar avgörande när en incident hos ett personuppgiftsbiträde kan bli en anmälningspliktig personuppgiftsincident för den personuppgiftsansvarige.
En praktisk klausul om leverantörsloggning bör kräva:
- Säkerhetsrelevanta revisionsloggar för autentisering, privilegieändringar, administrativa åtgärder, API-åtkomst, dataexport och konfigurationsändringar.
- Loggbevarande anpassat till policy, regulatoriska skyldigheter och avtalsrisk.
- Klocksynkronisering och normalisering av tidszoner.
- Manipulationsskydd och begränsad åtkomst till loggar.
- Incidentsamverkan inom definierade tidsramar.
- Tillhandahållande av underlag för revisioner, utredningar och regulatoriska förfrågningar.
- Aviseringstriggers för misstänkt åtkomst, kompromettering av tjänst eller dataexponering.
- Loggnings- och eskaleringsskyldigheter för underbiträden där det är relevant.
Leverantörsloggning ska hanteras före en incident, inte förhandlas under en.
Hur olika revisorer testar samma loggningskontroll
Ett bra underlagspaket måste hålla för olika professionella perspektiv. En ISO-revisor, NIS2-granskare, DORA-tillsynsfunktion, GDPR-granskare och COBIT 2019- eller ISACA-orienterad revisor kan titta på samma SIEM-panel, men de ställer olika frågor.
| Revisionsperspektiv | Vad revisorn egentligen testar | Underlag som förväntas |
|---|---|---|
| ISO/IEC 27001:2022-certifieringsrevision | Om loggning, övervakning och klocksynkronisering är valda, införda, drivna och granskade genom ISMS | Omfattning, riskbehandling, tillämpbarhetsförklaring, Loggnings- och övervakningspolicy, SIEM-konfiguration, granskningsprotokoll, exempellarm, bevarandeinställningar, NTP-underlag |
| ISO/IEC 27002:2022-kontrollgranskning | Om kontrollerna 8.15, 8.16 och 8.17 är praktiskt införda | Förteckning över loggkällor, skyddad lagring, larmregler, dagliga rapporter, eskaleringsregistreringar, skärmbilder för klocksynkronisering |
| NIS2-beredskapsgranskning | Om detektering och incidenthantering stödjer rapportering av betydande incidenter | Kontrollmappning mot Article 21, rapporteringsarbetsflöde enligt Article 23, incidentklassificeringskriterier, eskaleringstidsstämplar, underlag för ledningstillsyn |
| DORA IKT-riskgranskning | Om IKT-incidenter detekteras, registreras, klassificeras, eskaleras, rapporteras och följs upp med lärande | IKT-riskramverk, incidentregister, klassificering av allvarliga incidenter, rapporteringsarbetsflöde, leverantörsloggunderlag, resultat från motståndskraftsövningar |
| GDPR-ansvarsskyldighetsgranskning | Om bedömning av personuppgiftsincident är skyndsam och försvarbar | Bedömningspost från dataskyddsombud, konsekvensanalys för personuppgifter, beslutslogg enligt Article 33, åtkomstloggar, dataexportloggar, underlag från personuppgiftsbiträde |
| NIST CSF 2.0-bedömning | Om resultat inom DETECT och RESPOND är styrda, riskanpassade och mätbara | Current Profile, Target Profile, gapplan, detekteringstäckning, responsmätetal, ledningsrapportering |
| COBIT 2019- eller ISACA-orienterad revision | Om övervakning styrs som en repeterbar, mätt och ansvarssatt ledningsprocess | RACI, kontrollägarskap, KPI:er, KRI:er, policyefterlevnad, underlagsintegritet, åtgärdsuppföljning, ledningsrapportering |
Zenith Blueprint Step 19 förbereder organisationer för dessa frågor. För Logging fokuserar revisorer på om viktiga säkerhetshändelser loggas och om loggar bevaras, skyddas och är användbara. För Monitoring activities frågar de hur ovanlig eller obehörig aktivitet detekteras, utvärderas och eskaleras. För Clock synchronization kan de jämföra tidsstämplar mellan system och flagga bristande klocksynkronisering.
