Hopp til innhold
Phishing for trøbbel –
IO Podcasten er tilbake for sesong 2 Hør nå
ISMS.online

Den ultimate veiledningen til ISO 27001

ISO/IEC 27001 er en styringsstandard for informasjonssikkerhet som gir organisasjoner et strukturert rammeverk for å sikre informasjonsressurser og ISMS, som omfatter risikovurdering, risikostyring og kontinuerlig forbedring. I denne artikkelen vil vi utforske hva det er, hvorfor du trenger det, og hvordan du oppnår sertifisering.

Få din gratis guide til førstegangs ISO 27001-sertifisering

Få din gratis guide
Forfatter
Sam Peters
Oppdatert mai 14, 2026
4/5 stjerner

Oppnå robust informasjonssikkerhet med ISO 27001:2022

Plattformen vår gir organisasjonen din mulighet til å tilpasse seg ISO 27001, noe som sikrer omfattende sikkerhetsstyring. Denne internasjonale standarden er viktig for å beskytte sensitive data og forbedre motstandskraften mot cybertrusler. Med over 70,000 27001 sertifikater utstedt globalt, understreker den utbredte bruken av ISO XNUMX dens betydning for å beskytte informasjonsressurser.

Hvorfor ISO 27001 er viktig

Oppnå ISO 27001: 2022-sertifisering legger vekt på en omfattende, risikobasert tilnærming å forbedre informasjonssikkerhetsstyring, som sikrer at organisasjonen din effektivt administrerer og reduserer potensielle trusler, i samsvar med moderne sikkerhetsbehov. Den gir en systematisk metodikk for å administrere sensitiv informasjon, og sikrer at den forblir sikker. Sertifisering kan redusere kostnadene for databrudd med 30 % og er anerkjent i over 150 land, noe som forbedrer internasjonale forretningsmuligheter og konkurransefortrinn.

Hvordan ISO 27001-sertifisering gagner virksomheten din

  1. Oppnå kostnadseffektivitetSpar tid og penger ved å forhindre kostbare sikkerhetsbrudd. Implementer proaktive risikostyring tiltak for å redusere sannsynligheten for hendelser betydelig.
  2. Akselerere salgsvekstEffektiviser salgsprosessen ved å redusere omfattende forespørsler om sikkerhetsdokumentasjon (RFI-er). Vis frem at du overholder internasjonale standarder for informasjonssikkerhet for å forkorte forhandlingstider og avslutte avtaler raskere.
  3. Øk klienttillitenDemonstrer din forpliktelse til informasjonssikkerhet for å styrke kundenes tillit og bygge varig tillit. Øk kundelojaliteten og beholde kunder i sektorer som finans, helsevesen og IT-tjenester.

 

Omfattende veiledning om hvordan du implementerer ISO 27001:2022-sertifisering

Standardens struktur inkluderer et omfattende rammeverk for informasjonssikkerhetsstyringssystem (ISMS) og en detaljert implementeringsveiledning for ISO 27001 som integrerer risikostyringsprosesser og kontroller i tillegg A. Disse komponentene skaper en helhetlig sikkerhetsstrategi som tar for seg ulike aspekter ved sikkerhet (ISO 27001:2022 klausul 4.2). Denne tilnærmingen forbedrer ikke bare sikkerheten, men fremmer også en kultur av bevissthet og samsvar i organisasjonen.

Effektivisering av sertifisering med ISMS.online

ISMS.online spiller en avgjørende rolle for å tilrettelegge for tilpasning ved å tilby verktøy som effektiviserer sertifiseringsprosessen. Vår plattform gir automatiserte risikovurderinger og sanntidsovervåking, noe som forenkler implementeringen av ISO 27001:2022-kravene. Dette reduserer ikke bare manuell innsats, men øker også effektiviteten og nøyaktigheten når det gjelder å opprettholde justeringen.

Bli med 25000 + brukere som oppnår ISO 27001 med ISMS.online. Bestill din gratis demo i dag!

Forstå ISO 27001:2022

ISO 27001 er en sentral standard for å forbedre et Information Security Management System (ISMS), som tilbyr et strukturert rammeverk for å beskytte sensitive data. Dette rammeverket integrerer omfattende risikoevalueringsprosesser og vedlegg A-kontroller, og danner en robust sikkerhetsstrategi. Organisasjoner kan effektivt identifisere, analysere og adressere sårbarheter, og forbedre deres generelle sikkerhetsposisjon.

Nøkkelelementer i ISO 27001:2022

  • ISMS-rammeverk: Denne grunnleggende komponenten etablerer systematiske retningslinjer og prosedyrer for å administrere informasjonssikkerhet (ISO 27001:2022 klausul 4.2). Den justerer organisatoriske mål med sikkerhetsprotokoller, og fremmer en kultur for samsvar og bevissthet.
  • Risikovurdering: Sentralt i ISO 27001, denne prosessen innebærer å gjennomføre grundige vurderinger for å identifisere potensielle trusler. Det er avgjørende for å implementere passende sikkerhetstiltak og sikre kontinuerlig overvåking og forbedring.
  • ISO 27001 kontroller: ISO 27001:2022 skisserer et omfattende sett med ISO 27001 kontroller innenfor vedlegg A, utformet for å ta opp ulike aspekter ved informasjonssikkerhet. Disse kontrollene inkluderer tiltak for adgangskontroll, kryptografi, fysisk sikkerhetog hendelsesadministrasjonblant annet. Implementering av disse kontrollene sikrer ditt styringssystem for informasjonssikkerhet (ISMS) reduserer risiko effektivt og sikrer sensitiv informasjon.

ISO 27001 krav og struktur

Tilpasse internasjonale standarder

ISO 27001:2022 er utviklet i samarbeid med Den internasjonale elektrotekniske kommisjon (IEC), som sikrer at standarden er i tråd med globale beste praksis innen informasjonssikkerhet. Dette partnerskapet øker troverdigheten og anvendeligheten til ISO 27001 på tvers av ulike bransjer og regioner.

Hvordan ISO 27001 integreres med andre standarder

ISO 27001:2022 integreres sømløst med andre standarder som ISO 9001 for kvalitetsstyring, ISO 27002 for anbefaling for informasjonssikkerhetskontroller og forskrifter som GDPR, forbedre overholdelse og operasjonell effektivitet. Denne integrasjonen gjør det mulig for organisasjoner å strømlinjeforme regulatorisk innsats og tilpasse sikkerhetspraksis med bredere forretningsmål. Innledende forberedelse innebærer en gapanalyse for å identifisere områder som trenger forbedring, etterfulgt av en risikoevaluering for å vurdere potensielle trusler. Implementering av vedlegg A kontroller sikrer at omfattende sikkerhetstiltak er på plass. Finalen revisjonsprosess, inkludert trinn 1 og trinn 2 revisjoner, verifiserer samsvar og beredskap for sertifisering.

Hvorfor er ISO 27001:2022 viktig for organisasjoner?

ISO 27001 spiller en viktig rolle i å styrke organisasjonens databeskyttelse strategier. Det gir et omfattende rammeverk for håndtering av sensitiv informasjon, i samsvar med moderne cybersikkerhetskrav gjennom en risikobasert tilnærming. Denne justeringen styrker ikke bare forsvar, men sikrer også overholdelse av forskrifter som GDPR, og reduserer potensielle juridiske risikoer (ISO 27001:2022 klausul 6.1).

ISO 27001:2022 Integrasjon med andre standarder

ISO 27001 er en del av den bredere ISO-familien av styringssystemstandarder. Dette gjør at den kan integreres sømløst med andre standarder, for eksempel:

Denne integrerte tilnærmingen hjelper organisasjonen din med å opprettholde robuste driftsstandarder, strømlinjeforme sertifiseringsprosessen og forbedre overholdelse.

Hvordan forbedrer ISO 27001:2022 risikostyring?

  • Strukturert risikostyring: Standarden legger vekt på systematisk identifisering, vurdering og redusering av risikoer, og fremmer en proaktiv sikkerhetsstilling.
  • Reduksjon av hendelser: Organisasjoner opplever færre brudd på grunn av de robuste kontrollene som er skissert i vedlegg A.
  • Operasjonell effektivitet: Strømlinjeformede prosesser øker effektiviteten og reduserer sannsynligheten for kostbare hendelser.

Strukturert risikostyring med ISO 27001:2022

ISO 27001 krever at organisasjoner har en omfattende, systematisk tilnærming til risikostyring. Dette inkluderer:

  • Risikoidentifikasjon og -vurdering: Identifiser potensielle trusler mot sensitive data og evaluer alvorlighetsgraden og sannsynligheten for disse risikoene (ISO 27001:2022 klausul 6.1).
  • Risikobehandling: Velg passende behandlingsalternativer, for eksempel å redusere, overføre, unngå eller akseptere risikoer. Med tillegg av nye alternativer som utnyttelse og forbedring, kan organisasjoner ta kalkulerte risikoer for å utnytte muligheter.

Hvert av disse trinnene må gjennomgås regelmessig for å sikre at risikolandskapet kontinuerlig overvåkes og reduseres etter behov.

 

Hva er fordelene for tillit og omdømme?

Sertifisering betyr en forpliktelse til databeskyttelse, som styrker bedriftens omdømme og kundenes tillit. Sertifiserte organisasjoner ser ofte en økning på 20 % i kundetilfredshet, ettersom kunder setter pris på forsikringen om sikker datahåndtering.

Hvordan ISO 27001-sertifisering påvirker kundens tillit og salg

  1. Økt kundetillit: Når potensielle kunder ser at organisasjonen din er ISO 27001-sertifisert, øker det automatisk deres tillit til din evne til å beskytte sensitiv informasjon. Denne tilliten er avgjørende for sektorer der datasikkerhet er en avgjørende faktor, for eksempel helsevesen, finans og offentlige kontrakter.
  2. Raskere salgssykluser: ISO 27001-sertifisering reduserer tiden brukt på å svare på sikkerhetsspørreskjemaer under anskaffelsesprosessen. Potensielle kunder vil se sertifiseringen din som en garanti for høye sikkerhetsstandarder, noe som fremskynder beslutningsprosessen.
  3. Konkurransefordel: ISO 27001-sertifisering posisjonerer bedriften din som en leder innen informasjonssikkerhet, og gir deg en fordel i forhold til konkurrenter som kanskje ikke har denne sertifiseringen.

Hvordan gir ISO 27001:2022 konkurransefordeler?

ISO 27001 åpner internasjonale forretningsmuligheter, anerkjent i over 150 land. Den dyrker en kultur preget av sikkerhetsbevissthet, påvirker organisasjonskulturen positivt og oppmuntrer til kontinuerlig forbedring og robusthet, noe som er avgjørende for å trives i dagens digitale miljø.

Hvordan kan ISO 27001 støtte regelmessig overholdelse?

Å tilpasse seg ISO 27001 hjelper deg med å navigere i komplekse regulatoriske landskap, og sikrer overholdelse av ulike juridiske krav. Denne tilpasningen reduserer potensielle juridiske forpliktelser og forbedrer den generelle styringen.

Å innlemme ISO 27001:2022 i organisasjonen styrker ikke bare rammeverket for databeskyttelse, men bygger også et grunnlag for bærekraftig vekst og tillit i det globale markedet.

Forbedre risikostyring med ISO 27001:2022

ISO 27001:2022 tilbyr et robust rammeverk for håndtering av informasjonssikkerhetsrisikoer, som er avgjørende for å beskytte organisasjonens sensitive data. Denne standarden vektlegger en systematisk tilnærming til risikovurdering, og sikrer at potensielle trusler identifiseres, vurderes og reduseres effektivt.

Hvordan strukturerer ISO 27001 risikostyring?

ISO 27001:2022 integrerer risikoevaluering i Informasjonssikkerhetsstyringssystem (ISMS), som involverer:

  • Risk Assessment: Gjennomføre grundige evalueringer for å identifisere og analysere potensielle trusler og sårbarheter (ISO 27001:2022 klausul 6.1).
  • Risikobehandling: Implementere strategier for å redusere identifiserte risikoer, ved å bruke kontroller skissert i vedlegg A for å redusere sårbarheter og trusler.
  • Kontinuerlig overvåking: Regelmessig gjennomgang og oppdatering av praksis for å tilpasse seg nye trusler og opprettholde sikkerhetseffektivitet.

Hvilke teknikker og strategier er nøkkelen?

Effektiv risikostyring under ISO 27001:2022 innebærer:

  • Risikovurdering og analyse: Bruke metoder som SWOT-analyse og trusselmodellering for å evaluere risikoer omfattende.
  • Risikobehandling og reduksjon: Bruke kontroller fra vedlegg A for å håndtere spesifikke risikoer, og sikre en proaktiv tilnærming til sikkerhet.
  • Kontinuerlig Forbedring: Fremme en sikkerhetsfokusert kultur som oppmuntrer til kontinuerlig evaluering og forbedring av risikostyringspraksis.

 

Hvordan kan rammeverket skreddersys til din organisasjon?

Rammeverket i ISO 27001:2022 kan tilpasses organisasjonens spesifikke behov, slik at sikkerhetstiltakene er i samsvar med forretningsmål og regulatoriske krav. Ved å fremme en kultur med proaktiv risikostyring opplever organisasjoner med ISO 27001-sertifisering færre sikkerhetsbrudd og forbedret motstandskraft mot cybertrusler. Denne tilnærmingen beskytter ikke bare dataene dine, men bygger også tillit hos interessenter, noe som forbedrer organisasjonens omdømme og konkurransefortrinn.

Viktige endringer i ISO 27001:2022

ISO 27001:2022 introduserer sentrale oppdateringer, som styrker dens rolle i moderne cybersikkerhet. De viktigste endringene ligger i vedlegg A, som nå inkluderer avanserte tiltak for digital sikkerhet og proaktiv trusselhåndtering. Disse revisjonene tar for seg utviklingen av sikkerhetsutfordringer, spesielt den økende avhengigheten av digitale plattformer.

Viktige forskjeller mellom ISO 27001:2022 og tidligere versjoner

Forskjellene mellom 2013- og 2022-versjonene av ISO 27001 er avgjørende for å forstå den oppdaterte standarden. Selv om det ikke er noen omfattende overhalinger, sikrer forbedringene i vedlegg A-kontroller og andre områder at standarden forblir relevant for moderne cybersikkerhetsutfordringer. Viktige endringer inkluderer:

  • Restrukturering av vedlegg A-kontroller: Vedlegg A-kontroller er komprimert fra 114 til 93, hvor noen er slått sammen, revidert eller nylig lagt til. Disse endringene gjenspeiler det nåværende cybersikkerhetsmiljøet, noe som gjør kontrollene mer strømlinjeformede og fokuserte.
  • Nye fokusområder: De 11 nye kontrollene introdusert i ISO 27001:2022 inkluderer områder som trusselintelligens, fysisk sikkerhetsovervåking, sikker koding og skytjenestesikkerhet, som adresserer økningen av digitale trusler og den økte avhengigheten av skybaserte løsninger.

Forstå vedlegg A-kontroller

  • Forbedrede sikkerhetsprotokoller: Vedlegg A inneholder nå 93 kontroller, med nye tillegg som fokuserer på digital sikkerhet og proaktiv trusselhåndtering. Disse kontrollene er utformet for å redusere nye risikoer og sikre robust beskyttelse av informasjonsressurser.
  • Digitalt sikkerhetsfokus: Ettersom digitale plattformer blir en integrert del av driften, legger ISO 27001:2022 vekt på å sikre digitale miljøer, sikre dataintegritet og sikre mot uautorisert tilgang.
  • Proaktiv trusselhåndtering: Nye kontroller gjør det mulig for organisasjoner å forutse og svare på potensielle sikkerhetshendelser mer effektivt, noe som styrker deres generelle sikkerhetsstilling.

Detaljert fordeling av vedlegg A-kontroller i ISO 27001:2022

ISO 27001:2022 introduserer et revidert sett med vedlegg A-kontroller, redusere totalen fra 114 til 93 og restrukturere dem i fire hovedgrupper. Her er en oversikt over kontrollkategoriene:

Kontrollgruppe Antall kontroller Eksempler
Organisasjons 37 Trusseletterretning, IKT-beredskap, retningslinjer for informasjonssikkerhet
Ansatte 8 Ansvar for sikkerhet, screening
Fysisk 14 Fysisk sikkerhetsovervåking, utstyrsbeskyttelse
teknologisk 34 Nettfiltrering, sikker koding, forebygging av datalekkasje

Nye kontroller
ISO 27001:2022 introduserer 11 nye kontroller fokusert på nye teknologier og utfordringer, inkludert:

  • Skytjenester: Sikkerhetstiltak for skyinfrastruktur.
  • Trusselintelligens: Proaktiv identifisering av sikkerhetstrusler.
  • IKT-beredskap: Forretningskontinuitetsforberedelser for IKT-systemer.

