NIST CSF 2.0 Govern för små och medelstora företag och ISO 27001
Sarah, nytillträdd CISO på ett snabbväxande fintechbolag i segmentet små och medelstora företag, hade en whiteboard full av ramverk och en tidsfrist som inte gick att flytta. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Leverantörsrisk. Styrelsens ansvar. Leverantörsgranskning från stora företagskunder.
Utlösaren var välbekant: ett kalkylblad från en stor kund inom finansiella tjänster. Upphandling ville ha underlag för en cybersäkerhetsstyrningsmodell, riskaptit, program för leverantörssäkerhet, mappning av rättsliga och regulatoriska skyldigheter, process för incidenteskalering och anpassning till ISO 27001:2022.
VD:n ville inte ha en föreläsning om regelefterlevnad. Hon ville ha ett enkelt svar på en svår fråga: ”Hur visar vi för vår styrelse, våra kunder och våra tillsynsmyndigheter att vi har kontroll över cyberrisken?”
Detta är styrningsproblemet som många små och medelstora företag står inför. Ett kundformulär är sällan bara ett kundformulär. Det är ofta fem efterlevnadsdialoger sammanpressade till en enda förfrågan. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, DORA-drivna leverantörsförväntningar, molnresiliens, styrelsetillsyn och avtalsåtaganden döljer sig alla i samma begäran om underlag.
Många små och medelstora företag svarar genom att skapa separata underlag: ett NIST-kalkylblad, en ISO-certifieringsmapp, en GDPR-tracker, ett riskregister för leverantörer och en incidenthanteringsplan som inte hänger ihop. Sex månader senare vet ingen vilket dokument som är styrande.
Clarysecs arbetssätt är annorlunda. Använd NIST CSF 2.0 Govern-funktionen som ledningens styrningslager och mappa den sedan till ISO 27001:2022-policyer, riskbehandling, tillämpbarhetsförklaringen, leverantörstillsyn, ledningens genomgång och revisionsunderlag. Resultatet är inte mer efterlevnadsarbete. Det är en samlad operativ modell som kan besvara revisorers, kunders, tillsynsmyndigheters och ledningens frågor med samma uppsättning underlag.
Varför NIST CSF 2.0 Govern-funktionen är viktig för små och medelstora företag
NIST CSF 2.0 lyfter styrning till en egen funktion, vid sidan av Identify, Protect, Detect, Respond och Recover. Den förändringen är viktig eftersom de flesta säkerhetsbrister i små och medelstora företag inte orsakas av att ännu ett verktyg saknas. De orsakas av otydligt ansvar, svaga riskbeslut, odokumenterade undantag, inkonsekvent leverantörstillsyn och policyer som har godkänts en gång men aldrig omsatts i praktiken.
NIST CSF 2.0 Govern-funktionen ändrar frågan från ”vilka kontroller har vi?” till ”vem är ansvarig, vilka skyldigheter gäller, hur prioriteras risker och hur följs prestation upp?”
För små och medelstora företag ger Govern-resultaten ett praktiskt mandat:
- Förstå och hantera rättsliga, regulatoriska, avtalsmässiga, integritetsrelaterade och medborgerliga skyldigheter.
- Fastställa riskaptit, tolerans, riskpoängsättning, prioritering och alternativ för riskrespons.
- Definiera cybersäkerhetsroller, ansvar, befogenheter, eskaleringsvägar och resurssättning.
- Fastställa, kommunicera, tillämpa, granska och uppdatera cybersäkerhetspolicyer.
- Granska cybersäkerhetsstrategi, prestation och ledningens ansvar.
- Styra cybersäkerhetsrisker hos leverantörer och tredje parter från leverantörsgranskning till avveckling.
Därför är NIST CSF 2.0 Govern en så stark ingång till ISO 27001:2022. NIST ger ledningen styrningsspråket. ISO 27001:2022 ger det granskningsbara ledningssystemet.
ISO 27001:2022-klausulerna 4 till 10 kräver att organisationer förstår sitt sammanhang, definierar intressenter, fastställer ISMS-omfattning, visar ledarskap, planerar riskbedömning och riskbehandling, styr dokumenterad information, tillämpar kontroller, utvärderar prestation, genomför internrevisioner och ledningens genomgång samt arbetar med ständig förbättring. Bilaga A tillhandahåller därefter referensuppsättningen av kontroller, inklusive policyer, ledningsansvar, rättsliga skyldigheter, integritetsskydd, leverantörsrelationer, molntjänster, incidenthantering och IKT-beredskap för verksamhetskontinuitet.
