Bortom återställning: CISO:ns vägledning för att bygga verklig operativ resiliens med ISO 27001:2022
Maria, CISO på ett växande fintechbolag, presenterar riskmått för tredje kvartalet för styrelsen. Presentationsmaterialet är tydligt och visar färre sårbarheter och lyckade nätfiskeövningar. Plötsligt börjar telefonen vibrera ihärdigt. Ett prioriterat larm från SOC-chefen: “Ransomware upptäckt. Sprids lateralt. Centrala banktjänster påverkade.”
Stämningen i rummet går från självsäker till spänd. VD:n ställer den oundvikliga frågan: “Hur snabbt kan vi återställa från säkerhetskopia?”
Maria vet att de har säkerhetskopior. De testar dem varje kvartal. Men när hennes team skyndar sig att växla över till reservdrift dyker ett dussin andra frågor upp. Är återställningsmiljöerna säkra, eller återinfekterar de bara de återställda systemen? Fungerar vår incidentloggning fortfarande på reservplatsen, eller arbetar vi utan insyn? Vem har nödadministratörsbehörighet, och spåras deras åtgärder? I brådskan att få tjänsterna online igen, är någon på väg att skicka känsliga kunduppgifter från ett privat konto?
Detta är det kritiska ögonblick då en traditionell plan för katastrofåterställning inte räcker till och verklig operativ resiliens prövas. Det handlar inte bara om att komma tillbaka; det handlar om att komma tillbaka med bibehållen integritet. Detta är det grundläggande skifte i synsätt som ISO/IEC 27001:2022 kräver: från ren återställning till att upprätthålla ett heltäckande och obrutet säkerhetsläge, även mitt i kaoset.
Den moderna definitionen av resiliens: säkerheten tar aldrig paus
Under många år fokuserade planering för verksamhetskontinuitet i hög grad på återställningstidsmål (RTO) och återställningspunktmål (RPO). Även om dessa mått är nödvändiga berättar de bara en del av historien. De mäter hastighet och dataförlust, men inte säkerhetsläget under själva krisen.
ISO/IEC 27001:2022, särskilt genom kontrollerna i Bilaga A, höjer nivån på diskussionen. Standarden tydliggör att en störning inte är en pausknapp för informationssäkerhet. Tvärtom är det just i krisens kaos som säkerhetskontrollerna är som mest avgörande. Angripare drar nytta av förvirring och utnyttjar just de tillfälliga lösningar och nödrutiner som är avsedda att återställa tjänster.
Resiliens i ISO/IEC 27001:2022 innebär att upprätthålla informationssäkerhet vid störning (kontroll 5.29 i Bilaga A), robust IKT-beredskap för verksamhetskontinuitet (5.30) och tillförlitlig säkerhetskopiering av information (8.13). Målet är att säkerställa att responsen inte skapar nya och farligare sårbarheter. Som beskrivs i Clarysecs Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint: ”revisorer söker överensstämmelse, inte bara med policyn utan med verkligheten.” Det är här många organisationer brister – de planerar för drifttid, men inte för att upprätthålla efterlevnad genom kaoset.
Grunden: varför resiliens börjar med kontext, inte kontroller
Innan du effektivt kan införa specifika resilienskontroller måste du bygga ett stabilt ledningssystem för informationssäkerhet (ISMS). Många organisationer brister här genom att gå direkt till Bilaga A utan att först lägga rätt grund.
Zenith Blueprint betonar att arbetet ska börja med de centrala ISMS-avsnitten, eftersom detta grundarbete utgör resiliensens fundament. Processen börjar med att förstå organisationens unika miljö:
- Avsnitt 4: Organisationens kontext: Förstå organisationens kontext, inklusive interna och externa frågor samt intressenters krav, och definiera ISMS-omfattningen.
- Avsnitt 5: Ledarskap: Säkerställa högsta ledningens åtagande, fastställa en informationssäkerhetspolicy och definiera organisatoriska roller och ansvar.
- Avsnitt 6: Planering: Genomföra grundlig riskbedömning och planering av riskbehandling samt fastställa tydliga informationssäkerhetsmål.
För Marias fintechbolag skulle en grundlig analys enligt Avsnitt 4 ha identifierat regulatoriskt tryck från DORA och NIS2 som centrala externa frågor. En riskbedömning enligt Avsnitt 6 skulle ha modellerat exakt det ransomware-scenario hon nu står inför och belyst risken för komprometterade återställningsmiljöer och otillräcklig loggning under en incident. Utan denna kontext blir varje resiliensplan ett skott i mörkret.