Step 16: People Controls II, kontroll 6.8, är också viktig eftersom incidentrapporteringsmekanismer kopplar mänsklig rapportering till teknisk detektering. GDPR Article 33, NIS2 Article 23 och DORA:s skyldigheter för incidentrapportering är alla beroende av skyndsam intern eskalering.
Vanliga revisionsiakttagelser och praktiska åtgärder
De flesta iakttagelser om loggning och övervakning är förutsägbara. Problemet är att organisationer ofta upptäcker dem under revisionen i stället för vid intern testning.
| Vanlig iakttagelse | Varför den spelar roll | Praktisk Clarysec-åtgärd |
|---|---|---|
| Kritiska system skickar inte loggar till SIEM | Övervakningstäckningen är ofullständig och incidenttidslinjer blir otillförlitliga | Använd Zenith Blueprint Step 19 för att skapa en förteckning över loggkällor och en plan för anslutning till SIEM |
| Loggar bevaras under inkonsekventa perioder | Regulatoriska utredningar och incidentutredningar kan kräva äldre underlag | Tillämpa baslinjen för bevarande i Loggnings- och övervakningspolicy och dokumentera undantag |
| Inget underlag för daglig eller regelbunden granskning | Loggning finns, men övervakningens drift kan inte visas | Använd godkännande av daglig rapport, ärendegranskning och mätetal för SOC-kö |
| Larm är inte kopplade till incidentärenden | Eskalering och klassificering kan inte visas | Mappa larm till triagering enligt kontroll 5.25 och arbetsflödet för incidentrespons |
| Leverantörsloggar saknas | Incidenter i moln eller outsourcade miljöer kan inte utredas korrekt | Lägg till krav på leverantörsloggning i avtal och granskningar av leverantörsövervakning |
| Tidsdrift mellan system | Händelsekorrelation och forensisk rekonstruktion blir otillförlitliga | Validera NTP-konfiguration och inkludera klocksynkronisering i säkra baslinjer |
| För mycket personuppgifter i loggar | Risker kopplade till GDPR-minimering och åtkomstkontroll ökar | Granska loginnehåll, maskera känsliga fält och begränsa loggåtkomst |
| Ledningen får inte mätetal | Förväntningarna på ledarskap enligt NIS2, DORA och ISO är svaga | Rapportera detekteringstäckning, genomförd granskning, eskalering i tid och öppna brister |
För organisationer med begränsade resurser är SME-policyansatsen realistisk. Den kräver inte ett fullskaligt SOC från dag ett. Den kräver definierade granskningsscheman, 12 månaders bevarande om inte längre tid krävs, skrivskyddad lagring, begränsad åtkomst och eskalering av högprioriterade larm. Det skapar en försvarbar baslinje medan organisationen mognar mot centraliserat SIEM, automatiserad korrelation och hanterad detektering.
Mätetal som gör loggning trovärdig för ledningen
Styrelser och ledande befattningshavare behöver inte råa SIEM-händelser. De behöver riskrelevant säkerhetsförsäkran. Eftersom NIS2 Article 20 och DORA:s styrningskrav lägger ansvar på ledningsorgan bör mätetal för loggning och övervakning ingå i säkerhetsstyrningsrapporteringen.
Användbara mätetal är bland annat:
- Andel kritiska tillgångar som vidarebefordrar loggar till SIEM eller logginsamlare.
- Andel händelser för privilegierad åtkomst som omfattas av larmning.
- Antal högprioriterade larm som granskats inom SLA.
- Genomsnittlig tid från genererat larm till analytikergranskning.
- Genomsnittlig tid från detektering till eskalering.
- Antal händelser som klassificerats enligt incidentresponsprocessen.
- Antal händelser som kräver granskning av dataskyddsombud eller juridikfunktion.
- Efterlevnad av loggbevarande per systemkategori.
- Antal leverantörsplattformar med avtalsreglerad åtkomst till loggar.
- Antal system som inte klarar kontroller av klocksynkronisering.
- Öppna åtgärder för loggning och övervakning per risknivå.
Dessa mätetal stödjer ISO/IEC 27001:2022 clause 6.2 för mätbara informationssäkerhetsmål. De stärker även ledningstillsyn enligt NIS2 och DORA samt ansvarsskyldighet enligt GDPR.