Ved å implementere disse kontrollene sikrer organisasjoner at de er rustet til å håndtere moderne informasjonssikkerhetsutfordringer.

iso 27002 nye kontroller

Full tabell over ISO 27001-kontroller

Nedenfor er en fullstendig liste over ISO 27001:2022 kontroller

ISO 27001:2022 Organisasjonskontroller
Vedlegg A Kontrolltype ISO/IEC 27001:2022 Vedlegg A Identifikator ISO/IEC 27001:2013 Vedlegg A Identifikator Vedlegg A Navn
Organisasjonskontroller Vedlegg A 5.1 Vedlegg A 5.1.1
Vedlegg A 5.1.2 		Retningslinjer for informasjonssikkerhet
Organisasjonskontroller Vedlegg A 5.2 Vedlegg A 6.1.1 Informasjonssikkerhetsroller og ansvar
Organisasjonskontroller Vedlegg A 5.3 Vedlegg A 6.1.2 Ansvarsfordeling
Organisasjonskontroller Vedlegg A 5.4 Vedlegg A 7.2.1 Ledelsesansvar
Organisasjonskontroller Vedlegg A 5.5 Vedlegg A 6.1.3 Kontakt med myndighetene
Organisasjonskontroller Vedlegg A 5.6 Vedlegg A 6.1.4 Kontakt med spesielle interessegrupper
Organisasjonskontroller Vedlegg A 5.7 NEW Threat Intelligence
Organisasjonskontroller Vedlegg A 5.8 Vedlegg A 6.1.5
Vedlegg A 14.1.1 		Informasjonssikkerhet i prosjektledelse
Organisasjonskontroller Vedlegg A 5.9 Vedlegg A 8.1.1
Vedlegg A 8.1.2 		Inventar over informasjon og andre tilknyttede eiendeler
Organisasjonskontroller Vedlegg A 5.10 Vedlegg A 8.1.3
Vedlegg A 8.2.3 		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
Organisasjonskontroller Vedlegg A 5.11 Vedlegg A 8.1.4 Retur av eiendeler
Organisasjonskontroller Vedlegg A 5.12 Vedlegg A 8.2.1 Klassifisering av informasjon
Organisasjonskontroller Vedlegg A 5.13 Vedlegg A 8.2.2 Merking av informasjon
Organisasjonskontroller Vedlegg A 5.14 Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3 		Informasjonsoverføring
Organisasjonskontroller Vedlegg A 5.15 Vedlegg A 9.1.1
Vedlegg A 9.1.2 		Access Control
Organisasjonskontroller Vedlegg A 5.16 Vedlegg A 9.2.1 Identitetshåndtering
Organisasjonskontroller Vedlegg A 5.17 Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3 		Autentiseringsinformasjon
Organisasjonskontroller Vedlegg A 5.18 Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6 		Tilgangsrettigheter
Organisasjonskontroller Vedlegg A 5.19 Vedlegg A 15.1.1 Informasjonssikkerhet i leverandørforhold
Organisasjonskontroller Vedlegg A 5.20 Vedlegg A 15.1.2 Adressering av informasjonssikkerhet innenfor leverandøravtaler
Organisasjonskontroller Vedlegg A 5.21 Vedlegg A 15.1.3 Håndtere informasjonssikkerhet i IKT-leverandørkjeden
Organisasjonskontroller Vedlegg A 5.22 Vedlegg A 15.2.1
Vedlegg A 15.2.2 		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
Organisasjonskontroller Vedlegg A 5.23 NEW Informasjonssikkerhet for bruk av skytjenester
Organisasjonskontroller Vedlegg A 5.24 Vedlegg A 16.1.1 Informasjonssikkerhetshendelsesplanlegging og -forberedelse
Organisasjonskontroller Vedlegg A 5.25 Vedlegg A 16.1.4 Vurdering og beslutning om informasjonssikkerhetshendelser
Organisasjonskontroller Vedlegg A 5.26 Vedlegg A 16.1.5 Respons på informasjonssikkerhetshendelser
Organisasjonskontroller Vedlegg A 5.27 Vedlegg A 16.1.6 Lær av informasjonssikkerhetshendelser
Organisasjonskontroller Vedlegg A 5.28 Vedlegg A 16.1.7 Samling av bevis
Organisasjonskontroller Vedlegg A 5.29 Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3 		Informasjonssikkerhet under avbrudd
Organisasjonskontroller Vedlegg A 5.30 NEW IKT-beredskap for forretningskontinuitet
Organisasjonskontroller Vedlegg A 5.31 Vedlegg A 18.1.1
Vedlegg A 18.1.5 		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
Organisasjonskontroller Vedlegg A 5.32 Vedlegg A 18.1.2 Immaterielle rettigheter
Organisasjonskontroller Vedlegg A 5.33 Vedlegg A 18.1.3 Beskyttelse av poster
Organisasjonskontroller Vedlegg A 5.34 Vedlegg A 18.1.4 Personvern og beskyttelse av PII
Organisasjonskontroller Vedlegg A 5.35 Vedlegg A 18.2.1 Uavhengig gjennomgang av informasjonssikkerhet
Organisasjonskontroller Vedlegg A 5.36 Vedlegg A 18.2.2
Vedlegg A 18.2.3 		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
Organisasjonskontroller Vedlegg A 5.37 Vedlegg A 12.1.1 Dokumenterte driftsprosedyrer
ISO 27001:2022 Personkontroller
Vedlegg A Kontrolltype ISO/IEC 27001:2022 Vedlegg A Identifikator ISO/IEC 27001:2013 Vedlegg A Identifikator Vedlegg A Navn
Personkontroller Vedlegg A 6.1 Vedlegg A 7.1.1 Screening
Personkontroller Vedlegg A 6.2 Vedlegg A 7.1.2 Vilkår og betingelser for ansettelse
Personkontroller Vedlegg A 6.3 Vedlegg A 7.2.2 Informasjonssikkerhetsbevissthet, utdanning og opplæring
Personkontroller Vedlegg A 6.4 Vedlegg A 7.2.3 Disiplinær prosess
Personkontroller Vedlegg A 6.5 Vedlegg A 7.3.1 Ansvar etter oppsigelse eller endring av ansettelse
Personkontroller Vedlegg A 6.6 Vedlegg A 13.2.4 Konfidensialitet eller taushetserklæring
Personkontroller Vedlegg A 6.7 Vedlegg A 6.2.2 Fjernarbeid
Personkontroller Vedlegg A 6.8 Vedlegg A 16.1.2
Vedlegg A 16.1.3 		Informasjonssikkerhet hendelsesrapportering
ISO 27001:2022 Fysiske kontroller
Vedlegg A Kontrolltype ISO/IEC 27001:2022 Vedlegg A Identifikator ISO/IEC 27001:2013 Vedlegg A Identifikator Vedlegg A Navn
Fysiske kontroller Vedlegg A 7.1 Vedlegg A 11.1.1 Fysiske sikkerhetsomkretser
Fysiske kontroller Vedlegg A 7.2 Vedlegg A 11.1.2
Vedlegg A 11.1.6 		Fysisk inngang
Fysiske kontroller Vedlegg A 7.3 Vedlegg A 11.1.3 Sikring av kontorer, rom og fasiliteter
Fysiske kontroller Vedlegg A 7.4 NEW Fysisk sikkerhetsovervåking
Fysiske kontroller Vedlegg A 7.5 Vedlegg A 11.1.4 Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontroller Vedlegg A 7.6 Vedlegg A 11.1.5 Arbeid i sikre områder
Fysiske kontroller Vedlegg A 7.7 Vedlegg A 11.2.9 Clear Desk og Clear Screen
Fysiske kontroller Vedlegg A 7.8 Vedlegg A 11.2.1 Utstyrsplassering og beskyttelse
Fysiske kontroller Vedlegg A 7.9 Vedlegg A 11.2.6 Sikkerhet for eiendeler utenfor lokaler
Fysiske kontroller Vedlegg A 7.10 Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5 		Lagringsmedium
Fysiske kontroller Vedlegg A 7.11 Vedlegg A 11.2.2 Støtteverktøy
Fysiske kontroller Vedlegg A 7.12 Vedlegg A 11.2.3 Kablingssikkerhet
Fysiske kontroller Vedlegg A 7.13 Vedlegg A 11.2.4 Vedlikehold av utstyr
Fysiske kontroller Vedlegg A 7.14 Vedlegg A 11.2.7 Sikker avhending eller gjenbruk av utstyr
ISO 27001:2022 teknologiske kontroller
Vedlegg A Kontrolltype ISO/IEC 27001:2022 Vedlegg A Identifikator ISO/IEC 27001:2013 Vedlegg A Identifikator Vedlegg A Navn
Teknologiske kontroller Vedlegg A 8.1 Vedlegg A 6.2.1
Vedlegg A 11.2.8 		Bruker endepunktenheter
Teknologiske kontroller Vedlegg A 8.2 Vedlegg A 9.2.3 Privilegerte tilgangsrettigheter
Teknologiske kontroller Vedlegg A 8.3 Vedlegg A 9.4.1 Begrensning for informasjonstilgang
Teknologiske kontroller Vedlegg A 8.4 Vedlegg A 9.4.5 Tilgang til kildekode
Teknologiske kontroller Vedlegg A 8.5 Vedlegg A 9.4.2 Sikker godkjenning
Teknologiske kontroller Vedlegg A 8.6 Vedlegg A 12.1.3 Kapasitetsstyring
Teknologiske kontroller Vedlegg A 8.7 Vedlegg A 12.2.1 Beskyttelse mot skadelig programvare
Teknologiske kontroller Vedlegg A 8.8 Vedlegg A 12.6.1
Vedlegg A 18.2.3 		Håndtering av tekniske sårbarheter
Teknologiske kontroller Vedlegg A 8.9 NEW Configuration Management
Teknologiske kontroller Vedlegg A 8.10 NEW Sletting av informasjon
Teknologiske kontroller Vedlegg A 8.11 NEW Datamaskering
Teknologiske kontroller Vedlegg A 8.12 NEW Forebygging av datalekkasje
Teknologiske kontroller Vedlegg A 8.13 Vedlegg A 12.3.1 Sikkerhetskopiering av informasjon
Teknologiske kontroller Vedlegg A 8.14 Vedlegg A 17.2.1 Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontroller Vedlegg A 8.15 Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3 		Logging
Teknologiske kontroller Vedlegg A 8.16 NEW Overvåkingsaktiviteter
Teknologiske kontroller Vedlegg A 8.17 Vedlegg A 12.4.4 Klokke synkronisering
Teknologiske kontroller Vedlegg A 8.18 Vedlegg A 9.4.4 Bruk av privilegerte verktøyprogrammer tilgangsrettigheter
Teknologiske kontroller Vedlegg A 8.19 Vedlegg A 12.5.1
Vedlegg A 12.6.2 		Installasjon av programvare på operative systemer
Teknologiske kontroller Vedlegg A 8.20 Vedlegg A 13.1.1 Nettverkssikkerhet
Teknologiske kontroller Vedlegg A 8.21 Vedlegg A 13.1.2 Sikkerhet for nettverkstjenester
Teknologiske kontroller Vedlegg A 8.22 Vedlegg A 13.1.3 Segregering av nettverk
Teknologiske kontroller Vedlegg A 8.23 NEW Web-filtrering
Teknologiske kontroller Vedlegg A 8.24 Vedlegg A 10.1.1
Vedlegg A 10.1.2 		Bruk av kryptografi
Teknologiske kontroller Vedlegg A 8.25 Vedlegg A 14.2.1 Sikker utviklingslivssyklus
Teknologiske kontroller Vedlegg A 8.26 Vedlegg A 14.1.2
Vedlegg A 14.1.3 		Programsikkerhetskrav
Teknologiske kontroller Vedlegg A 8.27 Vedlegg A 14.2.5 Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet
Teknologiske kontroller Vedlegg A 8.28 NEW Sikker koding
Teknologiske kontroller Vedlegg A 8.29 Vedlegg A 14.2.8
Vedlegg A 14.2.9 		Sikkerhetstesting i utvikling og aksept
Teknologiske kontroller Vedlegg A 8.30 Vedlegg A 14.2.7 Utkontraktert utvikling
Teknologiske kontroller Vedlegg A 8.31 Vedlegg A 12.1.4
Vedlegg A 14.2.6 		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontroller Vedlegg A 8.32 Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4 		Endringsledelse
Teknologiske kontroller Vedlegg A 8.33 Vedlegg A 14.3.1 Testinformasjon
Teknologiske kontroller Vedlegg A 8.34 Vedlegg A 12.7.1 Beskyttelse av informasjonssystemer under revisjonstesting

Navigere gjennom implementeringsutfordringer

Organisasjoner kan møte utfordringer som ressursbegrensninger og utilstrekkelig ledelsesstøtte når de implementerer disse oppdateringene. Effektiv ressursallokering og interessentengasjement er avgjørende for å opprettholde momentum og oppnå vellykket samsvar. Regelmessige opplæringsøkter kan bidra til å avklare standardens krav og redusere samsvarsutfordringer.

Tilpasning til skiftende sikkerhetstrusler

Disse oppdateringene demonstrerer ISO 27001:2022s tilpasningsevne til det skiftende sikkerhetsmiljøet, og sikrer at organisasjoner forblir motstandsdyktige mot nye trusler. Ved å tilpasse seg disse forbedrede kravene kan organisasjonen din styrke sikkerhetsrammeverket sitt, forbedre samsvarsprosesser og opprettholde et konkurransefortrinn i det globale markedet.

Hvordan kan organisasjoner oppnå ISO 27001-sertifisering?

Å oppnå ISO 27001:2022 krever en metodisk tilnærming, som sikrer at organisasjonen din samsvarer med standardens omfattende krav. Her er en detaljert veiledning for å navigere denne prosessen effektivt:

Kickstart sertifiseringen din med en grundig gapanalyse

Identifiser forbedringsområder med en omfattende gapanalyse. Vurder gjeldende praksis mot ISO 27001-standarden for å finne avvik. Utvikle en detaljert prosjektplan som beskriver mål, tidslinjer og ansvar. Involver interessenter tidlig for å sikre engasjement og fordele ressurser effektivt.

Implementer et effektivt ISMS

Etabler og implementer et Information Security Management System (ISMS) skreddersydd til dine organisasjonsmål. Implementer de 93 vedlegg A-kontrollene, med vekt på risikovurdering og behandling (ISO 27001:2022 punkt 6.1). Plattformen vår, ISMS.online, automatiserer overholdelsesoppgaver, reduserer manuell innsats og øker presisjonen.

Utføre regelmessige interne revisjoner

Gjennomføre regelmessige interne revisjoner for å evaluere effektiviteten til ISMS-systemet ditt. Ledelsesgjennomganger er viktige for ytelsesevaluering og nødvendige justeringer (ISO 27001:2022 klausul 9.3). ISMS.online legger til rette for samarbeid i sanntid, noe som øker teamets effektivitet og revisjonsberedskap.

Samarbeid med sertifiseringsorganer

Velg et akkreditert sertifiseringsorgan og tidsplan revisjonsprosessen, inkludert trinn 1 og trinn 2 revisjoner. Sørg for at all dokumentasjon er fullstendig og tilgjengelig. ISMS.online tilbyr maler og ressurser for å forenkle dokumentasjon og spore fremgang.

Overvinn vanlige utfordringer med en gratis konsultasjon

Overvinn ressursbegrensninger og motstand mot endring ved å fremme en kultur med sikkerhetsbevissthet og kontinuerlig forbedring. Plattformen vår støtter å opprettholde tilpasning over tid, og hjelper organisasjonen din med å oppnå og opprettholde sertifisering.

Bestill en gratis konsultasjon for å håndtere ressursbegrensninger og håndtere motstand mot endring. Lær hvordan ISMS.online kan støtte implementeringsarbeidet ditt og sikre vellykket sertifisering.

ISO 27001:2022 og krav til leverandørforhold

ISO 27001:2022 har innført nye krav for å sikre at organisasjoner opprettholder robuste leverandør- og tredjepartsstyringsprogrammer. Dette inkluderer:

  • Identifisere og vurdere leverandører: Organisasjoner må identifisere og analysere tredjepartsleverandører som påvirker informasjonssikkerheten. En grundig risikovurdering for hver leverandør er obligatorisk for å sikre samsvar med ditt ISMS.
  • Leverandørsikkerhetskontroller: Sørg for at leverandørene dine implementerer tilstrekkelige sikkerhetskontroller og at disse blir jevnlig gjennomgått. Dette strekker seg til å sikre at kundeservicenivåer og beskyttelse av personopplysninger ikke påvirkes negativt.
  • RevisjonsleverandørerOrganisasjoner bør revidere leverandørenes prosesser og systemer regelmessig. Dette er i samsvar med de nye ISO 27001:2022-kravene, og sikrer at leverandørenes samsvar opprettholdes og at risikoer fra tredjepartspartnerskap reduseres.

 

Forbedret medarbeiderbevissthet om cybersikkerhet

ISO 27001:2022 fortsetter å understreke viktigheten av medarbeiderbevissthet. Implementering av retningslinjer for pågående utdanning og opplæring er avgjørende. Denne tilnærmingen sikrer at dine ansatte ikke bare er klar over sikkerhetsrisikoer, men også er i stand til å delta aktivt i å redusere disse risikoene.

  • Forebygging av menneskelige feil: Bedrifter bør investere i opplæringsprogrammer som tar sikte på å forhindre menneskelige feil, en av de viktigste årsakene til sikkerhetsbrudd.
  • Klar policyutvikling: Etablere klare retningslinjer for ansattes atferd angående datasikkerhet. Dette inkluderer bevissthetsprogrammer om phishing, passordadministrasjon og sikkerhet for mobilenheter.
  • Sikkerhetskultur: Fremme en sikkerhetsbevisst kultur der ansatte føler seg bemyndiget til å ta opp bekymringer om cybersikkerhetstrusler. Et miljø med åpenhet hjelper organisasjoner med å takle risikoer før de materialiserer seg til hendelser.

ISO 27001:2022 Krav til sikkerhet for menneskelige ressurser

En av de vesentlige forbedringene i ISO 27001:2022 er dets utvidede fokus på menneskelig sikkerhet. Dette innebærer:

  • Personellscreening: Tydelige retningslinjer for personellscreening før ansettelse er avgjørende for å sikre at ansatte med tilgang til sensitiv informasjon oppfyller nødvendige sikkerhetsstandarder.
  • Opplæring og bevisstgjøringKontinuerlig opplæring er nødvendig for å sikre at ansatte er fullt klar over organisasjonens sikkerhetsregler og -prosedyrer.
  • Disiplinære tiltak: Definer klare konsekvenser for brudd på retningslinjene, og sørg for at alle ansatte forstår viktigheten av å overholde sikkerhetskravene.

Disse kontrollene sikrer at organisasjoner håndterer både interne og eksterne personellsikkerhetsrisikoer effektivt.

Bevissthetsprogrammer for ansatte og sikkerhetskultur

Å fremme en kultur med bevissthet om sikkerhet er avgjørende for å opprettholde et sterkt forsvar mot nye cybertrusler. ISO 27001:2022 fremmer pågående opplærings- og bevisstgjøringsprogrammer for å sikre at alle ansatte, fra ledelse til ansatte, er involvert i å opprettholde informasjonssikkerhetsstandarder.

  • Phishing-simuleringer og sikkerhetsøvelser: Gjennomføring av regelmessige sikkerhetsøvelser og phishing-simuleringer bidrar til å sikre at ansatte er forberedt på å håndtere cyberhendelser.
  • Interaktive workshops: Engasjer ansatte i praktiske treningsøkter som forsterker viktige sikkerhetsprotokoller, og forbedrer den generelle organisasjonsbevisstheten.

Kontinuerlig forbedring og cybersikkerhetskultur

Til slutt tar ISO 27001:2022 til orde for en kultur for kontinuerlig forbedring, der organisasjoner konsekvent evaluerer og oppdaterer sikkerhetspolicyene sine. Denne proaktive holdningen er integrert for å opprettholde samsvar og sikre at organisasjonen ligger i forkant av nye trusler.

  • Sikkerhetsstyring: Regelmessige oppdateringer av sikkerhetspolicyer og revisjoner av nettsikkerhetspraksis sikrer kontinuerlig overholdelse av ISO 27001:2022.
  • Proaktiv risikostyring: Å oppmuntre til en kultur som prioriterer risikovurdering og redusering gjør at organisasjoner kan holde seg lydhøre overfor nye cybertrusler.