Clarysecs Enterprise Informationssäkerhetspolicy Informationssäkerhetspolicy anger:
Organisationen ska upprätthålla en formell styrningsmodell för tillsyn över ISMS, anpassad till ISO/IEC 27001-klausulerna 5.1 och 9.3.
Det kravet, från klausul 5.1 i Informationssäkerhetspolicy, är den praktiska bryggan mellan NIST GV-ansvar och ISO 27001:2022:s förväntningar på ledarskap. Styrning är inte en årlig presentation. Det är en formell modell som kopplar samman beslut, policyer, roller, risker, kontroller, underlag och granskning.
Kärnmappningen: NIST CSF 2.0 Govern till ISO 27001:2022-underlag
Det snabbaste sättet att göra NIST CSF 2.0 användbart är att omvandla Govern-resultat till policyägarskap och revisionsunderlag. Tabellen nedan visar den struktur Clarysec använder med små och medelstora företag som förbereder sig för ISO 27001:2022-certifiering, leverantörsgranskning från stora företagskunder, beredskap för NIS2, DORA-baserad kundförsäkran och ansvar enligt GDPR.
| NIST CSF 2.0 Govern-område | Styrningsfråga för små och medelstora företag | Anpassning till ISO 27001:2022 | Clarysec-policyankare | Underlag som revisorer och kunder förväntar sig |
|---|---|---|---|---|
| GV.OC, organisatoriskt sammanhang | Känner vi till våra rättsliga, regulatoriska, avtalsmässiga, integritetsrelaterade och verksamhetsmässiga skyldigheter? | Klausulerna 4.1 till 4.4, Bilaga A 5.31 och 5.34 | Policy för rättslig och regulatorisk efterlevnad | Register över regelefterlevnadskrav, ISMS-omfattning, intressentregister, karta över kundskyldigheter, integritetsregister |
| GV.RM, riskhanteringsstrategi | Hur definierar, poängsätter, prioriterar, accepterar och behandlar vi cyberrisker? | Klausulerna 6.1.1 till 6.1.3, 8.2 och 8.3 | Riskhanteringspolicy | Riskmetodik, riskregister, riskbehandlingsplan, godkännanden från riskägare, SoA-mappning |
| GV.RR, roller och ansvar | Vem äger cybersäkerhetsbeslut, undantag, resurser och rapportering? | Klausulerna 5.1 till 5.3, Bilaga A 5.2 och 5.4 | Policy för styrningsroller och ansvar för små och medelstora företag | RACI, rollbeskrivningar, mötesprotokoll, undantagsgodkännanden, utbildningsregister |
| GV.PO, policy | Är policyer godkända, kommunicerade, tillämpade, granskade och uppdaterade? | Klausulerna 5.2, 7.5 och 9.3, Bilaga A 5.1 | Informationssäkerhetspolicy | Policyregister, godkännandeuppgifter, versionshistorik, medarbetares bekräftelser, protokoll från policygranskning |
| GV.OV, tillsyn | Granskas och justeras cybersäkerhetsstrategi och prestation? | Klausulerna 9.1, 9.2, 9.3, 10.1 och 10.2 | Policy för revision och regelefterlevnadsövervakning | KPI-panel, internrevisionsplan, resultat från ledningens genomgång, korrigerande åtgärder |
| GV.SC, risk i leveranskedjan | Är leverantörer kända, prioriterade, granskade, kontrakterade, övervakade och avvecklade? | Bilaga A 5.19 till 5.23 och 5.30 | Policy för leverantörssäkerhet och tredjepartssäkerhet för små och medelstora företag | Leverantörsförteckning, underlag från leverantörsgranskning, avtalsklausuler, granskningsloggar, exitplaner, incidentkontakter |
Denna mappning är avsiktligt inriktad på underlag först. Den kräver inte att det lilla eller medelstora företaget skapar 40 dokument. Den ställer fem operativa frågor:
- Vilket beslut fattas?
- Vem äger det?
- Vilken policy styr det?
- Vilken ISO 27001:2022-klausul eller kontroll i Bilaga A stödjer det?
- Vilket underlag visar att det har skett?
Policy för styrningsroller och ansvar för små och medelstora företag Policy för styrningsroller och ansvar för små och medelstora företag gör denna spårbarhet uttrycklig:
Alla betydande säkerhetsbeslut, undantag och eskaleringar måste registreras och vara spårbara.
Citatet kommer från klausul 5.5 i Policy för styrningsroller och ansvar för små och medelstora företag. Det omvandlar NIST GV.RR från en styrningsprincip till en granskningsbar operativ regel.
