Akademin hem
Bloggar
De 7 viktigaste standarderna, ramverken och lagarna för informationssäkerhet förklaras
En del av ISO 27001-samlingen
En del av NIS2-samlingen

De 7 viktigaste standarderna, ramverken och lagarna för informationssäkerhet förklaras

ISO 27001 insamling
De 7 viktigaste standarderna, ramverken och lagarna för informationssäkerhet förklaras
NIS2 samling
De 7 viktigaste standarderna, ramverken och lagarna för informationssäkerhet förklaras
Cyberday blogg
De 7 viktigaste standarderna, ramverken och lagarna för informationssäkerhet förklaras

Flera ramverk för informationssäkerhet och cybersäkerhet finns tillgängliga för att hjälpa organisationer att bygga sina egna informationssäkerhetsplaner. Många av dessa stöds också redan i Cyberday.

Det finns många olika typer av ramverk för informationssäkerhet - t.ex. internationella standarder, lokala program, EU-förordningar eller direktiv, branschspecifik lagstiftning, organisationsspecifika kriteriekataloger eller andra uppsättningar av bästa praxis för säkerhet.

Här finns viktig information om några av de mest populära standarderna för informationssäkerhet.

Senast uppdaterad: 4.3.2024

ISO 27001-standard

ISO/IEC 27001 är en internationell standard för hantering av informationssäkerhet. Den beskriver kraven för att upprätta, implementera, underhålla och kontinuerligt förbättra ett ledningssystem för informationssäkerhet (ISMS) - vars syfte är att hjälpa organisationer att göra de informationstillgångar de har säkrare.

ISO 27001 betonar vikten av att identifiera och bedöma informationssäkerhetsrisker. Organisationer är skyldiga att implementera riskhanteringsprocesser för att identifiera potentiella hot, utvärdera deras inverkan och utveckla lämpliga strategier för att minska riskerna.

ISO 27001 främjar också en kultur av ständiga förbättringar inom informationssäkerhet. Regelbunden övervakning, utvärdering av prestanda och periodiska granskningar hjälper organisationer att anpassa sig till nya hot och förbättra effektiviteten i ISMS.

ISO 27001-struktur

22 krav på högsta ledningen för hantering av informationssäkerhet

  • 4. Organisationens kontext
  • 5. Ledarskap
  • 6. Planering
  • 7. Resurser
  • 8. Användning
  • 9. Utvärdering av prestationer
  • 10. Förbättring

93 kontroller för implementering av informationssäkerhet

  • 5. Organisatoriska kontroller (t.ex. förvaltning av tillgångar, leverantörsrelationer, kontinuitet)
  • 6. Personkontroller
  • 7. Fysiska kontroller
  • 8. Teknologiska kontroller (t.ex. sårbarhetshantering, incidenthantering, säker utveckling, säker konfiguration)

ISO 27001-specialiteter

  • Ursprungligen publicerad 2005, reviderad 2013 och senast 2022
  • En guldstandard: känd över hela världen med många andra lagar, ramverk etc. hänvisa till ISO 27001
  • Certifiering tillgänglig och många ackrediterade revisionsföretag i flera länder
  • Många utökade standarder tillgängliga (ISO 27017 (molnsäkerhet), ISO 27018 (molnintegritet), ISO 27701 (integritetshantering), ISO 27799 (hälsoindustrin), ISO 27031 (katastrofåterställning), ISO 27040 (lagringssäkerhet))

DORA (lagen om digital operativ motståndskraft)

Före DORA hanterade finansinstituten de viktigaste kategorierna av operativ risk främst genom att fördela kapital, men de hanterade inte alla komponenter i den operativa motståndskraften.

Efter DORA måste de också följa regler för skydd, upptäckt, begränsning, återhämtning och reparation av IKT-relaterade incidenter. DORA hänvisar uttryckligen till IKT-risker och fastställer regler för IKT-riskhantering, incidentrapportering, testning av operativ motståndskraft och övervakning av IKT-risker från tredje part.