Optimal timing for ISO 27001-adopsjon

Å ta i bruk ISO 27001:2022 er en strategisk beslutning som avhenger av organisasjonens beredskap og mål. Det ideelle tidspunktet er ofte i perioder med vekst eller digital transformasjon, der forbedring av sikkerhetsrammeverk kan forbedre forretningsresultatene betydelig. Tidlig implementering gir et konkurransefortrinn, ettersom sertifisering er anerkjent i over 150 land, noe som utvider internasjonale forretningsmuligheter.

Gjennomføre en beredskapsvurdering

For å sikre en sømløs adopsjon, foreta en grundig beredskapsvurdering for å evaluere gjeldende sikkerhetspraksis mot oppdatert standard. Dette innebærer:

  • Gap Analyse: Identifiser områder som trenger forbedring, og samkjør dem med kravene i ISO 27001:2022.
  • Ressurstildeling: Sørg for at tilstrekkelige ressurser, inkludert personell, teknologi og budsjett, er tilgjengelig for å støtte innføringen.
  • Interessentengasjement: Sikre buy-in fra sentrale interessenter for å lette en smidig adopsjonsprosess.

Koble sertifisering med strategiske mål

Å tilpasse sertifiseringen til strategiske mål forbedrer forretningsresultatene. Tenk på:

  • Tidslinje og frister: Vær oppmerksom på bransjespesifikke frister for overholdelse for å unngå straffer.
  • Kontinuerlig Forbedring: Fremme en kultur med kontinuerlig evaluering og forbedring av sikkerhetspraksis.

 

Bruk av ISMS.online for effektiv administrasjon

Plattformen vår, ISMS.online, spiller en viktig rolle i å administrere adopsjonen effektivt. Den tilbyr verktøy for å automatisere overholdelsesoppgaver, redusere manuell innsats og gi sanntids samarbeidsfunksjoner. Dette sikrer at organisasjonen din kan opprettholde samsvar og spore fremgang effektivt gjennom hele adopsjonsprosessen.

Ved å planlegge og bruke de riktige verktøyene strategisk, kan organisasjonen din navigere gjennom implementeringen av ISO 27001:2022 jevnt, og sikre robust sikkerhet og samsvar.

Hvor samsvarer ISO 27001:2022 med andre regulatoriske standarder?

ISO 27001 spiller en betydelig rolle i samsvar med viktige regelverk, som GDPR og NIS 2, for å forbedre databeskyttelsen og effektivisere etterlevelsen av regelverket. Denne tilpasningen styrker ikke bare datavernet, men forbedrer også organisasjonens motstandskraft på tvers av flere rammeverk.

Hvordan forbedrer ISO 27001:2022 GDPR-overholdelse?

ISO 27001:2022 utfyller GDPR ved å fokusere på databeskyttelse og personvern gjennom sine omfattende risikostyringsprosesser (ISO 27001:2022 klausul 6.1). Standardens vektlegging av å beskytte personopplysninger er i samsvar med GDPRs strenge krav, og sikrer robuste strategier for databeskyttelse.

Hvilken rolle spiller ISO 27001:2022 for å støtte NIS 2-direktiver?

Standarden støtter NIS 2-direktivene ved å styrke motstandskraften innen cybersikkerhet. ISO 27001:2022s fokus på trusselinformasjon og hendelsesrespons er i samsvar med NIS 2s mål om å styrke organisasjoner mot cybertrusler og sikre kontinuitet i kritiske tjenester.

Hvordan integreres ISO 27001:2022 med andre ISO-standarder?

ISO 27001 integreres effektivt med andre ISO-standarder, som ISO 9001 og ISO 14001, skaper synergier som forbedrer den generelle regulatoriske tilpasningen og operasjonell effektivitet. Denne integrasjonen muliggjør en enhetlig tilnærming til å administrere kvalitets-, miljø- og sikkerhetsstandarder i en organisasjon.

Hvordan kan organisasjoner oppnå omfattende regulatorisk tilpasning til ISO 27001:2022?

Organisasjoner kan oppnå omfattende regulatorisk tilpasning ved å synkronisere deres sikkerhetspraksis med bredere krav. Vår plattform, ISMS.online, tilbyr omfattende sertifiseringsstøtte, og gir verktøy og ressurser for å forenkle prosessen. Bransjeforeninger og webinarer forbedrer forståelsen og implementeringen ytterligere, og sikrer at organisasjoner forblir kompatible og konkurransedyktige.

Kan ISO 27001:2022 effektivt redusere nye sikkerhetsutfordringer?

Nye trusler, inkludert cyberangrep og datainnbrudd, krever robuste strategier. ISO 27001:2022 tilbyr et omfattende rammeverk for håndtering av risikoer, med vekt på en risikobasert tilnærming for å identifisere, vurdere og redusere potensielle trusler.

Hvordan forbedrer ISO 27001:2022 reduksjon av cybertrusler?

ISO 27001:2022 styrker reduksjon gjennom strukturerte risikostyringsprosesser. Ved å implementere vedlegg A-kontroller kan organisasjoner proaktivt adressere sårbarheter, og redusere cyberhendelser. Denne proaktive holdningen bygger tillit hos kunder og partnere, og skiller virksomheter i markedet.

Hvilke tiltak sikrer skysikkerhet med ISO 27001:2022?

Skysikkerhetsutfordringer er utbredt når organisasjoner migrerer til digitale plattformer. ISO 27001:2022 inkluderer spesifikke kontroller for skymiljøer, som sikrer dataintegritet og sikrer mot uautorisert tilgang. Disse tiltakene fremmer kundelojalitet og øker markedsandeler.

Hvordan forhindrer ISO 27001:2022 datainnbrudd?

Datainnbrudd utgjør betydelige risikoer, som påvirker omdømme og finansiell stabilitet. ISO 27001:2022 etablerer omfattende protokoller, som sikrer kontinuerlig overvåking og forbedring. Sertifiserte organisasjoner opplever ofte færre brudd, og opprettholder effektive sikkerhetstiltak.

Hvordan kan organisasjoner tilpasse seg utviklende trussellandskap?

Organisasjoner kan tilpasse ISO 27001:2022 til nye trusler ved å jevnlig oppdatere sikkerhetspraksis. Denne tilpasningsevnen sikrer tilpasning til nye trusler, og opprettholder robuste forsvar. Ved å vise en forpliktelse til sikkerhet får sertifiserte organisasjoner et konkurransefortrinn og foretrekkes av kunder og partnere.

Å dyrke en sikkerhetskultur med ISO 27001-samsvar

ISO 27001 fungerer som en hjørnestein i utviklingen av en robust sikkerhetskultur ved å legge vekt på bevissthet og omfattende opplæring. Denne tilnærmingen styrker ikke bare organisasjonens sikkerhetsstilling, men er også i tråd med gjeldende nettsikkerhetsstandarder.

Hvordan forbedre sikkerhetsbevissthet og opplæring

Sikkerhetsbevissthet er integrert i ISO 27001:2022, og sikrer at de ansatte forstår rollene deres i å beskytte informasjonsressurser. Skreddersydde opplæringsprogrammer gir personalet mulighet til å gjenkjenne og reagere effektivt på trusler, og minimere hendelsesrisikoen.

Hva er effektive treningsstrategier?

Organisasjoner kan forbedre opplæringen ved å:

  • Interaktive workshops: Gjennomfør engasjerende økter som forsterker sikkerhetsprotokollene.
  • E-læringsmoduler: Gi fleksible nettkurs for kontinuerlig læring.
  • Simulerte øvelser: Implementer phishing-simuleringer og hendelsesresponsøvelser for å teste beredskapen.

 

Hvordan påvirker lederskap sikkerhetskulturen?

Ledelse spiller en sentral rolle i å bygge inn en sikkerhetsfokusert kultur. Ved å prioritere sikkerhetstiltak og gå foran som et godt eksempel, inngir ledelsen ansvar og årvåkenhet i hele organisasjonen, noe som gjør sikkerhet integrert i organisasjonens etos.

Hva er de langsiktige fordelene med sikkerhetsbevissthet?

ISO 27001:2022 tilbyr vedvarende forbedringer og risikoreduksjon, øker troverdigheten og gir et konkurransefortrinn. Organisasjoner rapporterer økt operasjonell effektivitet og reduserte kostnader, som støtter vekst og åpner nye muligheter.

Hvordan støtter ISMS.online din sikkerhetskultur?

Plattformen vår, ISMS.online, hjelper organisasjoner ved å tilby verktøy for å spore opplæringsfremdrift og legge til rette for samarbeid i sanntid. Dette sikrer at sikkerhetsbevisstheten opprettholdes og kontinuerlig forbedres, i samsvar med målene i ISO 27001:2022.

Navigering av utfordringer i ISO 27001:2022-implementering

Implementering av ISO 27001:2022 innebærer å overvinne betydelige utfordringer, som å håndtere begrensede ressurser og håndtere motstand mot endring. Disse hindringene må håndteres for å oppnå sertifisering og forbedre organisasjonens informasjonssikkerhetsposisjon.

Identifisere vanlige implementeringshinder

Organisasjoner har ofte problemer med å allokere tilstrekkelige ressurser, både økonomiske og menneskelige, for å oppfylle de omfattende kravene i ISO 27001:2022. Motstand mot å ta i bruk nye sikkerhetspraksiser kan også hindre fremgang, ettersom ansatte kan være nølende med å endre etablerte arbeidsflyter.

Effektive ressursstyringsstrategier

For å optimalisere ressursforvaltningen, prioriter oppgaver basert på risikovurderingsresultater, med fokus på områder med stor innvirkning (ISO 27001:2022 punkt 6.1). Vår plattform, ISMS.online, automatiserer overholdelsesoppgaver, reduserer manuell innsats og sikrer at kritiske områder får nødvendig oppmerksomhet.

Overvinne motstand mot endring

Effektiv kommunikasjon og trening er nøkkelen til å dempe motstand. Engasjer ansatte i implementeringsprosessen ved å fremheve fordelene med ISO 27001:2022, for eksempel forbedret databeskyttelse og GDPR-tilpasning. Regelmessige treningsøkter kan fremme en kultur av sikkerhetsbevissthet og samsvar.

Forbedre implementering med ISMS.online

ISMS.online spiller en sentral rolle i å overvinne disse utfordringene ved å tilby verktøy som forbedrer samarbeid og effektiviserer dokumentasjon. Plattformen vår støtter integrerte overholdelsesstrategier, og tilpasser ISO 27001 med standarder som ISO 9001, og forbedrer derved den generelle effektiviteten og overholdelse av regelverk. Ved å forenkle implementeringsprosessen hjelper ISMS.online din organisasjon med å oppnå og opprettholde ISO 27001:2022-sertifisering effektivt.

ISO 27001 Vanlige spørsmål

Hva er de viktigste forskjellene mellom ISO 27001:2022 og tidligere versjoner?

ISO 27001:2022 introduserer viktige oppdateringer for å møte utviklende sikkerhetskrav, og øker relevansen i dagens digitale miljø. En betydelig endring er utvidelsen av Annex A-kontrollene, som nå er totalt 93, og som inkluderer nye tiltak for skysikkerhet og trusselinformasjon. Disse tilleggene understreker den økende betydningen av digitale økosystemer og proaktiv trusselhåndtering.

Innvirkning på samsvar og sertifisering
Oppdateringene i ISO 27001:2022 krever justeringer i samsvarsprosesser. Organisasjonen din må integrere disse nye kontrollene i sine informasjonssikkerhetsstyringssystemer (ISMS), for å sikre samsvar med de siste kravene (ISO 27001:2022 klausul 6.1). Denne integrasjonen effektiviserer sertifiseringen ved å tilby et omfattende rammeverk for håndtering av informasjonsrisiko.

Nye kontroller og deres betydning
Innføringen av kontroller fokusert på skysikkerhet og trusselintelligens er bemerkelsesverdig. Disse kontrollene hjelper organisasjonen din med å beskytte data i komplekse digitale miljøer, og adresserer sårbarheter som er unike for skysystemer. Ved å implementere disse tiltakene kan du forbedre sikkerheten din og redusere risikoen for datainnbrudd.

Tilpasning til nye krav
For å tilpasse seg disse endringene bør organisasjonen din gjennomføre en grundig gapanalyse for å identifisere områder som trenger forbedring. Dette innebærer å vurdere gjeldende praksis opp mot den oppdaterte standarden, og sikre samsvar med nye kontroller. Ved å bruke plattformer som ISMS.online, kan du automatisere overholdelsesoppgaver, redusere manuell innsats og øke effektiviteten.

Disse oppdateringene fremhever ISO 27001:2022s forpliktelse til å håndtere moderne sikkerhetsutfordringer, og sørger for at organisasjonen din forblir motstandsdyktig mot nye trusler.

Hvorfor bør samsvarsansvarlige prioritere ISO 27001:2022?

ISO 27001:2022 er sentral for compliance-ansvarlige som ønsker å forbedre organisasjonens rammeverk for informasjonssikkerhet. Den strukturerte metodikken for regeloverholdelse og risikostyring er uunnværlig i dagens sammenkoblede miljø.

Navigering i regulatoriske rammer
ISO 27001:2022 er i tråd med globale standarder som GDPR, og gir et omfattende rammeverk som sikrer databeskyttelse og personvern. Ved å følge retningslinjene kan du trygt navigere i komplekse regulatoriske landskap, redusere juridiske risikoer og forbedre styringen (ISO 27001:2022 klausul 6.1).

Proaktiv risikostyring
Standardens risikobaserte tilnærming gjør det mulig for organisasjoner å systematisk identifisere, vurdere og redusere risikoer. Denne proaktive holdningen minimerer sårbarheter og fremmer en kultur med kontinuerlig forbedring, noe som er avgjørende for å opprettholde en robust sikkerhetstilstand. Compliance-ansvarlige kan bruke ISO 27001:2022 til å implementere effektive risikohåndteringsstrategier, som sikrer motstandskraft mot nye trusler.

Forbedring av organisasjonssikkerhet
ISO 27001:2022 forbedrer organisasjonens sikkerhetsstatus betydelig ved å integrere sikkerhetspraksis i kjernevirksomhetsprosesser. Denne integrasjonen øker driftseffektiviteten og bygger tillit hos interessenter, og posisjonerer organisasjonen din som en leder innen informasjonssikkerhet.

Effektive implementeringsstrategier
Samsvarsansvarlige kan implementere ISO 27001:2022 effektivt ved å bruke plattformer som ISMS.online, som effektiviserer arbeidet gjennom automatiserte risikovurderinger og sanntidsovervåking. Å engasjere interessenter og fremme en sikkerhetsbevisst kultur er avgjørende skritt for å integrere standardens prinsipper i hele organisasjonen.

Ved å prioritere ISO 27001:2022, beskytter du ikke bare organisasjonens data, men driver også strategiske fordeler i et konkurransepreget marked.

Hvordan forbedrer ISO 27001:2022 sikkerhetsrammeverk?

ISO 27001:2022 etablerer et omfattende rammeverk for håndtering av informasjonssikkerhet, med fokus på en risikobasert tilnærming. Denne tilnærmingen lar organisasjonen din systematisk identifisere, vurdere og håndtere potensielle trusler, og sikrer robust beskyttelse av sensitive data og overholdelse av internasjonale standarder.

Nøkkelstrategier for trusselredusering

  • Gjennomføring av risikovurderinger: Grundige evalueringer identifiserer sårbarheter og potensielle trusler (ISO 27001:2022 klausul 6.1), og danner grunnlaget for målrettede sikkerhetstiltak.
  • Implementering av sikkerhetskontroller: Kontrollene i vedlegg A brukes til å håndtere spesifikke risikoer, noe som sikrer en helhetlig tilnærming til trusselforebygging.
  • Kontinuerlig overvåking: Regelmessige gjennomganger av sikkerhetspraksiser muliggjør tilpasning til utviklende trusler, og opprettholder effektiviteten til sikkerhetsstillingen.

Databeskyttelse og personverntilpasning
ISO 27001:2022 integrerer sikkerhetspraksis i organisasjonsprosesser, i samsvar med forskrifter som GDPR. Dette sikrer at personopplysninger håndteres sikkert, reduserer juridisk risiko og øker tilliten til interessentene.

Bygge en proaktiv sikkerhetskultur
Ved å fremme sikkerhetsbevissthet fremmer ISO 27001:2022 kontinuerlig forbedring og årvåkenhet. Denne proaktive holdningen minimerer sårbarheter og styrker organisasjonens generelle sikkerhetstilstand. Vår plattform, ISMS.online, støtter dette arbeidet med verktøy for sanntidsovervåking og automatiserte risikovurderinger, og posisjonerer organisasjonen din som en leder innen informasjonssikkerhet.

Å integrere ISO 27001:2022 i sikkerhetsstrategien din styrker ikke bare forsvaret, men forbedrer også organisasjonens omdømme og konkurransefortrinn.

Hvilke fordeler tilbyr ISO 27001:2022 administrerende direktører?

ISO 27001:2022 er et strategisk aktivum for administrerende direktører, som øker organisasjonens motstandskraft og operasjonell effektivitet gjennom en risikobasert metodikk. Denne standarden justerer sikkerhetsprotokoller med forretningsmål, og sikrer robust informasjonssikkerhetsstyring.

Hvordan forbedrer ISO 27001:2022 strategisk forretningsintegrasjon?

Rammeverk for risikostyring:
ISO 27001:2022 gir et omfattende rammeverk for å identifisere og redusere risikoer, beskytte eiendelene dine og sikre forretningskontinuitet.

Standarder for samsvar med regelverk:
Ved å samsvare med globale standarder som GDPR, minimeres juridiske risikoer og styrkes styringen, noe som er avgjørende for å opprettholde tilliten i markedet.

Hva er konkurransefortrinnene med ISO 27001:2022?

Omdømmeforbedring:
Sertifisering viser en forpliktelse til sikkerhet, noe som øker kundenes tillit og tilfredshet. Organisasjoner rapporterer ofte økt kundetillit, noe som fører til høyere retensjonsrater.

Global markedstilgang:
Med aksept i over 150 land, forenkler ISO 27001:2022 etableringen i internasjonale markeder og gir et konkurransefortrinn.

Hvordan kan ISO 27001:2022 drive forretningsvekst?

Operasjonell effektivitet:
Strømlinjeformede prosesser reduserer sikkerhetshendelser, senker kostnader og forbedrer effektiviteten.

Innovasjon og digital transformasjon:
Ved å fremme en kultur med sikkerhetsbevissthet støtter det digital transformasjon og innovasjon, og driver dermed forretningsvekst.

Ved å integrere ISO 27001:2022 i den strategiske planleggingen din tilpasses sikkerhetstiltakene med organisasjonens mål, og sikrer at de støtter bredere forretningsmål. Plattformen vår, ISMS.online, forenkler overholdelse, og tilbyr verktøy for sanntidsovervåking og risikostyring, som sikrer at organisasjonen din forblir sikker og konkurransedyktig.