Börja med en CSF Govern-profil, inte ett kontrollkalkylblad
NIST CSF 2.0 Organizational Profiles hjälper organisationer att beskriva aktuella och önskade cybersäkerhetsresultat. För små och medelstora företag är profilen den plats där styrningen blir hanterbar.
En praktisk workshop för Govern-profilen bör besvara fem frågor:
- Vad omfattas: hela företaget, en SaaS-plattform, en reglerad produkt eller en kundmiljö?
- Vilka skyldigheter styr profilen: kundavtal, GDPR, exponering mot NIS2, DORA-drivna kundförväntningar, ISO 27001:2022-certifiering eller investerares leverantörsgranskning?
- Vad styrker befintligt underlag, inte vad personer tror finns?
- Vilket målläge är realistiskt för de kommande 90 dagarna och de kommande 12 månaderna?
- Vilka risker, policyer, leverantörer och SoA-poster måste ändras?
Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint stödjer detta i fasen ISMS Foundation & Leadership, steg 6, ”Documented Information and Building the ISMS Library”. Den rekommenderar att SoA tas fram tidigt och används som ett kontrollbibliotek:
✓ Ytterligare kontroller: Finns det kontroller utanför Bilaga A som ni kan inkludera? ISO 27001 tillåter att andra kontroller läggs till i SoA. Till exempel kanske ni vill inkludera efterlevnad av NIST CSF eller särskilda integritetskontroller från ISO 27701. Generellt är Bilaga A heltäckande, men lägg gärna till unika kontroller som ni planerar
✓ Använd ett kalkylblad (SoA Builder): Ett praktiskt tillvägagångssätt är att förbereda SoA- kalkylbladet nu. Vi har tagit fram en SoA_Builder.xlsx-mall som listar alla kontroller i Bilaga A med kolumner för tillämplighet, genomförandestatus och anteckningar.
För ett litet eller medelstort företag är detta viktigt. Ni behöver inte tvinga in NIST CSF 2.0 i ISO Bilaga A som om de två vore identiska. Ni kan inkludera CSF Govern-resultat som ytterligare styrningskrav i ert SoA-bibliotek, mappa dem till ISO 27001:2022-klausuler och kontroller i Bilaga A och använda dem för att förbättra ledningens genomgång, leverantörsstyrning, riskrapportering och övervakning av efterlevnad.
Bygg ett Govern-underlagsregister
Ett Govern-underlagsregister är det praktiska verktyg som omvandlar ramverk till bevis. Det bör koppla varje NIST-resultat till en ISO-referens, policyägare, underlagspost, granskningsintervall, lucka och åtgärd.
| Fält | Exempelpost |
|---|---|
| CSF-resultat | GV.OC-03 |
| Styrningsfråga | Är rättsliga, regulatoriska, avtalsmässiga, integritetsrelaterade och medborgerliga skyldigheter förstådda och hanterade? |
| ISO 27001:2022-referens | Klausulerna 4.2, 4.3 och 6.1.3, Bilaga A 5.31 och 5.34 |
| Clarysec-policy | Policy för rättslig och regulatorisk efterlevnad |
| Ägare av underlag | Efterlevnadsansvarig |
| Underlag | Register över regelefterlevnadskrav v1.4, karta över kundskyldigheter, GDPR-behandlingsregister |
| Granskningsintervall | Kvartalsvis och när nya marknads-, kund- eller produktförändringar inträffar |
| Lucka | DORA-relaterade kundkrav som förs vidare till leverantörer är inte mappade till leverantörsavtal |
| Åtgärd | Uppdatera mall för leverantörsavtal och SoA-anteckningar |
| Förfallodag | 30 dagar |
Clarysecs Enterprise Policy för rättslig och regulatorisk efterlevnad Policy för rättslig och regulatorisk efterlevnad anger det styrande kravet:
Alla rättsliga och regulatoriska skyldigheter måste mappas till specifika policyer, kontroller och ägare inom ledningssystemet för informationssäkerhet (ISMS).
Detta är klausul 6.2.1 i Policy för rättslig och regulatorisk efterlevnad. För små och medelstora företag lägger Policy för rättslig och regulatorisk efterlevnad för små och medelstora företag Policy för rättslig och regulatorisk efterlevnad för små och medelstora företag till ett praktiskt krav på tvärgående mappning:
Om en reglering gäller flera områden (t.ex. GDPR gäller bevarande, säkerhet och integritet) måste detta tydligt mappas i registret över regelefterlevnadskrav och i utbildningsmaterial.
Citatet kommer från klausul 5.2.2 i Policy för rättslig och regulatorisk efterlevnad för små och medelstora företag. Tillsammans omvandlar dessa klausuler GV.OC-03 till en hanterad, granskningsbar och revisionsklar process.