De två pelarna för operativ resiliens i ISO/IEC 27001:2022
Inom ramverket ISO/IEC 27001:2022 framträder två kontroller i Bilaga A som pelarna för operativ resiliens: Säkerhetskopiering av information (8.13) och Informationssäkerhet vid störning (5.29).
Kontroll 8.13: Säkerhetskopiering av information – det nödvändiga skyddsnätet
Detta är kontrollen som alla tror att de redan har på plats. Men en verkligt effektiv strategi för säkerhetskopiering är mer än att bara kopiera filer. Det är en korrigerande kontroll med fokus på riktighet och tillgänglighet, och den är nära sammanlänkad med många andra kontroller.
Attribut: Korrigerande; riktighet, tillgänglighet; återställning; kontinuitet; skydd.
Operativ förmåga: Kontinuitet.
Säkerhetsdomän: Skydd.
Revisorsperspektiv: En revisor nöjer sig inte med ett ”ja” på frågan ”Har ni säkerhetskopior?”. Revisorn kommer att begära loggar som visar att aktuella säkerhetskopior finns, underlag som visar att återställningstester har lyckats och bevis för att medier för säkerhetskopiering har krypterats, lagrats säkert och omfattar alla kritiska tillgångar som definierats i tillgångsförteckningen.
Scenario: Ett system raderas av ransomware eller av ett kritiskt konfigurationsfel. Förmågan att återställa med bibehållen riktighet beror på en mogen strategi för säkerhetskopiering. Revisorer kommer att verifiera att strategin inte står isolerad, utan är kopplad till andra kritiska kontroller:
- 5.9 Förteckning över information och andra tillhörande tillgångar: Du kan inte säkerhetskopiera det du inte vet att du har. En heltäckande tillgångsförteckning är inte förhandlingsbar.
- 8.7 Skydd mot skadlig kod: Säkerhetskopior måste isoleras och skyddas mot just den ransomware de är avsedda att stå emot. Detta omfattar användning av oföränderlig lagring eller offlinekopior.
- 5.31 Rättsliga, lagstadgade, regulatoriska och avtalsmässiga krav: Uppfyller era bevarandescheman för säkerhetskopior och lagringsplatser krav på datalokalitet och avtalsförpliktelser?
- 5.33 Skydd av uppgifter: Uppfyller era säkerhetskopior krav på bevarande och dataskydd för personuppgifter, finansiella register eller andra reglerade data?
Kontroll 5.29: Informationssäkerhet vid störning – integritetens väktare
Detta är kontrollen som skiljer ett kravuppfyllande ISMS från ett resilient ISMS. Den adresserar direkt de kritiska frågor som pressar Maria under krisen: hur upprätthåller vi säkerheten när våra primära verktyg och processer inte är tillgängliga? Kontroll 5.29 kräver att säkerhetsåtgärder är planerade och förblir effektiva under hela en störningshändelse.
Attribut: Förebyggande, korrigerande; skydda, hantera; konfidentialitet, riktighet, tillgänglighet.
Operativ förmåga: Kontinuitet.
Säkerhetsdomän: Skydd, resiliens.
Revisorsperspektiv: Revisorer granskar planer för verksamhetskontinuitet och katastrofåterställning särskilt för att hitta belägg för att säkerhetsaspekter har beaktats. De kontrollerar säkerhetskonfigurationer för alternativa platser, verifierar att loggning och åtkomstkontroller upprätthålls och granskar reservrutiner med fokus på säkerhetssvagheter, inte bara deras förmåga att återställa tjänster.
Scenario: Det primära datacentret är offline och ni flyttar verksamheten till en reservplats. Revisorer förväntar sig underlag – rapporter från platsbesök, konfigurationsfiler och åtkomstloggar – som visar att den sekundära platsen uppfyller era primära säkerhetskrav. Omfattade er akuta övergång till distansarbete slutpunktsskydd och säker åtkomst för alla enheter? Dokumenterade ni beslut om att tillfälligt sänka och därefter återinföra kontroller?
Zenith Blueprint fångar kärnan väl: ”Det avgörande är att säkerheten inte tar paus medan systemen återställs. Kontroller kan ändra form, men målet består: håll information skyddad, även under press.” Denna kontroll tvingar er att planera för krisens stökiga verklighet, och den är tätt sammanvävd med andra kontroller:
- 5.30 IKT-beredskap för verksamhetskontinuitet: Säkerställer att den tekniska återställningsplanen inte förbiser säkerhetsplanen.