Hvordan legge til rette for digital transformasjon med ISO 27001:2022

ISO 27001:2022 gir et omfattende rammeverk for organisasjoner som går over til digitale plattformer, og sikrer databeskyttelse og overholdelse av internasjonale standarder. Denne standarden er sentral for å håndtere digitale risikoer og forbedre sikkerhetstiltakene.

Hvordan håndtere digitale risikoer effektivt
ISO 27001:2022 tilbyr en risikobasert tilnærming for å identifisere og redusere sårbarheter. Ved å gjennomføre grundige risikovurderinger og implementere vedlegg A-kontroller, kan organisasjonen din proaktivt adressere potensielle trusler og opprettholde robuste sikkerhetstiltak. Denne tilnærmingen er i tråd med utviklende krav til cybersikkerhet, og sikrer at dine digitale eiendeler er ivaretatt.

Hvordan fremme sikker digital innovasjon
Å integrere ISO 27001:2022 i utviklingslivssyklusen sikrer at sikkerhet prioriteres fra design til utrulling. Dette reduserer risikoen for brudd og forbedrer databeskyttelsen, slik at organisasjonen kan drive innovasjon med trygghet og samtidig opprettholde samsvar.

Hvordan bygge en kultur for digital sikkerhet
Å fremme en sikkerhetskultur innebærer å legge vekt på bevissthet og opplæring. Implementer omfattende programmer som utstyrer teamet ditt med ferdighetene som trengs for å gjenkjenne og svare på digitale trusler effektivt. Denne proaktive holdningen fremmer et sikkerhetsbevisst miljø, avgjørende for vellykket digital transformasjon.

Ved å ta i bruk ISO 27001:2022 kan organisasjonen din navigere i digitale kompleksiteter, og sikre at sikkerhet og samsvar er integrert i strategiene dine. Denne justeringen beskytter ikke bare sensitiv informasjon, men forbedrer også operasjonell effektivitet og konkurransefortrinn.

Hva er de viktigste hensynene ved implementering av ISO 27001:2022?

Implementering av ISO 27001:2022 innebærer grundig planlegging og ressursstyring for å sikre vellykket integrasjon. Nøkkelhensyn inkluderer strategisk ressursallokering, engasjering av nøkkelpersonell og fremme en kultur for kontinuerlig forbedring.

Strategisk ressursallokering
Det er viktig å prioritere oppgaver basert på omfattende risikovurderinger. Organisasjonen din bør fokusere på områder med stor innvirkning, og sikre at de får tilstrekkelig oppmerksomhet som beskrevet i ISO 27001:2022 klausul 6.1. Å bruke plattformer som ISMS.online kan automatisere oppgaver, redusere manuell innsats og optimalisere ressursbruken.

Engasjere nøkkelpersonell
Å sikre buy-in fra nøkkelpersonell tidlig i prosessen er avgjørende. Dette innebærer å fremme samarbeid og tilpasse seg organisatoriske mål. Tydelig kommunikasjon av fordelene og målene med ISO 27001:2022 bidrar til å redusere motstand og oppmuntrer til aktiv deltakelse.

Fremme en kultur for kontinuerlig forbedring
Regelmessig gjennomgang og oppdatering av informasjonssikkerhetsstyringssystemene (ISMS) for å tilpasse seg nye trusler er avgjørende. Dette innebærer å gjennomføre periodiske revisjoner og ledelsesgjennomganger for å identifisere områder for forbedring, som spesifisert i ISO 27001:2022 klausul 9.3.

Trinn for vellykket implementering
For å sikre vellykket implementering bør organisasjonen din:

  • Gjennomfør en gapanalyse for å identifisere områder som trenger forbedring.
  • Utvikle en omfattende prosjektplan med klare mål og tidslinjer.
  • Bruk verktøy og ressurser, som ISMS.online, for å strømlinjeforme prosesser og forbedre effektiviteten.
  • Fremme en kultur for sikkerhetsbevissthet gjennom regelmessig opplæring og kommunikasjon.

Ved å ivareta disse hensynene kan organisasjonen din effektivt implementere ISO 27001:2022, forbedre sin sikkerhetsstilling og sikre samsvar med internasjonale standarder.

Bestill en demo med ISMS.online

Start ISO 27001:2022-reisen med ISMS.online. Planlegg en personlig demo nå for å se hvordan våre omfattende løsninger kan forenkle overholdelse og effektivisere implementeringen prosesser. Forbedre sikkerhetsrammeverket ditt og øke driftseffektiviteten med våre banebrytende verktøy.

Hvordan kan ISMS.online effektivisere din etterlevelsesreise?

  • Automatiser og forenkle oppgaver: Plattformen vår reduserer manuell innsats og forbedrer presisjonen gjennom automatisering. Det intuitive grensesnittet veileder deg steg-for-steg, og sikrer at alle nødvendige kriterier oppfylles effektivt.
  • Hvilken støtte tilbyr ISMS.online?Med funksjoner som automatiserte risikovurderinger og sanntidsovervåking bidrar ISMS.online til å opprettholde en robust sikkerhetstilstand. Løsningen vår er i samsvar med ISO 27001:2022s risikobaserte tilnærming, og håndterer proaktivt sårbarheter (ISO 27001:2022 klausul 6.1).
  • Hvorfor planlegge en personlig demo?Oppdag hvordan løsningene våre kan forvandle strategien din. En personlig demonstrasjon illustrerer hvordan ISMS.online kan møte organisasjonens spesifikke behov, og gir innsikt i våre muligheter og fordeler.

Hvordan forbedrer ISMS.online samarbeid og effektivitet?

Plattformen vår fremmer sømløst teamarbeid, slik at organisasjonen din kan oppnå ISO 27001:2022-sertifisering. Ved å bruke ISMS.online kan teamet ditt forbedre sikkerhetsrammeverket, forbedre driftseffektiviteten og få et konkurransefortrinn. Kontakt i dag for å oppleve den transformative kraften til ISMS.online og sikre at organisasjonen din forblir sikker og kompatibel.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder utviklingen av alle produktfunksjoner og funksjonalitet. Sam er en ekspert på mange områder av samsvar og jobber med kunder på alle skreddersydde eller storskala prosjekter.

Beslektede emner

ISO 27001

Styringsgapet: Hvorfor EUs AI-lov er øyeblikket da styrer ikke lenger kan behandle samsvar som noen andres problem

EUs KI-lovgivning er allerede trådt i kraft, straffer er allerede aktive, og de fleste bedrifter kan ikke klassifisere sine egne KI-systemer. Styringsgapet er ikke lenger teoretisk; det er en forpliktelse som sitter i balansen. De siste tre årene har styrer entusiastisk tatt i bruk AI på tvers av ansettelser, kredittbeslutninger, kundeservice, drift og strategi. De fleste har gjort det uten å bygge styringsarkitekturen for å håndtere det. Nå har regelverket kommet, og det har kommet med tenner. Deler av EUs KI-lov er allerede trådt i kraft. Forbud mot uakseptabel AI-praksis trådte i kraft i februar 2025. Straff for leverandører av generelle AI-modeller ble aktivert i august 2025. Full håndheving av regelverk mot høyrisiko-KI-systemer vil nå tre i kraft i etapper i august og desember 2027. Vinduet mellom nå og da er ikke pusterom. Det er hele rullebanen. Og likevel er gapet i beredskap slående. En anvendt KI-studie av 106 bedriftssystemer for KI fant at 40 % ikke klart kunne identifisere sin egen risikoklassifisering i henhold til loven. Det mest grunnleggende trinnet i samsvarsprosessen er fortsatt ufullstendig for en stor andel av bedriftsimplementeringer. Et flertall av toppledere identifiserer nå manglende samsvar med regelverk som sin primære bekymring innen kunstig intelligens. Den etterslepende faktoren er den operative responsen. Dette er kjernen i saken. AI-investeringen er reell. Konkurransepresset for å utplassere er reelt. Den regulatoriske forpliktelsen er nå reell. Det som ikke har holdt tritt er styresett. Gapet ingen snakker om De fleste samtaler om bedrifters AI dreier seg fortsatt om kapasitet og investering. Samtalen om styring har haltet unna, og konsekvensene merkes allerede. Data fra IO State of Information Security Report viser at 79 % av organisasjonene har tatt i bruk AI eller maskinlæring de siste 12 månedene, og ytterligere 19 % planlegger å gjøre det. Det gjør AI-distribusjon nærmest universell. Det som gjør styringsgapet som følger enda mer akutt, er dette: 37 % av organisasjoner rapporterer at ansatte bruker generativ AI uten tillatelse. Ytterligere forskning fra IBM indikerer at hendelser relatert til skygge-AI utgjorde 20 % av sikkerhetsbruddene det siste året, og 11 % av organisasjonene som ble utsatt for sikkerhetsbrudd var usikre på om de hadde opplevd en hendelse relatert til skygge-AI. Implikasjonen for samsvar med KI-loven er direkte: der ansatte bruker KI uten organisasjonskunnskap, kan organisasjonen bruke høyrisiko-KI-systemer som den ikke kan klassifisere, overvåke og ikke kan dokumentere styring over. I henhold til loven er det distributørens ansvar. Du kan ikke styre det du ikke kan se. Og de fleste organisasjoner kan ennå ikke se all sin AI. Dette problemet ligger ikke i én del av virksomheten. EUs KI-lov skaper samtidige forpliktelser på tvers av informasjonssikkerhet, databeskyttelse og KI-styring. Ethvert AI-system som behandler personopplysninger faller inn under både loven og GDPR. Ethvert system som er innebygd i ansettelses-, kreditt- eller kundebeslutningsprosesser, medfører distributørens forpliktelser, uavhengig av om det ble bygget internt eller anskaffet fra en leverandør. Leverandørkontrakter må nå tildele ansvar for samsvar med regler for AI. Forsyningskjeden for AI-styring er organisasjonens ansvar. De fleste organisasjoner har disse funksjonene i separate rom, med separate samtaler. Den fragmenteringen er nettopp den strukturelle sårbarheten loven vil avdekke. Forordningen når lenger enn de fleste styrer forstår i dag. Straffestrukturen er betydelig: bøter på opptil 35 millioner euro eller 7 % av den globale årsomsetningen for de mest alvorlige bruddene, et tak som til og med overstiger GDPR. Personlig ansvar for toppledelsen er hjemlet i loven. Og rekkevidden er ekstraterritorial. Enhver organisasjon hvis AI-systemer påvirker brukere eller markeder i EU er omfattet, uavhengig av hovedkontor. London, New York, Singapore: hvis din AI berører EU, har du plikten. For britiske bedrifter som opererer under antagelsen om at regulatorisk avstand etter Brexit gir noen ly her, gjør den ikke det. Forpliktelsen følger systemet, ikke flagget. Tidslinjen er en sekvens, ikke en enkelt fremtidig dato. Forbudene er allerede i kraft. De generelle AI-straffene er allerede aktive. Desember 2027 er ikke en fjern frist. Å bygge en integrert styringsinfrastruktur på tvers av funksjoner som for tiden opererer uavhengig, i ulike sykluser og med ulike verktøy, tar mer tid enn de fleste organisasjoner som kjører reaktive samsvarsprogrammer har igjen. Hvorfor avkrysningsboksmodellen bryter sammen Den tradisjonelle samsvarsresponsen; å produsere et risikovurderingsdokument, tildele en policyeier ​​og planlegge en årlig gjennomgang, fungerer ikke. Lovens krav er tekniske og operative. AI-systemer må kontinuerlig overvåkes, logges og testes mot gjeldende ytelse. Modeller driver. Treningsdata blir foreldet. Distribusjonskontekster endres. En styringsmodell utformet rundt periodiske evalueringer kan ikke holde tritt. IO-dataene gjør omfanget av dette tydelig. 54 % av respondentene sier at de tok i bruk AI-teknologi for raskt, og at de nå står overfor utfordringer med å skalere den ned eller implementere den mer ansvarlig. Bare 21 % oppgir at det å etablere ansvarlige retningslinjer for bruk av AI er en prioritet for det kommende året. Kontrasten er slående, nesten universell utplassering, minimal prioritet for styring. Mer grunnleggende er det at ingen enkeltfunksjon eier hele den samsvarsflaten som loven undersøker. Et juridisk team som kun tar for seg personverntrusselen, eksponerer sikkerhets- og AI-risiko. En CISO som kun tar for seg sikkerhet, utelukker klassifisering og datastyring Et produktteam som kun adresserer AI-risiko har ingen innsikt i personvernet eller sikkerhetssituasjonen til systemene det eier. Silobaserte responser på tverrfaglige regelverk fører ikke til delvis samsvar. De produserer illusjonen av etterlevelse, og den illusjonen er akkurat det regulatorer ønsker å teste. Motstandskraftsløyfen Innsikten som skiller organisasjoner som bygger ekte motstandskraft fra de som håndterer isolerte forpliktelser, er denne: AI-styring kan ikke behandles isolert fra informasjonssikkerhet og datapersonvern, fordi disse risikoene i praksis er uatskillelige. Resilienssløyfen, den kontinuerlige, enhetlige styringen av informasjonssikkerhet, datapersonvern og AI-styring som et enkelt integrert system, er det arkitektoniske svaret på denne virkeligheten. En som genererer en klar oversikt over risikoer og tiltak, tilpasser seg nye regulatoriske krav og leverer den typen påviselig, reviderbar robusthet som regulatorer, investorer og bedriftskunder i økende grad etterspør. De tre domenene EUs KI-lov aktiverer samtidig er nettopp de tre domenene som robusthetssløyfen forener. En organisasjon som allerede opererer på denne måten trenger ikke å etterinstallere samsvar med KI-loven i eksisterende programmer. Infrastrukturen er allerede på plass og styrer hele den tverrfunksjonelle overflaten som forordningen undersøker. Organisasjoner som ennå ikke har gjort dette skiftet, står ikke overfor et dokumentasjonshull. De står overfor et arkitektonisk problem. Sektorene som er regulert for konkurranse; finansielle tjenester, helsevesen og kritisk infrastruktur, akselererer kravene til AI-styring for leverandører og partnere. Bedriftsinnkjøp inkluderer i økende grad vurderinger av AI-styring. Institusjonelle investorer begynner å behandle modenhet innen AI-tilsyn som en del av risikovurderingen. IO-dataene peker på hva som allerede skjer. Respondentene rapporterer at de største økningene i avkastning på samsvar kom fra forbedret forretningsbeslutningstaking, kundelojalitet og nye salgsmuligheter, og disse gevinstene har styrket seg betydelig år etter år. Mønsteret er gjennomgående: organisasjoner som først går inn i integrert styring, trekker seg unna de som fortsatt håndterer samsvar reaktivt, ikke fordi styringen i seg selv er et konkurransefortrinn, men fordi infrastrukturen den bygger muliggjør raskere og mer sikker utrulling av de funksjonene som er det. KI-loven setter ikke et tak på hva styring krever. Det er gulvet. Vinduet er kortere enn de fleste styrene forstår for øyeblikket. Desember 2027 er den harde linjen for AI-systemer med høy risiko. Å bygge den integrerte styringsinfrastrukturen for å overholde denne fristen er ikke et prosjekt som starter i tredje kvartal 2026. Det starter nå. Organisasjonene som handler i dette vinduet, vil gå inn i håndhevingsberedskapen fra en styrkeposisjon. De som venter vil bli ettermontert under press, mot en tidsfrist som allerede er synlig i alle regulatorers horisont. Spørsmålet alle styrer burde stille seg er ikke om de skal handle. Det handler om hvorvidt det fortsatt er tid. Og svaret er, foreløpig, ja. Utvid kunnskapen din Podcast: Phishing for Trouble S02 Ep02: AI: Tillit, etikk og å få det riktig fra starten Blogg: Å lukke gapet i robusthet: Der myndighetene sier at UK PLC fortsatt mislykkes Webinar: ISO 42001 i aksjon: Lærdommer fra en av verdens første ISO 42001-sertifiseringer
Les mer
ISO 27001