Koppla riskpoängsättning till riskbehandling och SoA
NIST GV.RM kräver riskmål, riskaptit, risktolerans, standardiserad riskberäkning, responsalternativ och kommunikationsvägar. ISO 27001:2022 operationaliserar detta genom riskbedömning, riskbehandling, godkännande av riskägare, acceptans av kvarstående risk och tillämpbarhetsförklaringen.
Riskhanteringspolicy för små och medelstora företag Riskhanteringspolicy för små och medelstora företag är avsiktligt konkret:
Varje riskpost måste innehålla: beskrivning, sannolikhet, konsekvens, poäng, ägare och riskbehandlingsplan.
Detta kommer från klausul 5.1.2 i Riskhanteringspolicy för små och medelstora företag. Enterprise Riskhanteringspolicy Riskhanteringspolicy förstärker kopplingen till SoA:
En tillämpbarhetsförklaring (SoA) ska återspegla alla behandlingsbeslut och ska uppdateras när kontrolltäckningen ändras.
Det är klausul 5.4 i Riskhanteringspolicy.
Tänk på en verklig risk för ett litet eller medelstort företag: obehörig åtkomst till kunders produktionsdata på grund av inkonsekvent MFA-tillämpning för konton för molnadministration.
En stark Govern-mappning skulle omfatta:
- NIST GV.RM för standardiserad riskdokumentation och prioritering.
- NIST GV.RR för rollägarskap och befogenhet att tillämpa åtkomstkontroll.
- NIST GV.PO för tillämpning och granskning av policyer.
- ISO 27001:2022-klausulerna 6.1.2, 6.1.3, 8.2 och 8.3.
- Kontroller i Bilaga A för åtkomstkontroll, identitetshantering, autentiseringsinformation, loggning, övervakning, konfiguration och molntjänster.
- Underlag såsom en riskregisterpost, export av MFA-konfiguration, undantagsgodkännande, granskning av moln-IAM, beslut från ledningens genomgång och uppdaterad SoA-anteckning.
Zenith Blueprint, fasen Risk Management, steg 13, ”Risk Treatment Planning and Statement of Applicability”, förklarar kopplingen:
✓ Säkerställ anpassning till ert riskregister: varje riskreducerande kontroll som ni skrev in i risk- behandlingsplanen bör motsvara en kontroll i Bilaga A som är markerad som ”tillämplig”. Omvänt gäller att om en kontroll är markerad som tillämplig bör det finnas antingen en risk eller ett krav som driver den.
Detta är skillnaden mellan att säga ”vi använder MFA” och att visa ”vi har en styrd, riskbaserad och ISO 27001:2022-anpassad grund för MFA, med underlag, ägare och granskningsintervall”.
Styr leverantörsrisk utan att överdimensionera programmet
NIST GV.SC är en av de mest användbara delarna av Govern-funktionen för små och medelstora företag eftersom moderna företag i detta segment är starkt beroende av leverantörer: molnleverantörer, betalningsleverantörer, HR-plattformar, helpdesk-system, kodlagringsplattformar, CI/CD-verktyg, övervakningsverktyg och hanterade säkerhetstjänster.
ISO 27001:2022 Bilaga A stödjer detta genom leverantörs- och molnkontroller, inklusive 5.19 Informationssäkerhet i leverantörsrelationer, 5.20 Hantering av informationssäkerhet i leverantörsavtal, 5.21 Hantering av informationssäkerhet i IKT-leveranskedjan, 5.22 Övervakning, granskning och ändringshantering av leverantörstjänster, 5.23 Informationssäkerhet vid användning av molntjänster och 5.30 IKT-beredskap för verksamhetskontinuitet.
Policy för leverantörssäkerhet och tredjepartssäkerhet för små och medelstora företag Policy för leverantörssäkerhet och tredjepartssäkerhet för små och medelstora företag gör underlagskravet tydligt:
Dessa granskningar måste dokumenteras och bevaras tillsammans med leverantörens uppgifter. Uppföljningsåtgärder måste följas upp tydligt.
Detta är klausul 6.3.2 i Policy för leverantörssäkerhet och tredjepartssäkerhet för små och medelstora företag.