DORA medger att ICT-incidenter och bristande operativ motståndskraft kan äventyra hela det finansiella systemets sundhet, även om det finns "tillräckligt" kapital för de traditionella riskkategorierna.

DORA-struktur

DORA omfattar totalt 41 krav. Huvudinnehåll för slutanvändarorganisationer i kapitlen II - VI.

  • Hantering av IKT-risker (artiklarna 5-16)
  • Hantering, klassificering och rapportering av IKT-relaterade incidenter (artiklarna 17-23)
  • Test av digital operativ motståndskraft (artiklarna 24-27)
  • Hantering av tredjepartsrisk inom ICT (artiklarna 28-44)
  • Arrangemang för informationsutbyte (artikel 45)

DORAs specialiteter

  • EU-förordning
  • Gäller från och med den 17 januari 2025
  • Påverkar finansiella enheter som banker, försäkringsbolag eller värdepappersföretag och deras leveranskedjor

NIS2-direktiv

NIS2 (The Network and Information Systems Directive 2) är EU:s nya regelverk för informationssäkerhet inom viktiga branscher.

Den sätter en ny ribba för informationssäkerhetsstandarder, utvidgar tillämpningsområdet från det ursprungliga NIS, inför strikta tillsynsaktiviteter för efterlevnad och även potentiella påföljder för överträdelser. Målet är att skydda Europas informationsinfrastruktur bättre.

Det är särskilt viktigt att notera att NIS2 inte bara fastställer standarder för organisatorisk cybersäkerhet, utan även håller högsta ledningen ansvarig för att uppnå dem. Försummelse eller otillräckligt engagemang i dessa föreskrifter kan få betydande rättsliga konsekvenser. Om du inte visar tillbörlig aktsamhet när det gäller att implementera robusta cybersäkerhetsåtgärder i enlighet med NIS2-standarderna kan den högsta ledningen hållas personligt ansvarig för eventuella säkerhetsbrister som uppstår.

NIS2-struktur

I NIS2 fulltext är det endast kapitel IV som innehåller krav för slutanvändarorganisationer.

Kapitel IV med rubriken "Åtgärder för hantering av cybersäkerhetsrisker och rapporteringsskyldigheter" innehåller följande artiklar:

  • 20 - Styrning: Understryker högsta ledningens roll som ansvarig för att genomföra informationssäkerhetsåtgärderna.
  • 21 - Åtgärder för hantering av cybersäkerhetsrisker: Listar de informationssäkerhetsområden för vilka organisationer måste ha dokumenterade och implementerade åtgärder för.
  • 22 - Samordnade säkerhetsriskbedömningar på unionsnivå av kritiska leveranskedjor
  • 23 - Rapporteringsskyldigheter: Här anges krav på rapportering av incidenter till myndigheter och serviceanvändare.
  • 24 - Användning av europeiska system för cybersäkerhetscertifiering
  • 25 - Standardisering

NIS 2 kräver att organisationer har dokumenterade och implementerade åtgärder för följande informationssäkerhetsområden:

  • Riskhantering och säkerhet i informationssystem
  • Hantering och rapportering av incidenter
  • Loggning och upptäckt av incidenter
  • Kontinuitet i verksamheten och säkerhetskopiering
  • Säkerhet och övervakning av leveranskedjan
  • Förvärv och utveckling av säkra system
  • Utvärdering av säkerhetsåtgärdernas effektivitet
  • Rutiner och utbildning för cyberhygien
  • Kryptering
  • Säkerhet för mänskliga resurser
  • Åtkomstkontroll
  • Förvaltning av tillgångar
  • Multifaktorautentisering (MFA)

NIS2-specialiteter

  • EU-direktiv
  • NIS2 träder i kraft den 18 oktober 2024
  • Specificerade branscher i tillämpningsområdet
  • Supply chain-effekten breddas till att även omfatta viktiga leverantörer till NIS2-organisationer

NIST CSF (1.1)

NIST Cybersecurity Framework (CSF) är en uppsättning av bästa praxis och rekommendationer för cybersäkerhet från National Institute of Standards and Technology (NIST) i USA.