Hvorfor cyberrobusthet fortsatt er langt unna for mange britiske bedrifter

Cyberrobusthet har blitt et av de viktigste satsingsområdene for cyberindustrien de siste årene. Selv regjeringen har sitert det i et kritisk lovforslag som er under behandling. Men det viser seg å være noe vanskelig for Storbritannias seks millioner bedrifter å oppnå det. Hvis man skal gå etter den nyeste Whitehall-forskningen, er avstanden mellom bransjens ambisjoner for robusthet og hva organisasjoner faktisk oppnår fortsatt betydelig. Årets undersøkelse om cybersikkerhetsbrudd er ute. Og det beviser nok en gang at landets bedrifter trår vannet når det gjelder deres innsats for cyberrobusthet. Bare halvparten (57 %) av mellomstore bedrifter og tre fjerdedeler (74 %) av store bedrifter har en sikkerhetsstrategi på plass – så godt som uendret fra i fjor. Det er mye arbeid som fortsatt må gjøres. Reisen til motstandskraft Motstandskraft handler om å endre forståelsen av cybersikkerhet mot et bakteppe av et ustabilt trussellandskap, økende regulatorisk gransking og umettelig etterspørsel etter digitale investeringer i styrerom. I en verden der nettkriminalitetsøkonomien er verdt billioner, National Cyber ​​Security Centre (NCSC) håndterer fire «nasjonalt betydningsfulle» angrep per uke, og milliarder av kompromitterte legitimasjonsdetaljer sirkulerer, må sikkerhetsteam akseptere at ingen organisasjon er 100 % sikre mot sikkerhetsbrudd. I denne sammenhengen flyttes fokuset fra forebygging til å kunne forberede seg, reagere, komme seg og lære av eventuelle angrep som sniker seg gjennom. Dette er viktigere enn noensinne ettersom angrepsflatene utvides med en eksplosjon av IoT-enheter, AI-agenter, chatboter og LLM-er – hvorav mange brukes uten IT-avdelingens kjennskap. IO (tidligere ISMS.online) sin rapport om informasjonssikkerhet i 2025 avslører at en tredjedel (34 %) av respondentene er bekymret for skygge-AI i løpet av det kommende året, et av de mest populære svarene. Hva regjeringen fant Sann motstandskraft krever lagdelt forsvar. Dessverre avslører myndighetenes siste rapport om sikkerhetsbrudd at mange organisasjoner ikke får det grunnleggende på plass. Her er noen av de viktigste funnene: Opplæring av ansatte og bevisstgjøring: Selv om andelen respondenter som deltok i disse aktivitetene økte for de største firmaene (fra 76 % i fjor til 84 % i år), forble den totalt sett fast på skuffende 19 %. Risikovurderinger: En svært liten årlig økning i antall respondenter som gjennomfører risikovurderinger for cybersikkerhet, blant mellomstore (57 % til 62 %) og store (70 % til 72 %) bedrifter. Imidlertid forble det totale tallet så godt som uendret på 30 %. Risikostyring i forsyningskjeden: Mindre enn en tredjedel (30 %) av mellomstore bedrifter og halvparten (48 %) av store bedrifter gjennomgår cyberrisikoene som direkte leverandører utgjør. Det er nesten uendret fra henholdsvis 32 % og 45 % i fjor. For den bredere forsyningskjeden var tallene enda lavere: 13 % og 24 % mot 15 % og 25 %. Totalt sett var det bare 15 % av bedriftene som gjennomgikk sine nærmeste leverandører og 6 % den bredere forsyningskjeden – omtrent det samme som i fjor (14 % og 7 %). Forsikring: Halvparten (47 %) av bedriftene sier at de er forsikret mot cyberrisiko, noe som øker for mellomstore bedrifter (61 %). Dette er stort sett på linje med i fjor (45 % og 65 %). Enda mer bekymringsfullt er det imidlertid at bare 10 % sier at de har en spesifikk cyberforsikring på plass, og over en femtedel (22 %) vet ikke i det hele tatt. Begge statistikkene var liknende som i fjor (7 % og 20 %). Styret: Nettsikkerhet anses som en «høy prioritet» for toppledelsen hos 72 % av respondentene. Men er det egentlig? Styreansvaret for det økte bare litt, fra 27 % til 31 %. Hendelsesrespons: Andelen respondenter med en formell IR-plan var så godt som uendret (25 %), i likhet med tallene for mellomstore (53 % til 57 %) og store (75 % til 76 %) bedrifter. Kjennskap til statlige initiativer: Flere respondenter enn i fjor sier at de har hørt om statlige ordninger som Cyber ​​Aware (24 % til 30 %), 10-trinnsveiledningen (12 % til 17 %) og Cyber ​​Essentials (12 % til 17 %). Men disse tallene, og de for den nyere kodeksen for programvaresikkerhet (22 %) og kodeksen for cyberstyring (16 %), er fortsatt altfor lave. I tillegg har andelen respondenter som har Cyber ​​Essentials bare økt litt, fra 3 % til 5 % totalt, og fra 21 % til 35 % for store bedrifter. AI: Rundt en femtedel (21 %) av respondentene sier at de har tatt i bruk noen AI-verktøy i organisasjonen. Likevel hevder nesten halvparten (45 %) at AI ikke er relevant for organisasjonen deres. Merlin Gillespie, teknisk direktør i Cybanetix, forteller IO at rapporten nok en gang illustrerer to realiteter: Større firmaer er generelt kompetente, mens deres mindre konkurrenter er eksponert. «Standardresepten er godt innøvd.» Innfør en holdning der man antar at brudd skjer, skriv en testet hendelsesresponsplan med tydelige eskaleringsveier, implementer en rekke sikkerhetskontroller, MDR, identitetshåndtering, autentiseringsherding, og begynn å formell gjennomgå forsyningskjeden din, forklarer han. «Alt dette er det riktige svaret for bedrifter med en formalisert sikkerhetsfunksjon og ressurser som er i stand til å utføre arbeidet.» Problemet er at denne forskriften forutsetter en kapasitet som de fleste britiske bedrifter ikke har.» Richard Groome, spesialist på OT-cybersikkerhet hos e2e-assure, er bekymret for dårlig kapasitet til hendelsesrespons. «De fleste bedrifter kan eskalere internt, men bare en tredjedel har tydelige eksterne rapporteringsprosesser. Det er ikke motstandskraft, det er reaksjon,» sier han til IO. «Bedrifter må gå utover avkrysningsbokssikkerhet og fokusere på observerbarhet og operasjonell robusthet.» Dette krever kontinuerlig overvåking, raskere deteksjon og hendelsesrespons som faktisk er testet, ikke bare dokumentert. Med krav om 24-timers rapportering kan du ikke reagere på en hendelse du ikke har oppdaget. «Synlighet og hastighet er avgjørende.» Dan Lattimer, EMEA-visepresident hos Semperis, legger til at identitet må være en del av enhver hendelsesresponsplan. «Det er viktig å investere i identitetsovervåking og -gjenoppretting i tillegg til forebygging for å redusere nedetid, gjentatte hendelser og langsiktig forretningsskade», sier han. «Hendelsesrespons uten identitetsgjenoppretting er ufullstendig respons.» Formalisering av beste praksis Til tross for lav bevissthet om og bruk av standarder og rammeverk for beste praksis, kan disse være en nyttig alliert i arbeidet med å forbedre cyberrobustheten, ifølge andre eksperter IO snakket med. Graeme Stewart, leder for offentlig sektor i UK&I hos Check Point, beskriver rapportens funn som en «vekker» for organisasjoner i alle størrelser. «Den magiske trekanten av mennesker, prosesser og teknologi trenger alle oppmerksomhet.» De ansatte må være informerte og bevisste. Prosessene må være robuste og dekke både forebygging og respons etter hendelser, og teknologien må oppdateres på riktig måte, brukes riktig og holdes oppdatert, sier han til IO. «Rammeverk som Cyber ​​Essentials, ISO 27001 og NIST-veiledning gir viktige rekkverk, spesielt for mindre organisasjoner der ledelsen ikke er cybereksperter.» Disse rammeverkene gir bedrifter en strukturert vei videre, og det er genuint positiv fremgang, sier Huntress vCISO Muhammad Yahya Patel enig. «Rammeverk som Cyber ​​Essentials og ISO-standarder er verdifulle fordi de gir en konsekvent og styrt tilnærming til håndtering av kontroller, risikoer og retningslinjer», forteller han til IO. «Cyber ​​Essentials fokuserer spesielt sterkt på grunnleggende hygienekontroller, og realiteten er at mange av angrepene vi ser i dag lykkes nettopp fordi disse grunnleggende kontrollene ikke er på plass.» I vår rapport om fjorårets undersøkelse bemerket vi også hvordan innsatsen for å forbedre motstandskraften hadde stoppet opp på tvers av britiske PLC-er. Forhåpentligvis sier vi ikke det samme igjen neste år. Utvid kunnskapsguiden din: Rapporten om informasjonssikkerhetstilstanden 2025 Blogg: Å lukke gapet i robusthet: Der myndighetene sier at UK PLC fortsatt svikter Blogg: Å møte loven om bruk og tilgang til data med tillit: Hvorfor ISO 27001-, 27701- og 42001-løkken leverer
Les mer
ISO 27001

Når brukerstøtten er trusselen

Gamle angripere innen sosial manipulasjon dør aldri; de bare utvikler seg og blir bedre. Her er en historie om en angrepsgruppe som er dristig nok til å stadig kompromittere infrastrukturen i åpent syn, og råd om hva man kan gjøre med det. Sent i mai 2024 så Microsoft en økonomisk motivert nettkriminell gruppe de sporer som Storm-1811 gjøre noe som tradisjonelle perimeterkontroller ikke var bygget for å se – de logget seg på Teams, sa hei og ba om hjelp. Sky- og programvaregigantens trusselintelligensteam hadde allerede dokumentert at de samme operatørene misbrukte fjernstøtteverktøyet Quick Assist siden midten av april samme år, men overgangen til Teams ga dem en ny inngangsdør. Microsofts analytikere skrev at Storm-1811 «er en økonomisk motivert nettkriminell gruppe kjent for å distribuere BlackBasta ransomware», og leietakerne de registrerte for operasjonen hadde visningsnavn så generiske at de gikk ubemerket hen: «Help Desk», «Help Desk IT», «Help Desk Support», «IT Support». Siden den gang har mønsteret fortsatt. 4. november i fjor logget en ekstern bruker seg på et kundemiljø under visningsnavnet «IT-støtte» med kontoen mostafa.s@dhic.edu.eg. Innen tjueåtte minutter hadde de åpnet en skjermdelingsøkt med Quick Assist mot et mål som trodde han snakket med kolleger. Fem måneder senere, i mars i år, publiserte BlueVoyant etterforskningen av en relatert kampanje som slipper en tidligere udokumentert nyttelast kalt A0Backdoor, og vurderte den som «en utvikling av taktikker, teknikker og prosedyrer knyttet til BlackBasta ransomware-gjengen, som har oppløst seg etter at de interne chatloggene fra operasjonen ble lekket». Mannskapet har endret seg; det har ikke spillboken. Dette er et vedvarende problem. Teams har en fireårig historie med å la imitatorer bøye tillitsmodellen innenfra. I en avsløring som gikk fra mars 2024 til den endelige oppdateringen kom i slutten av oktober 2025, dokumenterte Check Point Research at angripere kunne overskrive chatter i stillhet ved å bruke en clientmessageid på nytt, forfalske varslingsavsendere, endre visningsnavn i private chatter og forfalske innringeridentiteter i lyd- og videosamtaler. Legitime verktøy i kriminelle hender Grunnen til at dette fungerer i stor skala er arkitektonisk, ikke atferdsmessig. Nesten alle komponenter er godkjent. Quick Assist leveres som standard på Windows 11 og aktiveres av en sekssifret kode; MSI-installasjonsprogrammene er digitalt signert og lagret i personlig Microsoft-skylagring; den skadelige hostfxr.dll sidelaster seg selv inn i en legitim prosess og dekrypterer A0Backdoor bare når den er plassert i minnet, der de fleste endepunktinspeksjoner allerede har fullført arbeidet sitt. Selv kommando- og kontrollfunksjoner skjuler seg i det åpne: i stedet for DNS-tunnelene med TXT-poster som modne sikkerhetsoperasjonssentre har lært å flagge, koder A0Backdoor instruksjonene sine i DNS MX-spørringer. Tid for samlet styring Så, hvordan ser styring ut når angripere utgjør dine egne arbeidsflyter som våpen mot deg ved hjelp av funksjoner som er aktivert som standard? Utgangspunktet er en grundigere gransking av disse funksjonene, sammen med deaktivering av funksjoner som kan være angitt som standard. Sikkerhetsteam kan avvise B2B-chatinvitasjoner ved å endre standardinnstillingen i Set-CsTeamsMessagingPolicy. De kunne basere Quick Assist til en kjent støttearbeidsflyt, samtidig som de behandlet Teams ChatCreated-hendelser som et førsteklasses signal sammen med endepunkt- og identitetstelemetri. Men dette er ikke avgjørelser som bør tas uavhengig. Disse angrepene fungerer nettopp fordi ingen enkelt eier ser nok til å handle. Identitetsteamet har ikke noe signal i en ChatCreated-hendelse det ikke bruker, mens SOC-en ikke har noen regel for en MX-spørring det aldri har omfanget. En enhetlig styringstilnærming innebærer en enhetlig ende-til-ende-oversikt over bedriftens arbeidsflyter som bruker dem. Et integrert styringssystem (IMS) er organiseringsprinsippet for en komplett styringsarbeidsflyt. I henhold til ISO 27001 kan for eksempel sikkerhets- og styringsteam gjennomgå retningslinjer for ekstern chat i henhold til tilgangsreglene A.5.15. Organisasjoner kan sette søkelyset på DNS ​​MX-kanalen ved å bestemme seg for å overvåke MX i stedet for bare TXT under A.8.16 (overvåkingsaktiviteter). Den slags felles tenkning kan føre til at ChatCreated og MX-telemetri vises på samme analytikerskjerm. På samme måte tilhører skjermdelingen Quick Assist skrivebordsteknikk under A.8.2 (privilegerte tilgangsrettigheter, inkludert verktøy for eksternt skrivebord). MFA-ledeteksten den omgår faller inn under A.5.15 (IAM), mens MSI-installasjonene kan overvåkes systematisk under A.8.19 (programvareinstallasjon). En samlet forståelse av disse risikoene baner også vei for bedre hendelsesrespons. Hvis du har integrert denne typen risiko i kontrollrammeverket ditt, er det enklere å behandle et kompromiss via samarbeidsprogramvare som et anerkjent scenario og lage en strategi for dette under avsnitt A.5.24 (planlegging og forberedelse av hendelseshåndtering). ISO 27001 er det logiske hjemmet for slikt arbeid fordi det tvinger identitet, tilgang og hendelsesrespons til å være innenfor ett kontinuerlig revidert system i stedet for tre sett med frakoblede kontrolleiere. Det er akkurat det gapet som Storm-1811 og dens etterfølgere stadig går gjennom. Utvid kunnskapen din-podkasten: Phishing for trøbbel Episode #8: Sikrere programvare, tryggere bedrifter Blogg: Hvordan kan sikkerhetsteam forberede seg på en post-mytetisk fremtid? Blogg: Hvordan Agentic AI skaper en ny risikoklasse for cybersikkerhetsteam
Les mer
ISO 27001

Helsevesenets kunstige intelligens utvikler seg raskt, men datastyring sliter med å holde tritt

Hvordan kan helseorganisasjoner løse hull i tillit og datastyring for å realisere alle fordelene med AI?  Av Kate O'Flaherty Helsesektoren innoverer ved hjelp av AI, med et enormt potensial for teknologien på tvers av områder som diagnostikk, triage og administrasjon. I Storbritannia tar NHS allerede i bruk AI utover grunnleggende oppgaver. NHS England har startet pilotprosjekter for screening av lungekreft med kunstig intelligens, der teknologien kan identifisere mindre problemer enn det menneskelige øyet kan se. I mellomtiden har det amerikanske mat- og legemiddeltilsynet (FDA) godkjent over 1,000 enheter som inneholder kunstig intelligens, hvorav de fleste brukes i radiologi. I løpet av de siste to årene har ledere innen helsevesenet gått fra å stille spørsmål ved om AI er relevant til å fokusere på hvordan den kan brukes ansvarlig og i stor skala, ifølge en fersk McKinsey-rapport. Tallene viser at halvparten av amerikanske helseorganisasjoner allerede har implementert generativ AI, mens mer enn 80 % hadde distribuert sine første brukstilfeller til sluttbrukere. Ifølge McKinsey er neste steg å se organisasjoner gå fra å bruke generativ AI til å lage innhold og støtte individuelle oppgaver, til agentisk AI for å iverksette tiltak og koordinere mer komplekse prosesser. Likevel forsinker betydelige barrierer innovasjon innen AI innen helsevesenet, inkludert sikkerhetsrisikoer og samsvarsproblemer på grunn av de enorme mengdene sensitive data som trengs for å trene opp systemer. Hvordan kan helseorganisasjoner løse hull i tillit og datastyring for å realisere alle fordelene med AI? Svært sensitive data Helsedata er blant de mest sensitive og mangefasetterte i alle sektorer, og kombinerer medisinske journaler, personopplysninger og finansiell informasjon fra flere leverandører og systemer. «En pasients informasjon kan finnes på tvers av sykehus, fastlegekontorer, spesialister, laboratorier, apotek, forsikringsselskaper og teknologiplattformer – ofte i inkompatible formater uten en enhetlig journal som binder den sammen», forklarer Craig Gravina, teknisk direktør i Semarchy. Resultatet er at ingen enkelt system har et fullstendig bilde av en pasient. «Å bygge det bildet – den longitudinelle pasientjournalen – er det som kreves for å få AI til å fungere trygt og effektivt i en klinisk setting», forteller Gravina til IO. «Uten den jobber AI ut fra et ufullstendig og upålitelig bilde.» I helsevesenet går dette utover å være et dataproblem, og det blir et pasientsikkerhetsproblem.» Etter hvert som KI blir integrert i kliniske arbeidsflyter, står organisasjoner overfor økende press for å svare på grunnleggende spørsmål: Hvor kom disse dataene fra, har de blitt validert, hvem har tilgang til dem, og kan KI-assisterte beslutninger revideres? «Når systemer begynner å påvirke kliniske beslutninger i stor skala, avdekker svake datagrunnlag alvorlige hull i tillit og ansvarlighet», sier Gravina. Innføringen av AI-teknologi skaper problemer på tre områder: ansvarlighet, forklaringsevne og samtykke, sier Mike Macauley, daglig leder i Liferay. «Ingen vet hvem de skal skylde på når AI gir medisinske råd. Hvis et system kommer med en anbefaling, kan ikke loven si hvem som er ansvarlig for resultatet.» Mange AI-modeller er i praksis «svarte bokser» som ikke forklarer hvordan de kommer frem til en konklusjon, ifølge Macauley. Det skaper et juridisk problem under Storbritannias personvernforordning (GDPR), fordi pasienter har rett til å vite hvorfor en datamaskin tok en spesifikk avgjørelse om helsen deres, sier Macauley. I mellomtiden trener selskaper sin AI ved hjelp av data de har samlet inn for ett bestemt formål, men den brukes ofte også av andre grunner. «Dette betyr at de ikke kan bevise at de har juridisk rett til å bruke de originale dataene som lærte systemet», sier Macauley til IO. Det skjulte problemet Etter hvert som AI introduseres i helsevesenet, er en ofte oversett risiko hva som skjer når data passerer gjennom en kompleks kjede av tredjeparter, som eldre plattformer og eksterne partnere. «Ansvaret blir utvannet ved hver overlevering», ifølge Semarchys Gravina. «Det er ikke alltid klart hvem som eier dataene i hvert trinn, hvem som er ansvarlig for kvaliteten, eller hvem som er ansvarlig når noe går galt.» Når ingen enkelt part har en komplett oversikt over datalivssyklusen, bryter styringen sammen.» Tradisjonelle rammeverk for helsestyring ble utformet for statiske systemer med relativt stabile dataflyter og faste regler, noe som økte kompleksiteten. For eksempel fungerer Cyber ​​Essentials og NHS Information Governance bare for rigide systemer. «KI bryter disse reglene fordi den stadig utvikler seg», sier Macauley fra Liferay. Samtidig ser en standard konsekvensanalyse av personvern, som beskrevet i GDPR, bare på et system én gang. En AI som lærer underveis kan imidlertid endre oppførselen sin uten at noen sjekker om den fortsatt er trygg eller lovlig, ifølge Macauley. Innovasjonsflaskehalser Mangel på tillit til styring undergraver fremgangen til AI i helsevesenet ved å øke risikoen for innovasjonsflaskehalser. Når organisasjoner mangler tillit til datagrunnlaget sitt, stopper adopsjonen av AI opp. «Ledere vil nøle med å ta i bruk kunstig intelligens i kliniske settinger hvis de ikke kan garantere datakvalitet og -avstamning, eller demonstrere reviderbarhet overfor regulatorer», sier Gravina fra Semarchy. «Ironien er at styringsinfrastrukturen som trengs for å skalere AI på en sikker måte, er den samme som leverer det longitudinelle pasientdatabildet som gjør AI mer effektiv i utgangspunktet.» God styring er den som muliggjør effektiv AI i helsevesenet, forklarer han. «Det er avgjørende at det å eksponere data for AI ikke trenger å bety at styringsverdien som er bygget rundt det, mistes – avstamning, tilgangskontroller og datakvalitet bør følge med dataene, ikke bli etterlatt når de går inn i en AI-pipeline.» Internasjonale standarder To internasjonale standarder danner rammeverket for håndtering av AI. ISO 27001 legger grunnlaget for sterk informasjonssikkerhet og -styring, og bidrar til å etablere strukturerte tilnærminger til risikostyring, tilgangskontroll, hendelsesrespons, aktivaforvaltning og ansvarlighet. Dette bidrar til å bygge «mer forsvarlig styring», sier Gravina. ISO 42001 bygger videre på dette ved å introdusere styring spesielt utviklet for AI-systemer. Den fokuserer på tilsyn, AI-spesifikk risikostyring, åpenhet og ansvarlig utvikling og bruk av AI. Sammen gjør disse standardene det mulig for helseorganisasjoner å «gå utover ad hoc-adopsjon av AI og over til en mer strukturert styringsmodell», forklarer Gravina. Det er tydelig at AI tilbyr et enormt potensial innen helsevesenet, hvis styringsstrukturer kan tilpasses denne innovative nye æraen. Pasienttillit bør ligge til grunn for alt, ifølge eksperter. Dr. Lohyd Terrier, førsteamanuensis i organisasjonsatferd ved EHL Hospitality Business School, taler for å behandle AI som en eksplisitt tjeneste for pasienten. «Det bør være sporbart, forklarbart og kunne avvises – snarere enn en usynlig backoffice-funksjon.» Utgangspunktet må være selve dataene. Ledere må forstå om organisasjonen deres har grunnlaget for å bygge «et enhetlig, langsgående syn på pasientdata på tvers av alle systemer og leverandører», sier Gravina fra Semarchy. «Uten det er styring av kunstig intelligens bygget på sand.» Han anbefaler å kartlegge hvor kunstig intelligens allerede er i bruk, identifisere kritiske datastrømmer og avhengigheter fra tredjeparter, avklare eierskap og forvaltning, og styrke tilgangskontroller, revisjonsspor og datakvalitet fra ende til ende. «Personvern, sikkerhet og KI-styring må samordnes i én helhetlig tilnærming, snarere enn å håndteres isolert.» Utvid din kunnskap Blogg: DXS International Breach: Lessons Learned for Healthcare Blogg: Status for informasjonssikkerhetsrapport: 11 viktige statistikker og trender for helsevesenet Webinar: ISO 42001 i aksjon: Lessons from One of the World's First ISO 42001 Certifications
Les mer
ISO 27001