En slimmad leverantörsmodell för små och medelstora företag kan använda tre nivåer:
| Leverantörsnivå | Kriterier | Minimiunderlag | Granskningsintervall |
|---|---|---|---|
| Kritisk | Stödjer produktion, kunddata, autentisering, säkerhetsövervakning, betalningsflöden eller reglerad tjänsteleverans | Frågeformulär för leverantörsgranskning, säkerhetsklausuler i avtal, SLA, incidentkontakt, exitplan, riskgranskning | Årligen och vid väsentlig ändring |
| Viktig | Stödjer verksamhetsprocesser eller intern känslig information men inte direkt kritisk tjänsteleverans | Säkerhetssammanfattning, personuppgiftsbiträdesvillkor, åtkomstgranskning, riskacceptans om luckor finns | Var 18:e månad |
| Standard | Lågriskverktyg utan känsliga data eller kritiskt beroende | Godkännande från verksamhetsägare, grundläggande data- och åtkomstkontroll | Vid introduktion och förnyelse |
Denna enkla modell stödjer NIST GV.SC, ISO 27001:2022:s leverantörskontroller, kunders leverantörsgranskning och DORA-drivna avtalsförväntningar från finansiella kunder.
Avveckling av leverantörssamarbete förtjänar särskild uppmärksamhet. NIST GV.SC förväntar sig styrning över hela leverantörslivscykeln, inklusive när relationen upphör. Underlaget bör omfatta återlämning eller radering av data, borttagning av åtkomst, planering av tjänsteövergång, bevarade avtalsuppgifter och granskning av kvarstående risk.
Använd Zenith Controls för tvärgående efterlevnad, inte som en separat kontrolluppsättning
Clarysecs Zenith Controls: The Cross-Compliance Guide Zenith Controls är en vägledning för tvärgående efterlevnad vid mappning av kontrollteman i ISO/IEC 27002:2022 till flera ramverk och revisionsperspektiv. Detta är inte separata ”Zenith-kontroller”. Det är ISO/IEC 27002:2022-kontroller som analyseras i Zenith Controls för användning inom tvärgående efterlevnad.
För NIST CSF 2.0 Govern är tre kontrollområden i ISO/IEC 27002:2022 särskilt viktiga:
| ISO/IEC 27002:2022-kontrollområde i Zenith Controls | Koppling till NIST CSF 2.0 Govern | Praktisk tolkning för små och medelstora företag |
|---|---|---|
| 5.1 Policyer för informationssäkerhet | GV.PO | Policyer måste godkännas, kommuniceras, tillämpas, granskas och uppdateras när hot, teknik, lagkrav eller verksamhetsmål förändras |
| 5.4 Ledningsansvar | GV.RR och GV.OV | Säkerhetsansvar måste tilldelas på ledningsnivå och operativ nivå, med resurser, rapportering och granskning |
| 5.31 Rättsliga, lagstadgade, regulatoriska och avtalsmässiga krav | GV.OC-03 | Skyldigheter måste identifieras, mappas till kontroller och ägare, övervakas för förändring och styrkas med underlag |
Zenith Blueprint, fasen Controls in Action, steg 22, ”Organizational controls”, anger den operativa modellen:
Formalisera styrning av informationssäkerhet
Säkerställ att era informationssäkerhetspolicyer (5.1) är färdigställda, godkända och versionshanterade. Tilldela namngivna ägare för varje policyområde (t.ex. åtkomst, kryptering, säkerhetskopiering) och dokumentera roller och ansvar i hela ISMS (5.2). Granska ansvarsfördelning (5.3) i högriskområden såsom ekonomi, systemadministration och ändringshantering. Ta fram en enkel styrningskarta som visar vem som godkänner, vem som genomför och vem som övervakar säkerhetspolicyn.
Denna styrningskarta är ett av de mest värdefulla underlag ett litet eller medelstort företag kan skapa. Den besvarar NIST GV.RR, ISO 27001:2022:s ledarskapskrav, NIS2:s förväntningar på ledningens ansvar och kundfrågor om vem som äger cyberrisken.
En styrningsmodell för NIS2, DORA, GDPR, NIST och ISO
Govern-funktionen blir som mest värdefull när ett litet eller medelstort företag möter överlappande krav.
NIS2 kräver att berörda väsentliga och viktiga entiteter inför lämpliga och proportionerliga åtgärder för hantering av cybersäkerhetsrisker. Direktivet lägger också ansvar på ledningsorgan att godkänna åtgärder för hantering av cybersäkerhetsrisker, utöva tillsyn över genomförandet och genomgå utbildning. NIST GV.RR stödjer ledningens ansvar. GV.RM stödjer riskbaserade åtgärder. GV.SC stödjer säkerhet i leveranskedjan. GV.PO stödjer policyer. GV.OV stödjer prestationsuppföljning.