CSF innehåller en uppsättning rekommendationer och standarder som gör det möjligt för organisationer att vara bättre förberedda på att identifiera och upptäcka cyberattacker, och ger också riktlinjer för hur man ska svara, förebygga och återhämta sig från cyberincidenter.

NIST CSF anses allmänt vara guldstandarden för att bygga upp ett cybersäkerhetsprogram.

NIST CSF-struktur

NIST CSF innehåller totalt 108 krav. Dessa krav är kategoriserade under 5 kärnfunktioner: Identifiera (ID), Skydda (PR), Upptäcka (DE), Svara (RS) och Återhämta (RC).

Identify (ID)-funktionen omfattar följande säkerhetsaspekter:

  • Förvaltning av tillgångar
  • Affärsmiljö
  • Styrning
  • Riskbedömning
  • Strategi för riskhantering
  • Riskhantering i leveranskedjan

Funktionen Protect (PR) omfattar följande säkerhetsaspekter:

  • Identitetshantering, autentisering och åtkomstkontroll
  • Medvetenhet och utbildning
  • Datasäkerhet
  • Processer och förfaranden för informationsskydd
  • Underhåll
  • Proaktiv teknik

Detect (DE)-funktionen omfattar följande säkerhetsaspekter:

  • Avvikelser och händelser
  • Kontinuerlig övervakning av säkerheten
  • Detekteringsprocesser

Svarsfunktionen (RS) omfattar följande säkerhetsaspekter:

  • Planering av åtgärder
  • Kommunikation
  • Analys
  • Begränsning
  • Förbättringar

Recover (RC)-funktionen omfattar följande säkerhetsaspekter:

  • Planering av återhämtning
  • Förbättringar
  • Kommunikation

NIST CSF-specialiteter

  • Betraktas som en guldstandard för att bygga upp ett cybersäkerhetsprogram - särskilt på den nordamerikanska marknaden.
  • Många andra ramverk har anammat NIST CSF:s kärnfunktionsindelning: Identifiera - Skydda - Upptäcka - Respondera - Återhämta
  • NIST har också publicerat mer tekniska kataloger över säkerhets- och sekretesskontroller, t.ex. NIST SP 800-53 och NIST SP 800-171
  • Ursprungligen publicerad 2014, uppdaterad i april 2018 till v1.1

NIST CSF (2.0)

NIST CSF kommer att uppdateras i början av 2024.

Viktiga förändringar

  • Införande av en sjätte kärnfunktion "Govern" för att betona styrningsrelaterade krav
  • Explicita riktlinjer som omfattar organisationer av alla storlekar, sektorer och mognadsnivåer
  • Mål att göra det möjligt för mindre företag att effektivt utnyttja ramverket

Cybersecurity Capability Maturity Model (C2M2)

Cybersecurity Capability Maturity Model (C2M2) hjälper organisationer att utvärdera sin cybersäkerhetsförmåga och optimera säkerhetsinvesteringar.

Medan det amerikanska energidepartementet och energibranschen i allmänhet ledde utvecklingen av C2M2 och förespråkade dess antagande, kan alla organisationer - oavsett storlek, typ eller bransch - använda modellen för att utvärdera, prioritera och förbättra deras cybersäkerhetskapacitet.

C2M2-struktur

C2M2 är ett stort ramverk med totalt 356 krav (eller praxis, som de kallar dem) uppdelade på 3 olika mognadsnivåer.

Nivå 1 omfattar 56 krav, nivå 2 totalt 222 och nivå 3 hela 356.

