.png)
Revisioner och konstaterade avvikelser är viktiga delar av hanteringen av informationssäkerhet. Revisioner och avvikelser driver organisationer mot ständiga förbättringar, vilket gör säkerheten till en levande, utvecklande process snarare än en checkbox-övning.
Revisioner hjälper dig att identifiera svagheter innan de blir incidenter och att följa dina säkerhetsframsteg över tid. Avvikelser ger möjlighet till lärande och tillväxt och främjar en kultur av ansvarstagande. Organisationer som tar till sig revisioner ser dem som ett verktyg för förbättring snarare än bestraffning.
Informationssäkerhetsrevisioner är systematiska utvärderingar av organisationens informationssäkerhet. Revisioner syftar till att säkerställa att organisationen faktiskt arbetar enligt fastställda krav eller valda bästa praxis för att skydda sina informationstillgångar.
Målen för en informationssäkerhetsrevision inkluderar vanligtvis:
%201.png)
Revisioner kan genomföras internt av behöriga och anställda som har rätt befogenheter (internrevision) eller externt av utvalda oberoende partners (externrevision).
Vissa revisioner görs huvudsakligen ur efterlevnadssynpunkt (efterlevnadsrevisioner) och andra ur en mer teknisk synvinkel (tekniska revisioner), med fokus på t.ex. specifika datasystem eller ämnen (t.ex. nätverkssäkerhet, applikationssäkerhet).
Att "misslyckas" med en säkerhetsrevision kan i princip innebära att organisationen inte uppfyllde alla krav i standarden vid tidpunkten för revisionen och att vissa avvikelser därför identifierades.
Därefter får organisationen möjlighet att åtgärda avvikelserna med korrigerande åtgärder. Detta innebär att man tar fram en plan för korrigerande åtgärder och genomför dessa korrigeringar. Vid certifieringsrevisioner måste korrigeringarna för större avvikelser verifieras av revisorn. För mindre avvikelser räcker det med att verifiera planen för korrigerande åtgärder.
Det är viktigt att förstå att det egentligen inte finns något misslyckande i revisionsprocessen. Revisorn kommer att hjälpa dig att identifiera avvikelser och andra förbättringsmöjligheter. Även när avvikelser upptäcks (vilket är helt normalt) kommer du att ha en tydlig att-göra-lista för att förbättra din informationssäkerhet.
📌 Relaterat ISO 27001-avsnitt: 6.1.2 - Riskbedömning av informationssäkerhet
🔍 Vad är det som saknas? Organisationer kan misslyckas med att tillhandahålla ett tydligt definierat riskhanteringsförfarande, enligt vilket riskhantering för informationssäkerhet implementeras. Detta bör omfatta t.ex. använda riskutvärderingskriterier och hur behandlingsåtgärder definieras och övervakas. Proceduren bör också förklara hur ofta och var riskhanteringen genomförs.
💡 Hur åtgärdar man det? Implementera en strukturerad riskhanteringsprocess (ofta med stöd av en ISMS-app). Ha en central rapport om "riskhanteringsförfarandet" tillgänglig som förklarar alla viktiga steg och uppdateras på ett kontrollerat sätt. Säkerställ regelbundna genomgångar och workshops om riskhantering för informationssäkerhet, minst en gång i kvartalet eller när betydande förändringar eller behov uppstår.
📌 Relaterat ISO 27001-avsnitt: 6.1.3 - Riskhantering för informationssäkerhet
🔍 Vad är det som saknas? Organisationen har identifierat risker men har inte tillräckliga bevis för att visa hur dessa risker minskas. Behandlingsplaner för risker är vaga och saknar konkreta åtgärder, tidslinjer eller ansvariga personer, vilket gör det svårt att spåra framsteg. Organisationer förlitar sig på muntliga försäkringar eller föråldrade dokument istället för att upprätthålla verifierbara register över genomförandet av behandlingen.
💡 Hur åtgärdar man? Risker som prioriteras för behandling bör få en tydlig riskbehandlingsplan, inklusive det valda behandlingsalternativet (acceptera, mildra, överföra eller undvika), specifika skyddsåtgärder för att mildra risken (länkad till ISO 27001: s bilaga A när det är relevant), ansvariga personer och förfallodatum. Bevis på implementering bör genereras till ditt ISMS.
⭐ Extra: Använd ett integrerat ISMS-verktyg för att säkerställa att riskutvärderingar och behandling görs och spåras på samma plats som alla informationssäkerhetsåtgärder för att säkerställa synlighet för riskbehandlingens framsteg.