Bygg ert underlagspaket för loggning och övervakning 2026
Ett starkt underlagspaket för 2026 bör vara sammanställt före revision eller incident. Clarysec rekommenderar normalt en strukturerad mapp eller ett GRC-underlagsobjekt med följande avsnitt:
- Styrning och omfattning: ISMS-omfattning, intressenter, regulatorisk tillämplighet, ledningsgodkännande och rolltilldelningar.
- Policy: Loggnings- och övervakningspolicy, Incidenthanteringspolicy, Policy för revision och regelefterlevnadsövervakning, bevarandekrav och eskaleringskrav.
- Risk och SoA: Riskbedömning, riskbehandlingsplan, motivering i tillämpbarhetsförklaring för A.8.15, A.8.16, A.8.17 och relaterade kontroller.
- Arkitektur: diagram över SIEM eller logginsamlare, förteckning över loggkällor, inställningar för molnloggning och beroenden till leverantörsloggar.
- Kontrolldrift: granskningsprotokoll, larm, ärenden, eskaleringsloggar, underlag för stängning och undantag.
- Incidentkoppling: arbetsblad för händelseklassificering, incidentregister, bedömningspost från dataskyddsombud och beslutslogg för rapportering.
- Integritet och bevarande: åtkomstkontroller, kryptering, skrivskydd, arkivinställningar, raderingskontroller och underlag för bevarande.
- Klocksynkronisering: NTP-konfiguration, säker baslinje, övervakning av klockdrift och metod för UTC-normalisering.
- Leverantörsunderlag: avtalsklausuler, leverantörers säkerhetsintyg, tillgänglighet till molnrevisionsloggar och rutiner för incidentsamverkan.
- Förbättring: internrevisionsiakttagelser, åtgärdsuppföljning, resultat från skrivbordsövningar, registreringar av larmjustering och ledningsrapporter.
Syftet är inte att överösa revisorer med volym. Syftet är att visa att loggning och övervakning fungerar som en styrd process från styrning till detektering, bedömning, eskalering, rapportering och förbättring.
Omvandla loggar till försvarbart efterlevnadsunderlag
Marias team löste inte problemet genom att köpa ytterligare en kontrollpanel. De löste det genom att omvandla loggning och övervakning till en underlagsmotor. Policyer definierade kraven. SIEM-regler och molnloggar gav signalerna. Incidentarbetsflöden fångade besluten. Klocksynkronisering gjorde tidslinjen trovärdig. Ledningsrapportering gjorde risken synlig.
Det är den standard organisationer behöver för ISO/IEC 27001:2022, NIS2, DORA och GDPR under 2026.
Börja med ett praktiskt test: ta ett verkligt larm från de senaste 30 dagarna och visa från början till slut hur det loggades, detekterades, granskades, eskalerades, klassificerades, bevarades och rapporterades.
Om svaret inte är tydligt kan Clarysec hjälpa er att stänga gapet.
Använd Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint för att införa Step 19 för loggning, övervakning och klocksynkronisering samt Step 16 för incidentrapporteringsmekanismer. Använd Zenith Controls: The Cross-Compliance Guide Zenith Controls för att mappa Annex A.8.15, A.8.16, A.8.17 och ISO/IEC 27002:2022-kontroll 5.25 över perspektiven NIS2, DORA, GDPR, NIST CSF 2.0 och COBIT 2019.
Operationalisera därefter kraven genom Clarysecs Loggnings- och övervakningspolicy Loggnings- och övervakningspolicy, Loggnings- och övervakningspolicy - SME Loggnings- och övervakningspolicy - SME, Incidenthanteringspolicy Incidenthanteringspolicy, Incidenthanteringspolicy - SME Incidenthanteringspolicy - SME och Policy för revision och regelefterlevnadsövervakning Policy för revision och regelefterlevnadsövervakning.
Loggar är inte underlag förrän de styrs, skyddas, granskas och kopplas till beslut. Organisationer som kan visa den kedjan klarar revisioner snabbare, hanterar incidenter bättre och ger ledningen förtroende när nästa larm kl. 02:17 kommer.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