Ramverkets innehåll är uppdelat på

  • ASSET: 5 avsnitt och 23 krav relaterade till tillgångs-, ändrings- och konfigurationshantering
  • HOT: 3 avsnitt och 19 krav relaterade till hantering av hot och sårbarheter
  • RISK: 5 avsnitt och 23 krav relaterade till riskhantering
  • ÅTKOMST: 4 avsnitt och 25 krav relaterade till identitets- och åtkomsthantering
  • SITUATION: 4 avsnitt och 16 krav relaterade till situationsmedvetenhet
  • RESPONSE: 5 avsnitt och 32 krav relaterade till händelse- och incidenthantering och kontinuitet i verksamheten
  • TREDJE PART: 3 avsnitt och 14 krav avseende riskhantering för tredje part
  • ARBETSKRAFT: 5 avsnitt och 19 krav relaterade till arbetskraftsförvaltning
  • ARKITEKTUR: 6 avsnitt och 36 krav relaterade till cybersäkerhetsarkitektur
  • PROGRAM: 3 avsnitt och 15 krav relaterade till hantering av cybersäkerhetsprogram

C2M2 specialiteter

  • Delar upp alla sina metoder i 3 separata MIL (dvs. mognadsnivåer) så att organisationer kan räkna ut och jämföra sin egen cybersäkerhetsmognad
  • Nationella applikationer av C2M2-ramverket har skapats (t.ex. i Finland känt som Kybermittari).
  • MILs och uppdelning av krav i Helt / Till stor del / Delvis / Ej implementerat hjälper till att beräkna din relativa mognad och jämföra med andra organisationer

CIS Critical Security Controls v8 (CIS 18)

Center for Internet Security (CIS) Critical Security Controls (tidigare känd som SANS Top 20) är en prioriterad uppsättning skyddsåtgärder för att mildra de vanligaste cyberattackerna mot system och nätverk.

CIS Controls har ett ganska tekniskt förhållningssätt till informationssäkerhet och kan med fördel tillämpas tillsammans med mer säkerhetshanteringsrelaterade ramverk, som ISO 27001 eller NIST CSF, för att stärka det tekniska skyddet.

Under årens lopp har CIS-kontrollerna utvecklats till en internationell gemenskap av frivilliga individer och institutioner som delar insikter om cyberhot, identifierar grundorsaker och omsätter detta i defensiva åtgärder.

CIS Kontrollstruktur

De 18 kontroller som omfattas av CIS Controls är säkerhetsfunktioner på mycket hög nivå, och de är vidare indelade i faktiska krav (så kallade skyddsåtgärder).

CIS Controls omfattar totalt 163 krav (dvs. skyddsåtgärder).

18 CIS-kontrollerna är följande:

  • 01 - Inventering och kontroll av företagets tillgångar (5 skyddsåtgärder)
  • 02 - Inventering och kontroll av programvarutillgångar (7 skyddsåtgärder)
  • 03 - Skydd av personuppgifter: Identifiera och klassificera data. Hantera, bevara och kassera data på ett säkert sätt. (14 skyddsåtgärder)
  • 04 - Säker konfiguration av företagets tillgångar och programvara (12 skyddsåtgärder)
  • 05 - Kontohantering: Tilldela och hantera behörighet till inloggningsuppgifter för användarkonton. (6 skyddsåtgärder)
  • 06 - Hantering av åtkomstkontroll: Skapa, tilldela, hantera och återkalla åtkomstuppgifter på ett säkert sätt. (8 skyddsåtgärder)
  • 07 - Kontinuerlig hantering av sårbarheter (7 skyddsåtgärder)
  • 08 - Hantering av revisionslogg (12 skyddsåtgärder)
  • 09 - Skydd för e-post och webbläsare (7 skyddsåtgärder)
  • 10 - Skydd mot skadlig programvara (7 skyddsåtgärder)
  • 11 - Återställning av data: Rutiner för att återställa företagets tillgångar inom tillämpningsområdet till ett betrott tillstånd före incidenten. (5 skyddsåtgärder)
  • 12 - Förvaltning av nätinfrastruktur (8 skyddsåtgärder)
  • 13 - Övervakning och försvar av nätverk (11 skyddsåtgärder)
  • 14 - Utbildning i säkerhetsmedvetande och säkerhetsfärdigheter (9 skyddsåtgärder)
  • 15 - Hantering av tjänsteleverantörer (7 skyddsåtgärder)
  • 16 - Säkerhet för tillämpningsprogramvara: Hantera livscykeln för säkerhet i utvecklad eller förvärvad programvara för att förhindra svagheter. (14 skyddsåtgärder)
  • 17 - Hantering av incidenter (19 skyddsåtgärder)
  • 18 - Penetrationstest (5 skyddsåtgärder)