Hvorfor Storbritannias NIS-oppdatering kan bety ekstra arbeid for organisasjoner innenfor dette området

Lovforslaget om cybersikkerhet og robusthet (CSRB) fortsetter å behandles i parlamentet. Men slutten på en lang lovgivningsprosess nærmer seg sakte. Når det endelig blir lov, vil lovforslaget innebære en lenge etterlengtet oppdatering av NIS-forskriften fra 2018. Men hva med britiske organisasjoner som allerede overholder EUs overhaling av de samme reglene, kjent som NIS2? Selv om det finnes noen forsøk på å samkjøre de to, er det også mange punkter der de divergerer. Fra antall sektorer som vurderes i omfanget til størrelsen på potensielle bøter, må compliance-teamene begynne å forstå virkningen av disse endringene nå. Og planlegg for potensielt mye ekstraarbeid. Hvordan CSRB skiller seg fra NIS2 For å forstå hvor mye CSRB avviker fra NIS2, ta en titt på sammendraget av lovforslaget på regjeringens nettsted. Den nevner ikke sin europeiske motpart i det hele tatt. Ordet «justering» dukker heller ikke opp. I praksis er det flere områder compliance-teamene bør se på: Regulerte enheter: omfang Storbritannia fokuserer på operatører av essensielle tjenester (OES), relevante leverandører av digitale tjenester (RDSP-er) – som er leverandører av sky-, søke- og markedsplasstjenester – og en ny kategori av relevante leverandører av administrerte tjenester (RMSP-er). Tilnærmingen er å utpeke spesifikke OES-er, mens NIS2 automatisk drar inn alle mellomstore og store enheter i 18 sektorer. Resultatet er at noen organisasjoner som omfattes av CSRB vil unnslippe NIS2-reguleringen, og omvendt. Regulerte enheter: nye kategorier CSRB introduserer bare én ny OES-kategori for «datasentertjenester», mens NIS2 inkluderer flere: offentlig forvaltning, romfart, avløpsvann, mat, produksjon, posttjenester, avfallshåndtering og digitale leverandører. Det gjør det mer sannsynlig at britiske organisasjoner som ikke er regulert av CSRB, vil falle inn under NIS2. MSP-er: RMSP-er introduseres som en ny kategori i CSRB, og de regnes som essensielle enheter eller viktige enheter av NIS2. Men det kan være forskjellige samsvarskrav for hvert regime. Tilsyn med forsyningskjeden: I Storbritannia kan «kritiske leverandører» til OES-er, RDSP-er og RMSP-er utpekes av kompetente myndigheter og Information Commissioner's Office (ICO), og de er underlagt direkte tilsyn. I NIS2 er det ingen direkte regulatorisk tilsyn, men alle enheter som er omfattet av arbeidet må vurdere risikoer i forsyningskjeden. Hendelsesdefinisjoner og rapportering: CSRBs definisjon av en regulert hendelse er utvidet til å omfatte hendelser «som kan ha en betydelig innvirkning på leveringen av en essensiell eller digital tjeneste» samt «hendelser som i vesentlig grad påvirker konfidensialiteten, tilgjengeligheten og integriteten til et system». Betydningen vil bli vurdert bransje for bransje. I NIS2 er hendelser de som forårsaker driftsforstyrrelser, økonomisk tap eller materiell/immateriell skade på andre. Dette betyr at terskelen for rapportering kan være forskjellig i Storbritannia/EU. Rapporteringsfristene – første rapportering innen 24 timer etter at man blir oppmerksom på en hendelse, deretter full varsling innen 72 timer – er imidlertid stort sett de samme i Storbritannia/EU. Kundevarsel: Dette er påkrevd for leverandører av datasentertjenester, RDSP-er og RMSP-er i Storbritannia. Men det kan være ytterligere krav i henhold til NIS2, avhengig av medlemsstatens tolkning av direktivet. Personlig ansvar: Dette er ikke dekket i CSRB, men NIS2 innfører betydelig personlig ansvarlighet for toppledelsen. Dette inkluderer obligatorisk opplæring for ledere og personlig ansvar for manglende overholdelse. Britiske organisasjoner som overholder NIS2 må forstå de mer detaljerte styringskravene i EU-regimet. Straff: I CSRB er standardstraffer det høyeste av 10 millioner pund eller 2 % av den globale årlige omsetningen, men øker til 17 millioner pund / 4 % for maksimale straffer. NIS2 gir medlemslandene spillerom til å avgjøre disse, så lenge de er «effektive, forholdsmessige og avskrekkende». Registrering: I henhold til CSRB må RMSP-er og datasenterleverandører utpekt som OES-er registrere seg. I NIS2 må essensielle og viktige enheter registreres hos kompetente myndigheter, men medlemslandene bestemmer hvordan dette fungerer. Konklusjonen er at britiske organisasjoner må vurdere sine forpliktelser for begge separat. Generell tilnærming: CSRB innfører betydelige nye fullmakter til informasjonsinnsamling for kompetente myndigheter og ICO, uavhengig av hvilken type regulert organisasjon det er snakk om. NIS2 gjør det mulig for viktige enheter å dra nytte av en enklere tilnærming. Men generelt sett er CSRB utformet for å være mer fleksibel enn sin europeiske ekvivalent, sier James Wong, senior medarbeider i Tech & Digital-teamet hos det globale advokatfirmaet Clifford Chance. «Regjeringen vil kunne utstede strategiske prioriteringer og målrettede retningslinjer, og regulatorer vil kunne utpeke enheter som «kritiske leverandører», noe som bringer dem direkte inn under regimets virkeområde», forteller han til IO (tidligere ISMS.online). «Lovforslaget inneholder også en mekanisme for praksiskodekser, som gir rom for nyanser tilpasset konteksten.» Etterlevelsesbyrden vokser Wong argumenterer for at kompleksiteten i «lokale implementeringslover», sekundærlovgivning og det potensielle behovet for å samarbeide med flere regulatorer gjør etterlevelse mer utfordrende for organisasjoner som er omfattet av både NIS2 og CSRB. Rhiannon Webster, sjef for cybersikkerhet i Storbritannia hos det globale advokatfirmaet Ashurst, legger til at Brexit begynner å få en reell innvirkning på samsvarsbyrden for britiske firmaer som opererer i Europa, med dette lovforslaget og loven om databruk og -tilgang. «Det har tatt en stund å komme, med personvern- og cyberlover i Storbritannia som hittil er en kopi og lim inn av sine EU-forgjengere.» Vi har imidlertid noen små, men meningsfulle endringer på gang,» forteller hun til IO. «Selv om selskaper kan forsøke å overholde begge regimene på en ensartet måte ved å anvende den høyeste standarden i Storbritannia og Europa, er det lite sannsynlig at dette er en kommersiell tilnærming til samsvar, og selskaper må vurdere forskjellene i regimene når de tar i bruk samsvarsprogrammer og vurderer risikoer.» Komme i gang Webster oppfordrer organisasjoner til først å forstå om de er innenfor rammen av NIS2 og dens britiske ekvivalent. «Du blir kanskje overrasket over å høre at i tilfelle sikkerhetshendelser og overholdelse av tidsfrister for rapportering, har vi ofte kunder som har vært usikre på om de ble fanget av NIS2, og som prøver å finne ut av det i tilfelle et sikkerhetsbrudd, noe som er langt fra ideelt», forklarer hun. «Overholdelse av standarder som ISO 27001 kan brukes til å sikre at informasjonssikkerhetskravene dine er proporsjonale.» Clifford Chances Wong forklarer at et «enhetlig cyberberedskapsprogram som er tilpasset alle relevante juridiske og regulatoriske krav», bør være hovedmålet for compliance-team. «Bruk av etablerte rammeverk som ISO 27001 kan effektivisere samsvar og gjøre det enklere å demonstrere kjernepraksis på tvers av flere jurisdiksjoner.» Slike rammeverk gir en struktur å bygge videre på, men er bare et grunnlag og må tilpasses lokale forpliktelser, legger han til. «Regelmessige gjennomganger sikrer at programmet forblir egnet for formålet ettersom kravene endrer seg over tid.» For kompleks forretningsdrift som strekker seg over flere jurisdiksjoner, blir beste praksis enda viktigere, sier Wong. Han peker på «proaktivt lederskap», prioritering av risikoer og kontroller, regelmessige bordøvelser, sterke relasjoner i forsyningskjeden og å sette inn riktig verktøy. Uansett hvordan du ser på det, vil prisen på å operere i Storbritannia og EU øke. Utvid kunnskapswebinar: Mestre NIS 2-samsvar med ISO 27001 Blogg: Fra NIS2 til cyberrobusthetsloven: Produktsiden av styring Blogg: Bygg én gang, overhold overalt: Håndboken for samsvar med flere rammeverk
Les mer
ISO 14001

Hvordan Blue Services oppnådde trippel ISO-sertifisering

Etterlevelse av regler er ikke lenger en byrde – det har blitt en integrert del av hvordan vi driver virksomheten.
Les mer
ISO 27001

Hvordan kan sikkerhetsteam forberede seg på en post-mytosisk fremtid?

Nettsikkerhetsbransjen kan nettopp ha hatt sitt «ChatGPT-øyeblikk». Anthropics nye Claude Mythos Preview-modell, som ble avduket tidlig i april, har tilsynelatende funnet tusenvis av nulldagsfeil med høy og kritisk alvorlighetsgrad i åpen kildekode og proprietær programvare – noen som dateres over 20 år tilbake i tid. Dermed lover det å kollapse utnyttelsesvinduet der nettverksforsvarere kjemper for å oppdatere før motstanderne sine. Anthropics beslutning om å bruke modellen i Project Glasswing – der leverandører vil bruke teknologien til å finne og fikse nye sårbarheter – vil forårsake enda mer forstyrrelser. Det er vanskelig å overvurdere hvilken innvirkning dette vil ha på sikkerhetsteamene. Men én ting har de på sin side. Historien har slått gjennom til styrerommet. Dette kan være en gyllen mulighet til å sikre finansiering og ressurser for en ny æra med AI-drevet sårbarhetshåndtering. Hva betyr dette for CISO-er? Selv om Mythos lykkes med å holdes unna hackernes hender, vil ikke andre modeller fra andre leverandører bli det. Det er store implikasjoner for IT-sjefer: På kort sikt vil team sannsynligvis bli oversvømt med nødoppdateringer fra leverandører som er registrert i Project Glasswing. Statlige aktører kan se etter å bruke lagrede nulldagsangrep relativt snart, før AI-drevet oppdagelse gjør dem verdiløse. På lengre sikt kan IT-sjefer forvente at Mythos-lignende evner vil komme i hendene på nettkriminelle og statlige aktører. Dette vil «dramatisk øke» antallet og hyppigheten av komplekse, nye angrep, ifølge en ny bransjerapport. Hvor bra er Mythos? Ifølge rapporten – produsert av Cloud Security Alliance (CSA), OWASP, SANS og andre – representerer Mythos et «stort skifte» innen AI-drevet oppdagelse og utnyttelse av sårbarheter. Den hevder at modeller av denne typen er forskjellige fordi de er: Mer autonome og pålitelige, og utvikler utnyttelser autonomt uten behov for «stillas» – den eksterne koden og rekkverket som LLM-er ofte trenger for å fungere I stand til å identifisere komplekse, lenkede sårbarheter I stand til å gjøre alt med én enkelt ledetekst Etter å ha testet Mythos har imidlertid Storbritannias AI Security Institute (AISI) noen viktige forbehold. En ny rapport avslørte at Mythos Preview lykkes i 73 % av tilfellene med «capture-the-flag»-oppgaver på «ekspertnivå». Imidlertid er cyberangrep i den virkelige verden langt mer komplekse. Derfor bygde AISI «The Last Ones» (TLO): en 32-trinns simulering av angrep på bedriftsnettverk som går fra innledende rekognosering til fullstendig nettverksovertakelse. Det ville ta et menneske rundt 20 timer å fullføre. Mens Mythos var den første modellen som løste TLO fra start til slutt, tre av ti ganger. Mer inferensberegning kan oppnå enda bedre ytelse, sa AISI. Enda viktigere er det at instituttet sa at dette bare beviser at Mythos er i stand til å «autonomt angripe små, svakt forsvarte og sårbare bedriftssystemer der tilgang til et nettverk er oppnådd». I den virkelige verden burde ting være langt vanskeligere takket være tilstedeværelsen av «aktive forsvarere og defensive verktøy». Forberedelser til en post-mytos-æra I mellomtiden anbefalte AISI at sikkerhetsteam skulle fokusere på det grunnleggende: «regelmessig bruk av sikkerhetsoppdateringer, robuste tilgangskontroller, sikkerhetskonfigurasjon og omfattende logging.» Den pekte også på defensiv bruk av frontlinje-AI for ting som: Systemherding, via kontinuerlig skanning, oppdagelse av feil og feilkonfigurasjoner, kartlegging av angrepsbaner og testing av utnyttbarhet Forbedring av trusseldeteksjon og -etterforskning ved prioritering, oppdagelse av mønstre i logger og skriving av rapportsammendrag Automatisering av responshandlinger som blokkering av trafikk, karanteneprosesser og tilbakekalling av brukertilgang Bridewells tekniske direktør, Martin Riley, legger til at CISO-er bør starte med kontinuerlig trusseleksponeringsstyring (CTEM) så snart som mulig. «Inventar av ressurser, prioritering av angrepsflater, kontrollvalidering og mobilisering for utbedring.» Hvis du ikke har kontinuerlig oversikt over eksponeringen din, flyr du i blinde», sier han til IO (tidligere ISMS.online). «For det andre, stresstest deteksjonen din mot trusler du aldri har sett før.» Invester i anomalibasert deteksjon og dyp nettverkstelemetri. Signaturbaserte tilnærminger vil ikke fange opp AI-genererte angrepskjeder.» CISO-er må også stålsette teamene sine for en periode med «vedvarende driftsintensitet», advarer Riley. «CSA-dokumentet fremhevet med rette utbrenthet som en operasjonell risiko.» IT-sjefer må planlegge kapasitet, be om antall ansatte og akselerere bruken av AI-agenter i sine egne team for å holde tritt, argumenterer han. «Til slutt, herd det grunnleggende.» Segmentering, utgående filtrering, phishing-resistent MFA og dybdeforsvar. Disse kontrollene øker kostnadene ved utnyttelse uavhengig av hvordan sårbarheten ble oppdaget. Modenhet er ikke noe man bygger opp over natten. «Tiden for å investere er nå.» Eksisterende rammeverk som grunnlag Jeff Williams, grunnlegger av OWASP og teknisk direktør i Contrast Security, argumenterer for at eksisterende standarder og rammeverk for beste praksis som ISO 27001 og NIST CSF kan spille en rolle i overgangen til en post-Mythos-verden. «Eksisterende rammeverk kan være til hjelp her, men hovedsakelig som en liste over konseptuelle ønskede resultater.» De krever styring, synlighet, kontroll, deteksjon, respons og kontinuerlig forbedring,» sier han til IO. «Men i en post-Mythos-verden der både utviklere og angripere er hyperakselererte med AI, må nesten alle aktiviteter som disse rammeverkene innebærer, tenkes om på nytt for å drive disse resultatene med AI-forbedrede arbeidsflyter.» Dette handler ikke om å gjøre det samme arbeidet raskere, men snarere å transformere «periodisk, manuell, avkryssningsvennlig sikkerhet» til noe som er «mer kontinuerlig, mer maskinlesbart og mer forsvarlig», fortsetter han. «CTEM, AI-assistert deteksjon, kjøretidssikkerhet og kontinuerlig observasjon er hvordan du gjør disse rammeverksideene om til en reell garanti for at sikkerheten faktisk er korrekt og effektiv på tvers av både utvikling og drift», argumenterer Williams. Pukar Hamal, grunnlegger og administrerende direktør i SecurityPal AI, ser også en rolle for ISO 27001, NIST CSF, SOC 2 og til og med Cyber ​​Essentials. «De er fortsatt gode utgangspunkt fordi de tvinger frem den grunnleggende disiplinen de fleste organisasjoner fortsatt ikke har: en oversikt over hva du eier, en følelse av hvem som kan røre det, og en dokumentert måte å reagere på når noe går i stykker», forteller han til IO. «Ingenting av dette forsvinner i en verden etter Mythos.» Imidlertid må IT-sjefer bygge sin sikkerhetsstrategi etter Mythos rundt kontinuerlig sikring, ikke periodisk attestering. «De smarteste sikkerhetslederne jeg snakker med, behandler allerede ISO 27001 som gulvet og bygger i stillhet det andre laget selv», avslutter han. Utvid kunnskapen din Podcast: Phishing for Trouble Episode #08: Sikker programvare, tryggere forretningsveiledning: Sikring av AI-angrepsoverflaten Blogg: Hvorfor regulatorer og investorer forventer at selskaper skal håndtere en trippel risiko
Les mer
ISO 27001