NIS2:s incidentstyrning inför även etappvisa rapporteringsförväntningar, inklusive tidig varning inom 24 timmar, incidentanmälan inom 72 timmar och slutrapportering inom en månad för betydande incidenter. Dessa tidslinjer bör återspeglas i incidenthanteringsrutiner, eskaleringsvägar, kommunikationsplaner och ledningsrapportering.
DORA gäller från den 17 januari 2025 för finansiella entiteter i EU, men många små och medelstora företag påverkas genom kundavtal. Finansiella kunder kan föra vidare DORA-krav till IKT-leverantörer, programvaruleverantörer, leverantörer av hanterade tjänster och leverantörer som är beroende av molntjänster. DORA fokuserar på IKT-riskhantering, ledningsorganets ansvar, incidentrapportering, resiliensprovning, IKT-tredjepartsrisk, avtalskrav och tillsyn.
GDPR lägger till ansvar för behandling av personuppgifter. Små och medelstora företag måste förstå om de är personuppgiftsansvariga, personuppgiftsbiträden eller båda, vilka personuppgifter de behandlar, vilka system och leverantörer som berörs, vilken rättslig grund som gäller och vilka incidentscenarier som kan bli personuppgiftsincidenter.
Zenith Blueprint, fasen Risk Management, steg 14, rekommenderar att DORA-, NIS2- och GDPR-krav korsrefereras till kontrolluppsättningen i ISO 27001:2022:
För varje reglering, om tillämplig, kan ni skapa en enkel mappningstabell (t.ex. som en bilaga i en rapport) som listar regleringens centrala säkerhetskrav och motsvarande kontroller/policyer i ert ISMS. Detta är inte obligatoriskt i ISO 27001, men det är en användbar intern övning för att säkerställa att inget fallit mellan stolarna.
En praktisk karta för tvärgående efterlevnad kan se ut så här:
| Styrningskrav | NIST CSF 2.0 Govern | ISO 27001:2022-ankare | Relevans för NIS2, DORA och GDPR | Primärt underlag |
|---|---|---|---|---|
| Ledningens ansvar | GV.RR och GV.OV | Klausulerna 5.1, 5.3 och 9.3, Bilaga A 5.4 | NIS2-tillsyn från ledningsorgan, DORA-ansvar för ledningsorgan | Styrningskarta, RACI, protokoll från ledningens genomgång |
| Rättsliga och avtalsmässiga skyldigheter | GV.OC-03 | Klausulerna 4.2, 4.3 och 6.1.3, Bilaga A 5.31 och 5.34 | GDPR-ansvar, rättslig omfattning enligt NIS2, DORA-krav som förs vidare i avtal | Register över regelefterlevnadskrav, karta över kundskyldigheter, integritetsregister |
| Riskbaserade säkerhetsåtgärder | GV.RM | Klausulerna 6.1.2, 6.1.3, 8.2 och 8.3 | Riskåtgärder enligt NIS2, DORA:s IKT-riskramverk, säkerhet i behandlingen enligt GDPR | Riskregister, riskbehandlingsplan, SoA |
| Leverantörsstyrning | GV.SC | Bilaga A 5.19 till 5.23 och 5.30 | Säkerhet i leveranskedjan enligt NIS2, IKT-tredjepartsrisk enligt DORA, personuppgiftsbiträden enligt GDPR | Leverantörsförteckning, leverantörsgranskning, avtal, granskningsloggar |
| Policystyrning | GV.PO | Klausul 5.2 och Bilaga A 5.1 | Alla ramverk förväntar sig dokumenterade, godkända och kommunicerade regler | Policyregister, versionshistorik, bekräftelser |
| Revision och förbättring | GV.OV | Klausulerna 9.1, 9.2, 9.3, 10.1 och 10.2 | Testning och åtgärdande enligt DORA, effektivitet enligt NIS2, ansvar enligt GDPR | Internrevisionsrapporter, KPI:er, korrigerande åtgärder |
Värdet ligger i effektiviteten. Ett väl fungerande ISO 27001:2022-ISMS, väglett av NIST CSF 2.0 Govern, kan generera återanvändbart underlag för flera ramverk samtidigt.
Revisorns perspektiv: att visa att styrningen är verklig
En policy i en pärm är inte styrning. Revisorer och bedömare letar efter en röd tråd: övergripande policy, definierad process, operativ uppgift, ledningens genomgång och förbättringsåtgärd.