- 8.16 Övervakningsaktiviteter: Kräver att ni har ett sätt att behålla insyn även när primära övervakningsverktyg är offline.
- 5.24 Planering och förberedelse för hantering av informationssäkerhetsincidenter: Kris- och kontinuitetsteam måste arbeta parallellt så att förmågan till incidentrespons upprätthålls under störningen.
- 5.28 Insamling av bevismaterial: Säkerställer att ni i brådskan att återställa inte förstör avgörande forensisk bevisning som behövs för utredning och regulatorisk rapportering.
En praktisk vägledning för att införa granskningsbar resiliens
Att omsätta dessa kontroller från teori till praktik kräver tydliga och genomförbara policyer och rutiner. Clarysecs policymallar är utformade för att bädda in dessa principer direkt i ert ISMS. Exempelvis tillhandahåller vår Policy för säkerhetskopiering och återställning Policy för säkerhetskopiering och återställning ett ramverk som går längre än enkla scheman för säkerhetskopiering:
“Policyn tillämpar ISO/IEC 27001:2022-kontroller som rör insamling av bevismaterial (5.28), resiliens vid störning (5.29), operativ återställning (8.13) och radering av information (8.10), och kopplas till bästa praxis från ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, GDPR, DORA och NIS2.”
Detta helhetsperspektiv omvandlar resiliens från ett abstrakt begrepp till en uppsättning granskningsbara operativa uppgifter.
Praktisk checklista: granska er strategi för säkerhetskopiering och resiliens
Använd denna checklista, med stöd av en heltäckande policy, för att förbereda det underlag en revisor kommer att begära.
| Revisionsfråga | Kontrollreferens | Vägledning i Clarysec-policy | Underlag att ta fram |
|---|---|---|---|
| Är omfattningen för säkerhetskopiering anpassad till er BIA och tillgångsförteckning? | 8.13, 5.9 | Policyn kräver att schemat för säkerhetskopiering kopplas till kritikalitetsklassificeringen av informationstillgångar. | Tillgångsförteckning med kritikalitetsklassning; konfiguration för säkerhetskopiering som visar prioriterade system. |
| Genomförs återställningstester regelbundet och dokumenteras resultaten? | 8.13, 9.2 | Policyn definierar en lägsta testfrekvens och kräver att en testrapport tas fram, inklusive mått för återställningstid och kontroller av dataintegritet. | Testplaner och rapporter för återställning från de senaste 12 månaderna; poster över vidtagna korrigerande åtgärder. |
| Hur skyddas säkerhetskopior mot ransomware? | 8.13, 8.7 | Policyn anger krav på oföränderlig lagring, offlinekopior eller isolerade nätverk för säkerhetskopiering, i linje med kontroller för skydd mot skadlig kod. | Nätverksdiagram; konfigurationsuppgifter för lagring av säkerhetskopior; sårbarhetsskanningar av säkerhetskopieringsmiljön. |
| Upprätthålls säkerhetskontroller under en återställningsåtgärd? | 5.29, 8.16 | Policyn hänvisar till behovet av säkra återställningsmiljöer och fortsatt loggning, i linje med organisationens incidenthanteringsplan. | Incidenthanteringsplan; dokumentation av säker isolerad testmiljö för återställningar; loggar från ett nyligen genomfört återställningstest. |
| Är bevarandescheman för säkerhetskopior anpassade till dataskyddslagstiftning? | 8.13, 5.34, 8.10 | Policyn kräver att bevaranderegler för säkerhetskopior följer policyn för datalagring för att undvika obegränsad lagring av personuppgifter och stödja GDPR:s rätt till radering. | Policy för datalagring; konfigurationer för säkerhetskopieringsjobb som visar bevarandetider; rutiner för radering av data från säkerhetskopior. |
Kravet på korsvis regelefterlevnad: koppla resiliens till DORA, NIS2 och mer
För organisationer i kritiska sektorer är resiliens inte bara bästa praxis enligt ISO/IEC 27001:2022; det är ett rättsligt krav. Regelverk som Digital Operational Resilience Act (DORA) och NIS2-direktivet lägger mycket stor vikt vid förmågan att motstå och återhämta sig från IKT-störningar.
Lyckligtvis ger arbetet med ISO/IEC 27001:2022 ett starkt försprång. Clarysecs Zenith Controls: The Cross-Compliance Guide Zenith Controls är utformad för att skapa tydliga korsreferenstabeller som visar denna överensstämmelse för revisorer och tillsynsmyndigheter. Proaktiv dokumentation visar att ni hanterar säkerhet i dess fulla rättsliga sammanhang.