Vær oppmerksom på gapet: Salesforce-hendelsen og den utviklende naturen til skyrisiko

Etter at hackerkollektivet ShinyHunters utnyttet «altfor permissive» konfigurasjoner for gjestebrukere i Salesforce for å få tilgang til data fra opptil 400 organisasjoner, hvordan kan bedrifter styrke sin motstandskraft? Av Kate O'Flaherty I mars utstedte Salesforce en advarsel til kunder om at hackerkollektivet ShinyHunters utnyttet feilkonfigurasjoner på offentlige Experience Cloud-nettsteder for å få tilgang til sensitive data og holde firmaer som gissel. Angriperne skal visstnok ha bevæpnet en modifisert versjon av åpen kildekode-verktøyet AuraInspector, opprinnelig utviklet av Mandiant, for å utføre masseskanning og finne konfigurasjonshull for å angripe opptil 400 organisasjoner. Som en del av Salesforce Aura-rammeverket for å identifisere sikkerhetsfeilkonfigurasjoner på Experience Cloud-nettsteder, laget angriperne en versjon av verktøyet som «kan gå utover identifisering til faktisk å trekke ut data», advarte Salesforce i en veiledning. «Dette er den moderne angriperstrategien», sier Dean Garvey-North, teknologidirektør i Microlise. «Bruk legitime verktøy, målrett konfigurasjonssvakheter snarere enn plattformsårbarheter, og operer i internettskala.» Med motstandere som utnyttet kunder med «altfor permissive gjestebrukerinnstillinger», var ikke Salesforce å klandre for hendelsen – i hvert fall ikke fra et juridisk synspunkt. Hendelsen er et godt eksempel på hvordan skykonfigurasjon, identitetseksponering og modeller for delt ansvar skaper nye og ofte misforståtte risikoområder. Hvordan kan organisasjoner redusere eksponering og styrke robustheten i skydrevne miljøer der risikoen ofte ligger i gapet mellom plattformkapasitet og kundekonfigurasjon? Feilkonfigurasjoner Som Salesforce-hendelsen viser, fortsetter feilkonfigurasjoner, spesielt rundt gjestetilgang og identitetstillatelser, å være en vedvarende kilde til dataeksponering. Feilkonfigurasjoner vedvarer fordi organisasjoner ofte prioriterer brukervennlighet og rask digital utrulling fremfor sikkerhet. Dette gir utilsiktet uautoriserte eksterne brukere «brede, interne datatillatelser» i stedet for å strengt håndheve en tilgangsmodell med «minst privilegier», sier Dray Agha, seniorleder for sikkerhetsoperasjoner hos Huntress. Brukervennlighet og sikkerhet er «i spenning per design», og konfigurasjonsbeslutninger tatt under implementeringstidspunktet blir sjelden revurdert, sier Garvey-North fra Microlise. «Salesforce Experience Cloud-portaler bruker en dedikert gjesteprofil som lar uautoriserte besøkende se offentlige sider eller sende inn skjemaer uten å logge inn.» Når den profilen er feilkonfigurert med for mange tillatelser, blir data som ikke er ment å være offentlige direkte spørrbare, uten at det kreves innlogging.» Problemet er strukturelt, sier Garvey-North. «Plattformene leveres med tillatte standardinnstillinger for å redusere friksjon for nye kunder.» Implementeringsteam optimaliserer for å få ting til å fungere. Sikkerhetsgjennomganger skjer på et gitt tidspunkt.» Men skykonfigurasjon er ikke statisk: «Hver ny portal, integrasjon eller funksjonsutrulling er en potensiell ny eksponeringsflate», påpeker Garvey-North. «Uten kontinuerlig konfigurasjonsovervåking stoler du i bunn og grunn på at ingenting har skjedd siden forrige revisjon.» Hvem har skylden? Salesforce er et eksempel på hvordan funksjoner som er utformet for brukervennlighet, som offentlige portaler, API-er og gjestetilgang, introduserer nye og ofte undervurderte sikkerhetsrisikoer. Disse funksjonene endrer ofte tradisjonelle sikkerhetsforutsetninger, sier Dana Simberkoff, sjef for risiko, personvern og informasjonssikkerhet hos AvePoint. «Brukervennlighetsdrevet design flytter ofte risikoen i det stille fra plattformen til kunden.» Det kan da være utfordrende å finne ut hvor ansvaret ligger mellom skyleverandører og kunder – spesielt når hendelser stammer fra konfigurasjonsproblemer, snarere enn sentrale plattformsårbarheter. Angriperne sa at en «Salesforce-begrensning» muliggjorde hendelsen. Likevel har Salesforce selv vært tydelige: Dette er ikke en plattformsårbarhet, men et problem med hvordan kunder har konfigurert gjestebrukertillatelser, sier Garvey-North. Skyleverandører sikrer plattformen, men kundene er ansvarlige for hvordan den konfigureres – inkludert identitet, tillatelser og dataeksponering. «Det er der de fleste organisasjoner kommer til kort», sier Stew Parkin, global CTO for Assured Data Protection. «De ender opp med å stole på punktvise revisjoner i miljøer som stadig endrer seg.» Modellen for delt ansvar er «veletablert i teorien og stadig misforstått i praksis», legger Garvey-North fra Microlise til. «Skyleverandører sikrer infrastrukturen og plattformen.» Kundene er ansvarlige for hva de legger på den, hvordan de konfigurerer tilgang og hvordan de styrer den over tid. Gapet, og der de fleste sikkerhetsbruddene nå befinner seg, er i konfigurasjonslaget.» Automatisering som muliggjør angrep Samtidig vokser angripernes kapasitet, og bruker automatisering og legitime verktøy for å identifisere og utnytte svakheter på tvers av hundrevis av organisasjoner samtidig. Mandiants tekniske direktør bekreftet at Shiny Hunters brukte AuraInspector til å automatisere sårbarhetsskanninger i stor skala på tvers av Salesforce-miljøer. «Når forsvarere tenker på skyrisiko, har de fortsatt en tendens til å tenke i form av enkeltstående hendelser», sier Garvey-North. Men angripere tenker i form av overflateareal. «Ethvert feilkonfigurasjonsmønster som finnes på tvers av tusenvis av organisasjoner er en enkelt automatisert kampanje unna masseutnyttelse», sier Garvey-North. I mellomtiden øker taktikker som iscenesatte lekkasjer og vishing-kampanjer virkningen av denne typen hendelser. ShinyHunters satte en offentlig frist og advarte om at stjålne data ville bli frigitt med mindre ofrene etterkom utpressingskrav. Gruppen drev parallelle vishing-operasjoner, der de utga seg for å være IT-ansatte og henviste ansatte til nettsteder for innhenting av legitimasjon for å fange opp legitimasjonsinformasjon for enkeltpålogging og flerfaktorautentisering (MFA-koder). Kombinasjonen er bevisst, sier Garvey-North: «Stjel data via feilkonfigurasjon, innhøst påloggingsinformasjon via sosial manipulering, og deretter presse ut penger ved hjelp av begge deler.» Dette kommer i en tid med økende regulatoriske forventninger rundt databeskyttelse, tilgangskontroll og ansvarlighet. Med mange territorier som nå har personvernlover, og økningen av gruppesøksmål, er forebygging av eksponering av data nå ofte den viktigste drivkraften for betaling av utpressingskrav. «Selv om det åpenbart ikke anbefales, er det ofte billigere å betale for å forhindre utgivelse av dataene enn å måtte ilegge bøtene og advokatkostnadene som følger av utleveringen», sier Tony Gee, ledende cybersikkerhetskonsulent hos 3B Data Security. Å bygge bro over synlighetsgapet Hendelser som Salesforce-angrepene fremhever en vedvarende utfordring: Organisasjoner er i økende grad avhengige av skyplattformer, men sikkerhetsansvaret er distribuert og ikke alltid klart forstått. Bedrifter må gå lenger enn å anta at skyplattformsikkerhet er tilstrekkelig, mot en mer kontinuerlig, systembasert tilnærming til konfigurasjonsstyring, identitetsstyring og sikring. Tradisjonell sikkerhet er i stor grad avhengig av statiske, punktvise revisjoner som «fullstendig går glipp av de subtile, kontinuerlige konfigurasjonsendringene og API-eksponeringene som kjennetegner moderne skyrisikoer», sier Huntress' Agha. Dette etterlater «et farlig hull i synligheten der legitime funksjoner i stillhet misbrukes», advarer han. Med dette i tankene finnes det noen praktiske tiltak som sikkerhets- og samsvarsledere bør ta for å forbedre synlighet og kontroll over identitet, tilgang og konfigurasjonsinnstillinger. Ledere må gå over til en «privat-som-standard» sikkerhetsposisjon ved aktivt å revidere tillatelser for eksterne gjesteprofiler, deaktivere uautorisert offentlig API-tilgang med mindre det er strengt nødvendig, og implementere kontinuerlig overvåking av hendelseslogger for å fange opp unormale dataforespørsler, ifølge Agha. «Vær utrolig nysgjerrig på infrastrukturen som benyttes, og anta at leverandøren ikke har implementert standardsikkerhet», råder han. «Undersøk sikkerhetsalternativene som er tilgjengelige i konfigurasjonen av tredjepartsverktøy.» En viktig defensiv kontroll er sterk leverandørundersøkelse og kontinuerlig risikostyring fra tredjepart, sier Gee fra 3B Data Security. Han anbefaler en tilnærming med minst mulig privilegier for datadeling, der kun nødvendige data deles med tredjeparten. Microlises Garvey-North anbefaler å stille leverandører de samme spørsmålene som du ville stilt din egen infrastruktur: «Hva er deres sikre standardkonfigurasjoner, hvordan oppdager dere unormal tilgang på plattformnivå, og hvordan ser rapporteringsprosessen deres ut når noe går galt?» Samtidig er det grunnleggende å ha en robust responsprosess for å begrense risikoen for bøter og søksmål, sier Gee. «Det å demonstrere sterk cyberrobusthet har blitt sett på som en avgjørende faktor for bøtenivået.» Å ikke gjøre noe og stole på den skinnende tredjepartsmarkedsføringen er ikke et gyldig forsvar og fører ofte til større bøter og enkle gruppesøksmål.» Samtidig bidrar rammeverk som ISO 27001 ved å pålegge strenge, kontinuerlige risikovurderinger og systematiske retningslinjer for tilgangskontroll. Dette bidrar til å forvandle skysikkerhet fra en «sett og glem»-avkrysningsboks til en «kontinuerlig styrt prosess som justerer komplekse miljøer med robuste standarder», sier Agha. Der ISO 27001 virkelig tilfører verdi i komplekse digitale miljøer, er ved å tvinge frem organisatorisk klarhet: Hvem eier hver kontroll, hva akseptabel risiko ser ut som, og hvordan hendelser eskaleres og læres av, sier Garvey-North. «Den styringsstrukturen blir bindevevet mellom din sikkerhetstekniske kapasitet og din risikoappetitt på styrenivå.» Uten det har du verktøy uten ansvarlighet.» Utvid kunnskapen din Blogg: Minste motstands vei: Hvorfor dybdeforsvar er den beste responsen på skytrusler Podcast: Phishing for trøbbel Episode #10: De store cybersikkerhetsspørsmålene bedrifter står overfor Webinar: Kraften i ISO 27017 og 27018: Sikring av skymiljøet ditt
Les mer
ISO 27001

Hvordan Evolution Funding kjørte til ISO 27001-sertifiseringssuksess

Lær hvordan Evolution-finansiering:

  • Oppnådd ISO 27001 sertifisering på 18 måneder
  • Tilpasset IO-plattformen policy- og kontrollmaler å effektivisere samsvar
  • Integrerte IO-plattformen i den daglige driften for å sentralisere styringen av informasjonssikkerhet.

Evolusjonsfinansiering er et FCA-regulert meglerfirma for motorfinansiering. Virksomheten tilbyr digitale finansieringsløsninger som hjelper partnerne deres med å bygge motorfinansieringsreiser og forvandle kundeopplevelsen ved å ta opp motorfinansiering. Evolution Fundings omfang og muligheter går utover det en tradisjonell megler har; deres innovative digitale finansieringsløsninger former motorfinansieringsbransjen.

Å oppnå ISO 27001-sertifisering var et kjernemål for Evolution Funding. Etter hvert som virksomheten hadde vokst og innovert, hadde den utviklet tilbudet sitt ytterligere inn i det teknologiske området, med markedsledende finansprogramvareløsninger, muligheter for generering av leads innen motorfinansiering, et proprietært digitalt finans-API og mer. Denne utviklingen gjorde det avgjørende å demonstrere robust informasjonssikkerhetsstyring.

Evolution Funding-teamet trengte imidlertid en sentralisert plattform som de kunne implementere ISO 27001-standarden med og jobbe seg gjennom samsvarsprosessen. De brukte opprinnelig SharePoint, som tilbød en sterk løsning for håndtering av dokumentasjon, men som ikke tillot teamet å enkelt samle inn bevis eller koble dem til retningslinjene og kontrollene for informasjonssikkerhetsstyringssystemet (ISMS).

«Vi brukte SharePoint til å samle alt for ISO 27001. Selv om det er bra for lagring og administrasjon av dokumentasjon, krever ISO-standarden mye mer enn bare dokumentlagring.»

Jen Fox, GRC informasjonssikkerhetssjef hos Evolution Funding

For å effektivisere ISO 27001-sertifiseringsprosessen, benyttet Evolution Funding seg av IO-plattformen. Teamet migrerte sin eksisterende dokumentasjon fra SharePoint til IO, noe som gjorde det mulig for dem å konsolidere samsvarsstyringen, sørge for at dokumenter ble lagret på passende steder på plattformen og få en direkte oversikt over fremdriften i dashbordet.

«Det at vi flyttet dokumentasjonen vår fra forskjellige områder av SharePoint til én enkelt plattform gjorde sertifiseringsprosessen mye enklere.»

Jen Fox, GRC informasjonssikkerhetssjef hos Evolution Funding

Den første implementeringen var enkel. Jen brukte plattformens brukeradministrasjonsfunksjon til å legge til brukere i relevante prosjekter og tildele ulike tilgangsnivåer etter behov. Dette forenklet også prosessen med å gi tilgang til tredjeparter, som interne og eksterne revisorer.

«Det er en reell fordel å kunne legge til tredjepartene som støtter oss med interne og eksterne revisjoner i IO-plattformen, slik at de kan gjennomgå og revidere uten å måtte gå gjennom alt med oss.»

Jen Fox, GRC informasjonssikkerhetssjef hos Evolution Funding

Mens de jobbet seg gjennom samsvarsprosessen, brukte Jen og teamet plattformens innebygde policy- og kontrollmaler som veiledning. De brukte IOs «adopter, tilpass, legg til»-funksjoner for å skreddersy maler med sitt eget tilpassede innhold etter behov, og sørget for at de var relevante for Evolution Fundings spesifikke informasjonssikkerhetsbehov.

«Der vi ikke var helt sikre på hva vi skulle skrive om i en policy eller kontroll, var det veldig nyttig å bruke malene for å omformulere dem og gjøre dem til våre egne.»

Jen Fox, GRC informasjonssikkerhetssjef hos Evolution Funding

«Sertifiseringsprosessen for ISO 27001 har blitt veldig enkel. Jeg tror ikke vi ville ha funnet det like enkelt å oppnå sertifisering uten IO-plattformen.»

Jen Fox, GRC informasjonssikkerhetssjef hos Evolution Funding

Ved å bruke IO-plattformen til å sentralisere og effektivisere samsvarsprosessen, oppnådde Evolution Funding ISO 27001-sertifisering på 18 måneder. De klarte dette til tross for at bedriftens opprinnelige eksterne revisjonsorgan opplevde ressursutfordringer som forsinket prosessen.

Jen delte at IO-plattformen sparte bedriften for mye tid:

«Et område der vi sparte mye tid var revisjonsprosessen – vi trengte ikke å sitte i Teams-møter med revisorer i flere dager. Vi kunne fortsette og gjøre vårt vanlige arbeid som et team, mens revisoren hadde tilgang til plattformen.»

Jen Fox, GRC informasjonssikkerhetssjef hos Evolution Funding

Kvartalsmøter med deres dedikerte Compliance Success Manager (CSM), Wayne, fortsetter å tilføre reell verdi for virksomheten. Disse møtene støtter en åpen kommunikasjonslinje, der Wayne ofte identifiserer nye løsninger for å hjelpe Evolution Funding med å nå spesifikke mål innenfor plattformen. For eksempel krevde virksomheten nylig en «unntaksregel fra policyen» som lar teamet bruke spesifikke verktøy i en viss periode før IO-plattformen automatisk forhindrer gjenbruk.

Virksomheten planlegger å videreutvikle bruken av IO-plattformen for samsvarsstyring. Evolution Funding er en del av et større konsern, Evolution Group, og de neste stegene inkluderer å legge til søsterselskapene Creditas og Motion Finance i omfanget av ISO 27001 ISMS.

I tillegg vurderer teamet enten å utvide bruksscenariet for ISO 27001 eller å implementere Cyber ​​Essentials for andre virksomheter i Evolution Group som kanskje ikke faller inn under omfanget av deres eksisterende ISMS.