📌 Relaterade ISO 27001-avsnitt: 9.2 - Internrevision & 9.3 - Ledningens genomgång
🔍 Vad är det som saknas? Det har inte genomförts någon internrevision under de senaste 12 månaderna, eller så saknas tydliga resultatrapporter från de genomförda revisionerna. Högsta ledningen har inte deltagit i en ledningens genomgång under de senaste 12 månaderna, eller så finns det inga granskningsresultat att visa upp.
💡 Hur åtgärdar man det? Planera årliga interna revisioner och underhåll rapporter om resultat och korrigeringar. Genomför ledningsgranskningar för att bedöma ISMS effektivitet och underhålla rapporter om resultat.
📌 Relaterat ISO 27001-avsnitt: 6.1.3 (d) - Förklaring om tillämplighet
🔍 Vad är det som saknas? Tillämplighetsförklaringen (SoA) är ofullständig, föråldrad eller dåligt dokumenterad, vilket gör det svårt att visa att ISO 27001:s krav uppfylls. Organisationen kan misslyckas med att motivera varför vissa kontroller i bilaga A är inkluderade eller exkluderade. Implementeringen av kontroller förklaras inte tydligt och kopplas inte till risker. Dokumentet granskas inte regelbundet, vilket leder till att det inte är anpassat till t.ex. organisationsförändringar eller nya säkerhetshot.
💡 Hur åtgärdar man det? Se till att SoA tydligt listar alla kontroller i bilaga A, markera de flesta som tillämpliga och resten som icke tillämpliga med starka motiveringar. Se till att SoA förklarar genomförandet av tillämpliga kontroller tydligt tillsammans med bevis. Granska och uppdatera SoA regelbundet och upprätthåll korsreferenser mellan SoA, riskhanteringsplanen och alla andra delar av ISMS för att visa ett sammanhängande ISMS. Se till att SoA är tillgänglig för revisorer och relevanta intressenter, med ett välstrukturerat format för enkel förståelse.
⭐ Extra: I Cyberday skapas och spåras SoA automatiskt genom dina ISMS-uppgifter som är kopplade till relevanta krav i ISO 27001 / ISO 27002.¨
📌 Relaterat ISO 27001-avsnitt: 9.1 - Övervakning, mätning, analys och utvärdering
🔍 Vad saknas? Inga definierade nyckeltal (även kallade KPI:er) för att mäta ISMS effektivitet. I den här situationen kvantifieras inte säkerhetsprestanda, vilket gör det svårt för ledningen att bedöma säkerhetsläget eller identifiera trender. Organisationer förlitar sig på magkänsla utan säkerhetsövervakning i realtid eller trendanalys av incidenter. Detta försvagar vanligtvis också den regelbundna rapporteringen av ISMS-prestanda till högsta ledningen (t.ex. i ledningens genomgångar), vilket orsakar brist på synlighet och engagemang.
💡 Hur fixar man det? Definiera mätbara säkerhetsmål och mätvärden. Det kan t.ex. vara säkerhetsincidenter per kvartal, efterlevnadspoäng i ISMS, % av de anställda som slutför utbildning i säkerhetsmedvetenhet, antal avvikelser som löses inom en viss tidsram, antal opatchade sårbarheter som överskrider definierade SLA:er. Genomför regelbundna ISMS-prestandagranskningar (t.ex. kvartalsvis) med deltagande av den högsta ledningen. Anpassa säkerhetsmåtten till affärsmålen, t.ex. att minska de ekonomiska förlusterna från cyberincidenter eller förbättra regelefterlevnaden.
⭐ Extra: Implementera automatiserade säkerhetsinstrumentpaneler som spårar prestandamätvärden i realtid. Använd trendanalys för att proaktivt ta itu med svagheter innan de blir kritiska problem ...
📌 Relaterat ISO 27001-avsnitt: 5.23 - Hantering av informationssäkerhetsincidenter
🔍 Vad saknas? Ingen formaliserad incidenthanteringsprocess, vilket leder till inkonsekvent, försenad och otydlig hantering av säkerhetsincidenter. Medarbetarna vet inte hur de ska rapportera säkerhetsincidenter, vilket ökar risken för obemärkta intrång. Dokumentation av tidigare incidenter underhålls inte på rätt sätt, vilket gör det svårt att analysera tidigare incidenter och förbättra svarsstrategierna. Det finns inga tydliga ansvarsområden eller eskaleringsprocesser, vilket skapar förvirring under incidenthanteringen.