Våra policyer är byggda med detta i åtanke. Policy för dataskydd och integritet Policy för dataskydd och integritet anger exempelvis uttryckligen sin roll i att stärka efterlevnaden av DORA och NIS2 tillsammans med ISO/IEC 27001:2022.
Denna mappningstabell visar hur centrala resilienskontroller uppfyller krav i flera större ramverk.
| Ramverk | Viktiga klausuler/artiklar | Hur resilienskontroller (5.29, 8.13) kopplas | Revisorns förväntningar |
|---|---|---|---|
| GDPR | Art. 32, 34, 5(1)(f), 17(1) | Dataskydd fortsätter även under press; system för säkerhetskopiering måste stödja återställning och rätten till radering; incidentanmälan krävs för sårbarheter som uppstår under kriser. | Granskning av loggar för säkerhetskopiering, återställningstester, underlag för radering av data från säkerhetskopior och incidentloggar under störning. |
| NIS2 | Art. 21(2)(d), 21(2)(f), 21(2)(h), 23 | Operativ resiliens är inte förhandlingsbar; kontroller måste säkerställa verksamhetskontinuitet och giltiga säkerhetskopior; krishantering måste hålla information skyddad. | Granskning av planer för verksamhetskontinuitet, scheman för säkerhetskopiering, underlag som visar att kontroller för säkerhetskopiering fungerar som krävt samt incidenthanteringsrapporter. |
| DORA | Art. 10(1), 11(1), 15(3), 17, 18 | Obligatorisk resiliensprovning krävs, med korsreferenser mellan incidenthantering, återställning från säkerhetskopia och leverantörskontroller för IKT-tjänster. | Revision av resiliensövningar, återställningsloggar för säkerhetskopior, leverantörsklausuler om dataåterställning och incidentrapporter. |
| COBIT 2019 | DSS04.02, DSS04, DSS01, APO12 | Verksamhetskontinuitet och riskhantering måste vara integrerade; förmåga till säkerhetskopiering och återställning styrks genom mått, loggar och cykler för ständig förbättring. | Revision av kontinuitetsgranskningar, prestandamått för säkerhetskopiering, loggar samt poster över åtgärdande och förbättring. |
| NIST SP 800-53 | CP-9, CP-10, MP-5, SI-12 | Lösningar för säkerhetskopiering och incidentrespons är grundläggande återställningskontroller; loggning och återställningstester krävs för att visa förmåga. | Verifiering av återställningsförmåga, säkerhet för säkerhetskopior, hantering av bevarande och incidenthanteringsprocedurer. |
Genom att bygga ert ISMS kring det robusta ramverket ISO/IEC 27001:2022 bygger ni samtidigt en försvarbar position för dessa andra strikta regelverk.
Genom revisorns ögon: så kommer er resiliens att testas
Revisorer är tränade att se förbi policyer och söka bevis för genomförande. När det gäller resiliens vill de se underlag för disciplin under press. En revision av er resiliensförmåga är mångfacetterad, där olika revisorer fokuserar på olika typer av underlag.
| Revisorns perspektiv (ramverk) | Centralt fokusområde | Typer av underlag som begärs |
|---|---|---|
| ISO/IEC 27001:2022 / 19011 | Integrering av säkerhet i planer för verksamhetskontinuitet och katastrofåterställning | Granskning av dokumentation för verksamhetskontinuitet och katastrofåterställning för att bekräfta att säkerhetsaspekter är inbyggda och inte tillagda i efterhand. Verifiering av att alternativa platser har likvärdiga säkerhetskontroller. |
| COBIT 2019 (DSS04) | Ständig förbättring och efterincidentgranskning | Genomgång av efterrapporter från verkliga störningar eller övningar. Fokus ligger på om säkerhetsluckor som identifierades under händelsen dokumenterades och åtgärdades. |
| NIST SP 800-53A (CP-10) | Validering av återställning och återuppbyggnad | Scenariobaserad testning, antingen genom skrivbordsövningar eller praktiska övningar. Revisorer bedömer organisationens förmåga att upprätthålla säkerhetskontroller under återställningsprocessen. |
| ISACA ITAF | Dokumenterad riskacceptans | Dokumentation och granskning av riskacceptanser som gjorts under en störning. Underlag ska finnas i riskregistret eller kontinuitetsplanen, med tydligt behörigt godkännande. |
Vanliga fallgropar: där resiliensplaner ofta fallerar i praktiken
Clarysecs revisionsiakttagelser visar återkommande svagheter som undergräver även välskrivna planer. Undvik dessa vanliga fallgropar:
- Manuella reservrutiner saknar säkerhet. När system går ner återgår anställda till kalkylblad och e-post. Dessa manuella processer saknar ofta den fysiska eller logiska säkerhet som finns i primära system.