Les mer
ISO 27001

Atlas Air og forsyningskjedeproblemet: Hvordan ubeviste påstander skaper risiko i den virkelige verden

Påstandene til løsepengevirusgruppen Everest om at de hadde brutt sikkerhetsbrudd hos Atlas Air og leverandøren Tsunami Tsolutions viser hvordan moderne løsepengevirusangrep utnytter kompleksiteten i forsyningskjeden for å skape risiko – selv der sikkerhetsbruddene er ubekreftede. Av Kate O'Flaherty I februar hevdet Everest-ransomware-gruppen å ha stjålet 1.2 TB med data fra fraktflyselskapet Atlas Air. Påstandene som ransomware-kartellet la ut på et mørkt nettforum, ble støttet av skjermbilder av den angivelig stjålne informasjonen, inkludert tekniske Boeing-flydata. Dager senere hevdet hackerne at de også hadde kompromittert den USA-baserte leverandøren av luftfartsteknologi og informasjonsløsninger, Tsunami Tsolutions, med henvisning til et mindre datasett i det som så ut til å være et koordinert angrep innen forsyningskjeden. Atlas Air benektet bruddet, og Tsunami Tsolutions svarte ikke på Everests påstander, men hendelsene viser hvordan moderne ransomware-angrep utnytter kompleksitet og tvetydighet i forsyningskjeden for å skape risiko – selv der bruddene er ubekreftede. Hvordan kan organisasjoner styrke motstandskraft og forsvarsevne i møte med usikre, raskt utviklende trusselscenarier som går utenfor deres direkte kontroll? Skjermbildeproblemer Everest hevdet at de hadde bevis for Atlas Air-innbruddet, men dokumentene de fremla kunne lett ha vært forfalsket. I stedet for å offentliggjøre fullstendige dataeksempler, publiserte gruppen skjermbilder av det de beskrev som vedlikeholds- og reparasjonsdokumenter, logistikkregistre og delekataloger. Påstander som kun inneholder skjermbilder befinner seg i en bevisst tvetydig sone, sier Sergiu Zaharia, PhD, CISO hos Pentest-Tools.com. «Men den tvetydigheten er poenget», sier han til IO. «Everest trenger ikke å bevise bruddet definitivt for å skape press.» Den ønsker bare å skape nok tvil til at omdømme- og kontraktsrisikoen ved passivitet oppveier kostnadene ved engasjement. Det er en veletablert utpressingsmekanikk.» Forskerne bemerket avvik i skjermbildene, inkludert en referanse til Malaysia Airlines som ikke så ut til å ha en direkte forbindelse med Atlas Air. Da Everest senere tok på seg angrepet mot Tsunami Tsolutions, viste skjermbildene lignende typer informasjon. Dette reiser legitime spørsmål om hvorvidt dataene i det hele tatt stammer fra Atlas Airs systemer, eller fra en leverandør. Dataene kunne til og med ha kommet fra en delt plattform, eller «en urelatert kilde som gruppen samlet i ett enkelt krav for maksimal innflytelse», antyder Zaharia. Spørsmålet om troverdighet er derfor mindre binært enn det ser ut til, sier Zaharia. «Skjermbildene beviser kanskje ikke et brudd på Atlas Airs kjernesystemer.» Men de beviser nesten helt sikkert at noen, et sted i forsyningskjeden, hadde tilgang til dokumenter av denne typen på en måte som tillot utpressing.» Påstandene som involverer Atlas Air og Everest-ransomware-gruppen illustrerer et tilbakevendende mønster i moderne cyberutpressing: Trusselaktører publiserer skjermbilder og dristige uttalelser, mens den målrettede organisasjonen benekter kompromittering, sier Tracey Hannan-Jones, direktør for informasjonssikkerhetsrådgivning i UBDS Digital. I sektorer med sterk sammenkobling, som luftfart og luftfrakt, kan den nedstrøms virkningen av disse «uprøvde» hendelsene fortsatt være betydelig, sier hun. Verifiserbare lekkasjer gir vanligvis sterkere signaler. Disse inkluderer filtrær, eksempelarkiver, hasher, tidsstempler, unike interne identifikatorer eller uavhengig bekreftelse fra berørte tredjeparter, sier Hannan-Jones. Skjermbilder «gir sjelden nok til å bekrefte opprinnelsen» uten offerets interne telemetri, sier hun. Risiko i den virkelige verden Så selv om det ikke finnes noe definitivt bevis for at et brudd fant sted, skaper påstandene fortsatt reelle risikoer. Å benekte et brudd eliminerer ikke risiko, det endrer bare dens natur, sier Dana Simberkoff, sjef for risiko, personvern og informasjonssikkerhet hos AvePoint. «Når en troverdig trusselaktør offentliggjør en påstand, står organisasjoner overfor driftsmessige, regulatoriske og omdømmemessige konsekvenser – uavhengig av om den er underbygget.» Benektelse er ikke det samme som forsikring, legger Rob Demain, administrerende direktør i e2e-assure, til. «Atlas Airs uttalelse om at systemene deres ikke ble kompromittert, gjelder bare deres eget miljø», påpeker han. «Det verken bekrefter eller avkrefter hvorvidt data knyttet til organisasjonen kan finnes andre steder i forsyningskjeden.» Dette er kjerneproblemet i forsyningskjeden, sier han. «En organisasjon kan hevde kontroll over sine egne systemer, men ikke nødvendigvis over systemene til leverandører som kan lagre, behandle eller få tilgang til dataene.» Kompleksitet i forsyningskjeden Med sammenkoblede datamiljøer på tvers av operatører, produsenter og ingeniørpartnere, gir luftfartssektoren et klart eksempel på hvordan tredjepartsrisiko kan forplante seg på tvers av et økosystem. Luftfart er en av de mest lærerike sektorene for dette problemet fordi kompleksiteten i forsyningskjeden er «strukturell og uunngåelig», ifølge Zaharia. «Et enkelt flyprogram involverer tusenvis av leverandører på tvers av en rekke land, koblet sammen gjennom vedlikeholdssystemer, deledatabaser, logistikkplattformer og tekniske dokumentasjonsarkiv bygget for driftseffektivitet, ikke sikkerhet.» Mange av disse forbindelsene bærer med seg implisitt tillit som aldri har blitt eksplisitt validert.» Det resulterende problemet er ugjennomsiktighet i forsyningskjeden, ifølge Stew Parkin, teknisk direktør hos Assured Data Protection. «Tradisjonell tredjeparts risikostyring – spørreskjemaer, årlige evalueringer, kontraktsmessige garantier – er rett og slett ikke bygget for tett sammenkoblede økosystemer med flere avhengighetslag og delte plattformer.» Når noe som Atlas-hendelsen skjer, støter organisasjoner på problemet med å bevise en negativ konklusjon. «Det er ikke lett å bevise at data ikke ble åpnet, spesielt hvis eksponeringen kan ha skjedd via en partner», sier Parkin. «Det er gapet mellom det som er kjent internt og det som trygt kan kommuniseres eksternt, og det er der risikoen eskalerer raskest.» Utviklende regulatoriske forventninger Problemstillingen settes opp mot et bakteppe av økende regulatorisk gransking av forsyningskjedenes sikkerhet, robusthet og ansvarlighet. Nettverks- og informasjonssystemer 2 (NIS2), loven om digital operasjonell robusthet (DORA) og den nye bølgen av forskrifter for kritisk infrastruktur i EU presser ansvarlighet for sikkerhet i forsyningskjeden fra leverandøren og opp til operatøren. «Under NIS2 har essensielle og viktige enheter ansvar for å håndtere cybersikkerhetsrisikoer i sine forsyningskjeder, ikke bare sitt eget system», sier Zaharia fra Pentest-Tools.com. «Det er et meningsfullt skifte fra rammeverk som behandlet sikkerhet i forsyningskjeden som beste praksis, til et som behandler det som en samsvarsforpliktelse med håndhevingskonsekvenser.» Ettersom ansvarlighet strekker seg utover en organisasjons egen perimeter, må bedrifter også bevise at de har effektive tiltak på plass. «Forventningene skifter fra «vis meg policyen» til «vis meg hvordan risiko identifiseres, overvåkes og håndteres kontinuerlig», sier Simberkoff i AvePoint. Dette legger press på organisasjoner til å demonstrere en fungerende modell og eksempler på styring, beslutningstaking og responstiltak – spesielt når hendelser involverer tredjeparter eller tvetydige bruddscenarier. Praktiske trinn Trusselen fra forsyningskjeden er reell, spesielt når påstandene ikke er bevist. For å motvirke dette problemet anbefaler eksperter at organisasjoner går bort fra statiske leverandørsikringsmodeller og heller over til kontinuerlig, systembasert tilsyn som gir oversikt over dataflyter, avhengigheter og hendelsesrespons. I praksis betyr dette å fokusere på synlighet og integrasjon snarere enn isolerte kontroller, ifølge Simberkoff. Hun anbefaler å kartlegge dataflyter, forstå hvor sensitiv informasjon befinner seg og tilpasse leverandører til felles sikkerhets- og responsforventninger. I Atlas Air-sammenheng ville forståelsen av hvilke eksterne parter som hadde legitim tilgang til Boeings vedlikeholdsdokumentasjon og gjennom hvilke systemer være «utgangspunktet for enhver meningsfull respons på Everest-påstanden», sier Zaharia. Det er også viktig å validere hendelsesplanen din spesifikt mot et kompromittert scenario i forsyningskjeden, legger Zaharia til. «De fleste organisasjoner har planer for brudd på sine egne systemer.» Langt færre har testet sin respons på et scenario der bruddet er hos en leverandør, og dataene det gjelder kan være deres eller ikke, og de rettsmedisinske bevisene er ufullstendige.» Integrerte, rammeverkstilpassede styringssystemer, som de som er bygget rundt ISO 27001, hjelper også. De gir et «felles språk og en felles struktur for å håndtere risiko på tvers av komplekse økosystemer», ifølge Simberkoff. «Standarder som ISO 27001 handler ikke om samsvar for samsvars skyld.» De lar teamene operasjonalisere og muliggjør kontinuerlig synlighet, sikkerhet og ansvarlighet.» Dette gir en påviselig prosess for å kunne si hva du gjør, og bevise det, sier hun. «I miljøer der risiko i forsyningskjeden er uunngåelig, hjelper disse rammeverkene organisasjoner med å gå fra reaktiv sikring til proaktiv styring, noe som er viktig når man håndterer tvetydighet, krav fra tredjeparter og utviklende trusselmodeller.» Utvid kunnskapen din Blogg: Betal løsepengene eller ikke? Myndighetenes vurderinger av å betale for å komme seg ut av nettkriminalitet Blogg: Forsyningskjeder er komplekse, ugjennomsiktige og usikre: Regulatorer krever bedre Podcast: Phishing for trøbbel Episode #09: Hva man ikke skal gjøre i en katastrofe
Les mer
ISO 27001

Hvordan 4way Consulting banet vei for ISO 27001-suksess

Metoden for sikrede resultater veileder deg gjennom prosessen, prioriterer dokumentsettene du må se på og hjelper deg i riktig retning.
Les mer
ISO 27001

Å lukke gapet i motstandskraft: Der regjeringen sier at UK PLC fortsatt mislykkes

Kunder, styrer og regulatorer er alle enige. Hvis det er umulig å forhindre nettsikkerhetsbrudd 100 % av tiden, må fokuset være på å forbedre motstandskraften, slik at organisasjoner er bedre rustet til å motstå og komme seg etter dem. Men det er ingen enkel oppgave å måle fremgang på dette området. Regjeringens undersøkelse om cybersikkerhetsbrudd er ganske detaljert. Men det er avgjørende at den ikke gjennomfører en spørreundersøkelse blant nøyaktig de samme organisasjonene hvert år for å sjekke hvordan holdningen deres utvikler seg. Det er her myndighetenes longitudinelle undersøkelse om cybersikkerhet kommer inn i bildet. Nå i sitt femte år (eller «bølge») har den som mål å vise hvordan organisasjoner endrer seg over tid. Funnene er opplysende. Selv om det absolutt er noen positive ting å ta med seg fra bølge fem, fremhever rapporten en tilbøyelighet til reaktiv sikkerhet som står i strid med beste praksis. Hva går riktig (og galt)? Rapporten avslører at de fleste organisasjoner fortsatte å oppleve en eller annen form for «cyberhendelse» i fjor: 82 % mot 79 % året før. Men på den positive siden gjør de noe med det. Faktum er at: Andelen organisasjoner som rapporterte «etterlevelse» av Cyber ​​Essentials økte fra 23 % til 30 % mellom bølge fire og fem. Andelen bedrifter med cyberforsikringer økte fra 29 % til 35 %. Andelen bedrifter som hevdet at de ikke kjente til forsikring, falt fra 20 % til 13 %. Bedrifter rapporterte oftere at de investerte i trusselinformasjon (44 % mot 36 %). Respondentene utførte oftere en revisjon av cybersikkerhetssårbarheter (60 % mot 56 %). Over en tredjedel av organisasjonene (37 %) rapporterte en økning i cybersikkerhetsbudsjetter. Det er imidlertid også grunner til bekymring. Selv om det siste året så en økning i etterlevelsen av standarder og rammeverk for beste praksis, overholder ikke en stor andel (37 %) av bedriftene verken ISO 27001, Cyber ​​Essentials eller Cyber ​​Essentials Plus. Risikostyring i forsyningskjeden fortsatte også å være en blindsone for mange. Bare 28 % av bedriftene sier at de har gjennomført en formell vurdering av leverandører i løpet av de siste 12 månedene. «Kvalitativt sett manglet organisasjoner generelt bevissthet om cybersikkerhetshendelser i forsyningskjedene sine, og erkjente at de sannsynligvis skjer uten deres viten», bemerker rapporten. Den avslører også at selv om 90 % av bedriftene hevder å integrere cyberrisiko i bredere forretningsrisiko, «oversettes ikke dette alltid til effektive budsjetter eller opplæring på styrenivå». Problemet med reaktiv sikkerhet. Det største problemet som fremheves i rapporten er ikke nødvendigvis at britiske firmaer ikke gjør noen innsats for å forbedre robustheten, for i mange tilfeller gjør de det. Det er slik disse investeringene oppstår. Rapportforfatterne sporer organisasjonene som svarer på tvers av to forskjellige intervjusykluser («tidspunkt 1» og «tidspunkt 2») – vanligvis i løpet av et år – for å måle endring over tid. De fant at over en tredjedel (34 %) av organisasjonene som opplevde en hendelse med innvirkning og/eller utfall på tidspunkt 1, senere opplevde en hendelse uten innvirkning og/eller utfall på tidspunkt 2. Dette tyder på at enten organisasjonen har forbedret motstandskraften reaktivt, eller at den andre hendelsen ikke var like inngripende. Det er mer. Organisasjoner som ikke opplevde en hendelse innen tidspunkt 1, så ikke ut til å gjøre noen proaktive endringer for å forbedre sikkerhetstilstanden, noe som potensielt tyder på at de ventet på at noe skulle utløse en positiv endring. På den annen side, hvis en organisasjon opplevde en hendelse, var det mer sannsynlig at de ville implementere positive endringer på tvers av åtte variabler, inkludert hendelsesrespons, risikostyring i forsyningskjeden og engasjement i styrerommet. «Uforutsigbarheten ved at cyberhendelser kan være en katalysator for endring er bekymringsfull», advarer rapportforfatterne. Andre eksempler på reaktiv sikkerhetsholdning inkluderer følgende funn: Organisasjoner har større sannsynlighet for å oppnå ISO 27001/Cyber ​​Essentials-akkreditering på tidspunkt 2 hvis de opplevde en hendelse med en innvirkning og/eller et utfall på tidspunkt 1. Omdømmerisiko ble «ofte nevnt» av respondentene som en motivasjon for endring, spesielt for cybersikkerhetsteam og toppledelse. «Eksterne påvirkninger» var en nøkkelfaktor for å skape momentum for endring, for eksempel løsepengevirusangrepene på detaljhandlere i fjor. «Deltakerne nevnte at disse offentlige hendelsene fikk dem til å gjøre ekstra kontroller eller ga dem mulighet til finansiering på grunn av den potensielle innvirkningen på deres egen organisasjon», heter det i rapporten. Barrierer for suksess. «Reaktiv sikkerhet vil alltid sette organisasjoner ett skritt bak.» «Når et varsel utløses, har angriperen allerede lykkes på en eller annen måte», forteller Michael Downs, visepresident i SecureEnvoy, til IO (tidligere ISMS.online). «Å bygge robusthet proaktivt, spesielt på identitetslaget, er ikke lenger valgfritt; det er den eneste måten å redusere risiko på før den materialiserer seg.» Men hvis proaktiv sikkerhet var så enkelt, ville alle gjort det. Andy Ward, internasjonal direktør i Absolute Security, peker på flere viktige barrierer. «Én utfordring er å få støtte fra styret og cyberledelsen for å heve robustheten til toppnivåer i styringen, med klare strategier for fullstendig driftsgjenoppretting etter en forstyrrelse.» Uten denne involveringen kan proaktive tiltak bli forsinket eller inkonsekvent iverksatt,» sier han til IO. «En annen viktig barriere er den raske økningen i antall enheter og programvareapplikasjoner, noe som gjør IT-systemer mer komplekse og vanskeligere å administrere.» Denne spredningen gjør det vanskelig å holde systemene oppdaterte og implementere proaktive tiltak for cyberrobusthet på tvers av alle endepunkter.» Ward peker også på finansiering og tilgang til talent som noe som hindrer bedrifter i disse anstrengelsene – spesielt mindre firmaer. «Mange mindre bedrifter tror også feilaktig at de er for små til å tiltrekke seg nettkriminelle, eller at lagring av data i skyen automatisk beskytter dem», legger han til. Reisen til proaktiv sikkerhet Med riktig tilnærming bør ikke disse barrierene være uoverstigelige, argumenterer James Mackay, administrerende direktør i MetaCompliance. «Å bli mer proaktiv starter med å endre målet om sikkerhetsbevissthet fra å levere opplæring til å håndtere menneskelig risiko», forteller han til IO. «Over tid bygger denne tilnærmingen en atferdsbasert sikkerhetskultur.» Ansatte opplever sikkerhet ikke som en sporadisk klasseromsøvelse, men som en del av sitt daglige arbeid.» Standarder for beste praksis som ISO 27001 kan være «kraftige muliggjørere» for denne omformuleringen så lenge de ikke blir sett på som en sjekkliste, legger Mackay til. «ISO 27001 forventer at du forstår informasjonssikkerhetsrisikoene dine, implementerer passende kontroller og sørger for at folk er kompetente og bevisste på sitt sikkerhetsansvar», fortsetter han. «De legger grunnlaget for hvordan sikkerhet bør håndteres på tvers av en organisasjon.» Hvis flere organisasjoner tar i bruk denne typen strukturert tilnærming, kan neste års longitudinelle undersøkelse være mer betryggende lesning. Utvid kunnskapen din Blogg: Motstandskraftfaktoren: Å bryte ned BridgePay-ransomwareangrepet Blogg: Å møte databruks- og tilgangsloven med tillit: Hvorfor ISO 27001-, 27701- og 42001-løkken leverer Last ned: Rapport om informasjonssikkerhetstilstanden 2025
Les mer

ISO 27001:2022-krav

ISO 27001:2022 vedlegg A kontroller

Organisasjonskontroller

Personkontroller

Fysiske kontroller

Teknologiske kontroller

Om ISO 27001

Ta en virtuell omvisning

Start din gratis 2-minutters interaktive demonstrasjon nå og se
ISMS.online i aksjon!

Prøv det nå
plattformdashbordet er helt perfekt

Klar til å komme i gang?

Kontakt