💡 Hur åtgärdar man det? Upprätta ett centraliserat incidentrapporteringssystem som säkerställer att anställda enkelt kan rapportera säkerhetsincidenter (t.ex. nätfiske, skadlig kod, obehörig åtkomst). Behåll dokumentation om tidigare incidenter, särskilt de åtgärder som vidtagits för att minska risken för liknande incidenter i framtiden. Tilldela incidenthanteringsroller med definierade ansvarsområden (t.ex. incidenthanterare, teknisk ledare, kommunikationsledare) och skapa tydliga incidenthanteringsplaner för vanliga förväntade eller extremt negativa incidenter. Implementera en eskaleringsprocess för att säkerställa att allvarliga incidenter omedelbart rapporteras till ledningen och externa tillsynsmyndigheter om så krävs.
⭐ Extra: Genomför regelbundna övningar för incidentrespons, inklusive bordövningar och simuleringar i verkligheten som phishing-tester.
📌 Relaterat ISO 27001-avsnitt: A: 8.2 - Identitets- och åtkomsthantering
🔍 Vad är det som saknas? Medarbetare har mer tillgång till data och system än nödvändigt, vilket ökar risken för insiderhot och dataintrång. Åtkomsträttigheter granskas inte regelbundet, vilket leder till att t.ex. tidigare anställda fortfarande har åtkomst till känsliga system som de inte behöver. Åtkomst till information beviljas på ett inkonsekvent sätt istället för att använda standardiserade roller och principen om lägsta möjliga behörighet. Det finns ingen formell process för att godkänna, ändra eller återkalla åtkomst, vilket gör det oklart vem som kan godkänna ändringar. Svag eller obefintlig loggning och övervakning av åtkomstaktiviteter, vilket gör det svårt att upptäcka obehörig åtkomst eller potentiella säkerhetsincidenter.
💡 Hur åtgärdar man det? Implementera rollbaserad åtkomstkontroll (RBAC) och följ principen om minsta möjliga privilegium för att säkerställa att användarna endast har den minsta åtkomst som krävs för deras arbetsuppgifter. Kommunicera dessa bästa metoder till alla anställda, så att de också kan identifiera avvikelser. Genomför regelbundna åtkomstgranskningar (t.ex. kvartalsvis av tillgångsägare) för att verifiera att åtkomsträttigheterna överensstämmer med arbetsrollerna och att onödig åtkomst tas bort. Upprätta en tydlig process för godkännande och återkallande för att bevilja och ta bort åtkomst, och se till att chefer och säkerhetsteam övervakar ändringar. Aktivera multifaktorautentisering (MFA) för alla kritiska system, vilket minskar risken för obehörig åtkomst.
⭐ Extra: Automatisera hanteringen av åtkomstkontroll med identitets- och åtkomsthanteringslösningar (IAM) för att effektivisera provisionering, spårning och deprovisionering. Underhåll detaljerade åtkomstloggar och ställ in varningar för misstänkta aktiviteter, till exempel misslyckade inloggningsförsök eller privilegieeskalering ...
📌 Relaterat ISO 27001-avsnitt: A.5.19 - Hantering av leverantörsrelationer
🔍 Vad saknas? Oklar kategorisering av leverantörer baserat på prioritet och erforderliga säkerhetsåtgärder (t.ex. certifiering, frågeformulär, revision, ingen). Inga formella säkerhetsavtal med leverantörer, vilket gör organisationen sårbar för attacker i leverantörskedjan. Inga avtalsförpliktelser som säkerställer att viktiga leverantörer följer ISO 27001, CIS18 eller annan bästa praxis. Avsaknad av en offboarding-process vid avslutande av leverantörsrelationer, vilket leder till risker som föräldralösa konton, kvarstående åtkomstbehörigheter eller ohanterade dataöverföringar.
💡 Hur åtgärdar man det? Kategorisera dina leverantörer efter prioritet (t.ex. baserat på deras koppling till dina tjänster, känsligheten i de uppgifter de hanterar och deras utbytbarhet) och efter din förhandlingsposition. Upprätta tydliga säkerhetskriterier för viktiga leverantörer och kräv t.ex. certifieringar, efterlevnadsrapporter, oberoende revisioner eller ifyllda säkerhetsfrågeformulär som bevis på säkerhet. Inkludera säkerhetsklausuler i avtalen för att säkerställa efterlevnad av lagar och förordningar.