CIS Controls specialiteter

  • Den första versionen av CIS Controls publicerades 2008. Den senaste uppdateringen (version 8) släpptes 2021.
  • Genomförandegrupper (IG): CIS-kontrollerna är indelade i 3 separata implementeringsgrupper - ungefär som nivåer. IG1 definieras som "grundläggande cyberhygien" och de senare skyddsåtgärderna bygger vidare på detta.
  • Kartläggning: CIS-kontroller är ganska snyggt kartlagda i vanliga ramverk för efterlevnad, som ISO 27001 och NIST CSF, för att säkerställa anpassning och för att synliggöra gemensamma mål.
Skrivet av
Aleksi Pulkkanen
4.3.2024
@
apulkkanen
LinkedIn

Artikelns innehåll

Andra artiklar i samma ämne

Se hela ISO 27001-samlingen
Se hela NIS2-samlingen

Andra relaterade bloggartiklar

Dela artikel

Annat liknande innehåll från Akademin

Bloggar

De 10 vanligaste avvikelserna vid revisioner av ISO 27001

Revisioner och avvikelser driver organisationer mot ständiga förbättringar. Men innan din första ISO 27001-certifiering är det bra att känna till några av de vanligaste avvikelserna, så att du kan undvika dem vid din certifieringsrevision.
18.2.2025

Har fått en förfrågan om intervju för ISO 27001-revision - vad kan jag förvänta mig?

I den här bloggen kommer vi att tala om vikten av att medarbetarna deltar i revisionsintervjun, varför revisorerna värdesätter medarbetarnas insikter och titta närmare på möjliga frågor som ställs i en ISO 27001-intervju.
13.2.2025

Checklista för efterlevnad och certifiering av ISO 27001

Vill du säkerställa att du uppfyller kraven i ISO 27001? Den här checklistan innehåller tydligt ordnade viktiga steg som hjälper din organisation att bygga upp ett ISMS och uppfylla kraven i ISO 27001-standarden.
6.2.2025

Kom igång idag

Börja gratis, i din bekanta Teams-miljö.
Om du har några frågor kan du boka ett möte med oss.

Starta en gratis 14-dagars provperiod
Boka ett möte
Hur fungerar det?
SammanfattningSäkerhetsuppgifter och säkerhetArbetsflöden för dokumentationRiktlinjer för anställdaMallar för rapportering
Användningsområden
Efter ramverkAlla ramverkISO 27001NIS2-direktivNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Efter metodHantering av cyberriskerMedvetenhet hos anställdaRapportering om efterlevnadKontrollhanteringHantering av tillgångarDynamiska policydokumentHantering av sekretess
Resurser
AkademinWebbinarierBloggHjälpartiklarVideokurserInnehållsbibliotekVeckovisa nyhetsöversikterPrenumerera på AkademinLämna en recensionPartnerprogramTeamAnvändarvillkorIntegritetspolicy
Kontakta oss
+358 10 231 6010
team@cyberday.ai
Appen fungerar i:
I Finland känd som Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tammerfors, Finland
Cyberday.ai - Förbättra och certifiera din cybersäkerhet