Olika granskare kommer att testa denna tråd på olika sätt.
| Revisorsperspektiv | Vad de fokuserar på | Underlag som fungerar väl |
|---|---|---|
| ISO 27001:2022-revisor | Om styrningen är inbäddad i ISMS, riskbehandlingen är spårbar, SoA-beslut är motiverade och dokumenterad information är styrd | ISMS-omfattning, policyregister, riskregister, SoA, protokoll från ledningens genomgång, internrevisionsrapporter, korrigerande åtgärder |
| NIST CSF 2.0-bedömare | Om aktuella profiler och målprofiler finns, om luckor är prioriterade och om Govern-resultat är kopplade till verksamhetsrisk och tillsyn | CSF-profil, gapanalys, POA&M, uttalande om riskaptit, ledningspanel, målprofil för leverantörer |
| COBIT 2019- eller ISACA-liknande revisor | Om styrningsmål, beslutsrättigheter, prestationsmått, kontrollägarskap och säkerhetsförsäkransaktiviteter är definierade | Styrningskarta, RACI, KPI- och KRI-panel, intyganden från kontrollägare, revisionsplan, ärendeuppföljning |
| GDPR-granskare | Om integritetsskyldigheter är identifierade, behandling är mappad, säkerhetsåtgärder är lämpliga och underlag för ansvar finns | Behandlingsregister, mappning av rättslig grund, DPIA vid behov, process för incidenthantering, personuppgiftsbiträdesvillkor för leverantörer |
| Kundens säkerhetsbedömare | Om det lilla eller medelstora företaget utan onödig fördröjning kan visa operativ säkerhet, leverantörskontroll, incidentberedskap och ledningens ansvar | Underlagspaket, policyer, leverantörsgranskningar, resultat från incidentövning i seminarieform, åtkomstgranskning, återställningstester, säkerhetsfärdplan |
Clarysecs Enterprise Policy för styrningsroller och ansvar Policy för styrningsroller och ansvar anger:
Styrning ska stödja integration med andra discipliner (t.ex. risk, juridik, IT, HR), och ISMS-beslut ska vara spårbara till sin källa (t.ex. revisionsunderlag, granskningsloggar, mötesprotokoll).
Detta är klausul 5.5 i Policy för styrningsroller och ansvar. Den fångar kärnan i tvärgående efterlevnad: styrningsbeslut måste vara spårbara.
Policy för revision och regelefterlevnadsövervakning för små och medelstora företag Policy för revision och regelefterlevnadsövervakning för små och medelstora företag lägger till en kritisk disciplin för underlag:
Metadata (t.ex. vem som samlade in det, när och från vilket system) måste dokumenteras.
Citatet kommer från klausul 6.2.3 i Policy för revision och regelefterlevnadsövervakning för små och medelstora företag. Metadata för underlag är ofta det som skiljer en skärmbildsmapp från underlag av revisionskvalitet.
Enterprise Policy för revision och regelefterlevnadsövervakning Policy för revision och regelefterlevnadsövervakning lägger till kravet på programnivå:
Organisationen ska upprätthålla ett strukturerat program för revision och regelefterlevnadsövervakning som är integrerat i ISMS och omfattar:
Detta är klausul 5.1 i Policy för revision och regelefterlevnadsövervakning. Styrningsimplikationen är direkt: revision är inte ett årligt panikarbete. Den är en del av ISMS-driften.
Vanliga misstag när små och medelstora företag mappar NIST Govern till ISO 27001:2022
Det första misstaget är överdokumentation utan ägarskap. Ett litet eller medelstort företag skriver policyer men tilldelar inte ägare för riskbehandling, leverantörsgranskningar, undantagsgodkännanden eller ledningsrapportering.
Det andra misstaget är att behandla rättsliga skyldigheter som separata från ISMS. NIST GV.OC-03 kräver att skyldigheter förstås och hanteras. ISO 27001:2022 kräver att relevanta krav från intressenter samt rättsliga, regulatoriska och avtalsmässiga skyldigheter beaktas i ISMS.
Det tredje misstaget är svag SoA-motivering. SoA är inte bara en lista över tillämpliga kontroller. Den är beslutsunderlaget för varför kontroller inkluderas, exkluderas eller genomförs.
Det fjärde misstaget är avsaknad av underlag över leverantörslivscykeln. Leverantörsstyrning omfattar introduktion, avtal, övervakning, incidenter, ändringar och avveckling.
Det femte misstaget är att inte uppdatera målprofilen. En CSF-profil bör ändras när verksamheten går in i en ny geografi, tecknar en stor kund, inför en kritisk leverantör, lanserar en reglerad produkt, ändrar molnarkitektur eller drabbas av en incident.