- Åtgärd: Integrera fysiskt skydd (låsta skåp, åtkomstloggar) och logiska kontroller (krypterade filer, säkra kommunikationskanaler) i krisprotokollen för manuella tillfälliga lösningar.
- Alternativa platser är inte fullt konfigurerade. Reservdatacentret har servrar och data men kan sakna likvärdiga brandväggsregler, loggningsagenter eller integrationer för åtkomstkontroll.
- Åtgärd: Dokumentera likvärdighet i säkerhetskontroller mellan primära och sekundära platser. Genomför regelbundna tekniska revisioner av reservplatsen och inkludera säkerhetsrepresentanter i alla övningar för övergång till reservdrift.
- Återställningstester är ofullständiga eller ad hoc. Organisationer testar om en server kan återställas, men missar att testa om den återställda applikationen är säker, loggad och fungerar korrekt under belastning.
- Åtgärd: Gör heltäckande återställningstester av säkerhetskopior, inklusive säkerhetsvalidering, till en obligatorisk del av incidentövningar och årliga revisionsgranskningar.
- Dataskydd i säkerhetskopior förbises. Säkerhetskopior kan bli en efterlevnadsskuld genom att innehålla data som skulle ha raderats enligt GDPR:s rätt till radering.
- Åtgärd: Anpassa bevarande- och raderingsrutiner för säkerhetskopior till era dataskyddspolicyer. Säkerställ att det finns en dokumenterad process för att radera specifika data från uppsättningar av säkerhetskopior när detta krävs enligt lag.
Från kravuppfyllnad till resiliens: skapa en kultur för ständig förbättring
Att uppnå resiliens är inte ett engångsprojekt som slutar med certifiering. Det är ett löpande åtagande om förbättring, förankrat i Avsnitt 10 i ISO/IEC 27001:2022. En verkligt resilient organisation lär av varje incident, varje nära-händelse och varje revisionsiakttagelse.
Det kräver att organisationen går längre än reaktiva korrigeringar. Zenith Blueprint rekommenderar att ständig förbättring bäddas in i organisationskulturen genom att etablera kanaler där medarbetare kan föreslå säkerhetsförbättringar, genomföra proaktiva riskbedömningar vid väsentliga förändringar och genomföra rigorösa efterincidentgranskningar för att fånga erfarenheter och omsätta dem i förbättringar.
Kontroll 5.35 (Oberoende granskning av informationssäkerhet) spelar dessutom en central roll. Genom att låta en oberoende part granska ert ISMS får ni ett opartiskt perspektiv som kan upptäcka blinda fläckar som det interna teamet kan missa. Som Zenith Blueprint uttrycker det träffsäkert: ”…det som skiljer ett ISMS som uppfyller kraven från ett verkligt resilient ISMS är detta: viljan att ställa svåra frågor och att lyssna när svaren är obekväma.”
Nästa steg: bygg ett obrutbart ISMS
Marias kris visar en universell sanning: störningar är oundvikliga. Oavsett om det handlar om ransomware, en naturkatastrof eller ett kritiskt leverantörsfel kommer organisationen att prövas. Frågan är inte om, utan hur ni kommer att agera. Kommer ni bara att återställa, eller kommer ni att agera resilient?
Att bygga ett ISMS som upprätthåller integritet under press kräver ett strategiskt helhetsperspektiv. Det börjar med en stabil grund, inför djupt sammanlänkade kontroller och underhålls av en kultur präglad av ständig förbättring. Vänta inte på en verklig störning för att avslöja luckorna i er strategi.
Redo att bygga ett ISMS som inte bara uppfyller kraven, utan är verkligt obrutbart?
- Ladda ner Clarysecs Zenith Blueprint: An Auditor’s 30-Step Roadmap som stöd för ert införande från start till mål.
- Använd våra heltäckande policymallar, såsom Policy för säkerhetskopiering och återställning, för att omsätta standarder i konkreta, granskningsbara åtgärder.
- Använd Zenith Controls: The Cross-Compliance Guide för att säkerställa att era insatser uppfyller de strikta kraven i ISO/IEC 27001:2022, DORA och NIS2.
Kontakta oss i dag för en kostnadsfri resiliensbedömning och låt Clarysecs experter hjälpa er att bygga ett ISMS som fungerar under press.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