📌 Relaterat avsnitt i ISO 27001: A.6.3 - Medvetenhet, utbildning och träning
🔍 Vad är det som saknas? Medarbetarnas ansvar för informations- och cybersäkerhet är otydligt. Medarbetarna får inte systematiskt utbildning i säkerhetsmedvetenhet, vilket gör dem sårbara för nätfiskeattacker, svaga lösenord och social ingenjörskonst. Det finns inget strukturerat utbildningsprogram, eller så genomförs utbildningen på ett inkonsekvent sätt utan att man följer upp medarbetarnas deltagande. Organisationerna uppdaterar inte utbildningsinnehållet utifrån nya hot, ändrade regler eller tidigare säkerhetsincidenter.
💡 Hur åtgärdar man det? Gör medarbetarnas säkerhetsansvar kristallklart. Detta kan t.ex. innebära att de regelbundet accepterar sina skriftliga säkerhetsriktlinjer och följer dem i det dagliga arbetet. Upprätta ett program för säkerhetsmedvetenhet som täcker viktiga ämnen som nätfiske, lösenordssäkerhet, säkert distansarbete och incidentrapportering. Spåra både godkännandet av riktlinjer och deltagande i utbildningar och för register. Genomför regelbundna repetitionskurser och uppdatera innehållet baserat på de senaste hoten, efterlevnadskraven och incidenterna i verkligheten.
⭐ Extra: Använd interaktiva utbildningsmetoder, till exempel phishing-simuleringar, spelifierat lärande och frågesporter, för att säkerställa engagemang och kunskapsretention.
📌 Relaterat ISO 27001-avsnitt: A.8.1.1 - Inventering av tillgångar
🔍 Vad är det som saknas? Organisationer saknar en heltäckande och uppdaterad inventering av informationstillgångar, vilket leder till dålig synlighet och ökade säkerhetsrisker. Det finns ingen tydlig ägarfördelning, vilket gör det oklart vem som ansvarar för att hantera, dokumentera och skydda varje tillgång. Tillgångsinventeringen granskas inte regelbundet, vilket leder till föråldrade eller felaktiga register. Ingen klassificering av tillgångar baserat på känslighet, kritikalitet eller lagstadgade krav.
💡 Hur åtgärdar man det? Upprätta ett centraliserat system för tillgångshantering som omfattar programvarutillgångar, hårdvarutillgångar, informationstillgångar (data, databaser, dokument), fysiska tillgångar och mänskliga tillgångar. Tilldela varje tillgång en ägare som ansvarar för dess säkerhet, underhåll och avyttring. Kategorisera tillgångar baserat på prioritet eller mer detaljerat enligt CIA-triaden. Genomför regelbundna granskningar för att säkerställa att registren är korrekta och uppdaterade.
⭐ Extra: Implementera ett automatiserat verktyg för upptäckt av tillgångar för att upptäcka och spåra nya tillgångar.
📌 Relaterat avsnitt i ISO 27001: A.18.1.1 - Identifiering av tillämplig lagstiftning och avtalsmässiga arrangemang
🔍 Vad är det som saknas? Organisationer misslyckas med att systematiskt identifiera, dokumentera och efterleva juridiska, regulatoriska och avtalsmässiga krav.
💡 Hur fixar jag det? Upprätthåll ett juridiskt register med en förteckning över relevanta andra juridiska eller avtalsenliga informationssäkerhetskrav. Uppdatera denna lista regelbundet.
Så där gick vi igenom några vanliga avvikelser från ISO 27001-revisionen. Dessa beror ofta på luckor i dokumentationen, inkonsekvent implementering och bristande övervakning. Detta är dock bara vanliga exempel eftersom varje organisations informationssäkerhetsprogram blir mer och mer unikt, särskilt när mognadsnivån växer.
Men som redan sagts i början ger avvikelser en möjlighet till lärande och tillväxt. De bör inte ses som enbart negativa saker.
Ditt informationssäkerhetsprogram är en kontinuerlig förbättringsprocess som uppdateras genom tekniska uppdateringar i din miljö, förändringar i genomförandet av vissa policyer, behandling av risker eller incidenter, eller genom andra fel och förändringar. Ett väl underhållet ISMS, med regelbundna revisioner och uppdateringar, är nyckeln till att klara ISO 27001-revisioner smidigt och upprätthålla din efterlevnad. 🚀