En 30-dagars färdplan för NIST CSF 2.0 Govern för små och medelstora företag
Om ett litet eller medelstort företag behöver komma framåt snabbt, börja med en fokuserad 30-dagarsplan för genomförande.
| Dagar | Aktivitet | Resultat |
|---|---|---|
| 1 till 3 | Definiera CSF Govern-omfattning och samla in befintliga policyer, avtal, riskuppgifter, leverantörslistor och revisionsunderlag | Omfattningsnotering och underlagsförteckning |
| 4 till 7 | Bygg Govern-underlagsregistret för GV.OC, GV.RM, GV.RR, GV.PO, GV.OV och GV.SC | Aktuell profil och initiala luckor |
| 8 till 12 | Mappa skyldigheter till ISO 27001:2022-policyer, kontrollområden i Bilaga A och ägare | Register över regelefterlevnadskrav och karta över policyägarskap |
| 13 till 17 | Uppdatera riskregister och riskbehandlingsplan och anpassa därefter SoA-poster | Riskregister, behandlingsplan, SoA-uppdateringar |
| 18 till 22 | Prioritera leverantörsstyrning, inklusive klassificering av kritiska leverantörer, avtalsluckor och granskningsunderlag | Riskregister för leverantörer och åtgärdsuppföljning |
| 23 till 26 | Förbered underlagspaket för revision med metadata, godkännanden, granskningsloggar och ledningsbeslut | Underlagspaket och revisionsindex |
| 27 till 30 | Genomför ledningens genomgång och godkänn färdplanen för målprofilen | Protokoll från ledningens genomgång, beslut, färdplan |
Denna plan skapar tillräckligt styrningsunderlag för att besvara kvalificerade kund- och revisionsfrågor, samtidigt som grunden byggs för ISO 27001:2022-certifiering, beredskap för NIS2, DORA-baserad kundförsäkran och ansvar enligt GDPR.
Det praktiska resultatet: en styrningsberättelse, många användningar för efterlevnad
När Sarah återvänder till styrelsen har hon inte längre fem frikopplade arbetsströmmar för regelefterlevnad. Hon har en samlad styrningsberättelse.
NIST CSF 2.0 Govern-resultat är mappade till ISO 27001:2022-policyer, ägare, risker, kontroller och underlag. ISMS-omfattningen inkluderar beroenden till kunder, leverantörer, moln, rättsliga krav, regulatoriska krav, integritet och avtal. Riskregistret driver behandlingsbeslut och SoA-tillämplighet. Policyer är godkända, versionshanterade, ägda, kommunicerade och granskade. Leverantörsrisker är nivåindelade, avtalade, övervakade och uppföljda. Behandlingsskyldigheter enligt GDPR, ansvarsförväntningar enligt NIS2 och DORA-krav som kunder för vidare är korsrefererade där det är tillämpligt. Revisionsunderlag omfattar metadata, beslutsunderlag och resultat från ledningens genomgång.
Det är så styrning ser ut när den är operativ.
Nästa steg: bygg ert Govern-underlagspaket för små och medelstora företag med Clarysec
Om ni förbereder er för ISO 27001:2022, svarar på leverantörsgranskning från stora företagskunder, mappar NIST CSF 2.0 Govern-resultat eller försöker anpassa NIS2, DORA och GDPR utan att bygga separata program, börja med styrningslagret.
Clarysec kan hjälpa er att bygga:
- En aktuell NIST CSF 2.0 Govern-profil och en målprofil.
- En ISO 27001:2022-policy- och SoA-mappning.
- Ett tvärgående register över regelefterlevnadskrav med Zenith Controls Zenith Controls.
- En 30-stegs färdplan för ISMS-införande med Zenith Blueprint Zenith Blueprint.
- Policyunderlag anpassat för små och medelstora företag med Clarysecs policyverktygslåda, inklusive Policy för styrningsroller och ansvar för små och medelstora företag Policy för styrningsroller och ansvar för små och medelstora företag, Riskhanteringspolicy för små och medelstora företag Riskhanteringspolicy för små och medelstora företag, Policy för rättslig och regulatorisk efterlevnad för små och medelstora företag Policy för rättslig och regulatorisk efterlevnad för små och medelstora företag, Policy för leverantörssäkerhet och tredjepartssäkerhet för små och medelstora företag Policy för leverantörssäkerhet och tredjepartssäkerhet för små och medelstora företag och Policy för revision och regelefterlevnadsövervakning för små och medelstora företag Policy för revision och regelefterlevnadsövervakning för små och medelstora företag.
Den snabbaste vägen är inte ännu ett kalkylblad. Det är ett styrt, riskbaserat och underlagsklart ISMS som gör att ert lilla eller medelstora företag tryggt kan svara på en fråga:
Kan ni visa att cybersäkerhet hanteras, ägs, granskas och förbättras kontinuerligt?
Med Clarysec blir svaret ja.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
