Gratis e-bok: NIS2 redo med hjälp av bästa praxis enligt ISO 27001
Ladda ner e-bok
Akademin hem
Hjälper
Använda rapporter om efterlevnad

I Cyberday kan du se en efterlevnadsrapport för varje ramverk som du vill efterleva. Efterlevnadsrapporten fungerar som en omfattande översikt över din organisations svar på varje krav/kontroll i det relaterade ramverket.

Rapporten om efterlevnad i ISO 27001 kallas "Statement of Applicability" eller SoA

Översikt över efterlevnadsrapporten

Var hittar du denna vy: Kontrollpanel -> Rapport om efterlevnad (rutan uppe i högra hörnet)

Rapporter om efterlevnad kan nås antingen direkt från Kontrollpanelens sektion Kravramverk eller via sidan Rapportering.

Övergripande efterlevnadspoäng mäter dina framsteg mot efterlevnad. Denna poäng sammanför relaterade siffror i efterlevnadsrapporten. Under den övergripande poängen ser du ramverkets beredskap per krav . Först kategoriseras kraven och poängsätts enligt deras beredskap.

Efterlevnadspoäng (maxvärde 100) = (Mörkgröna sektioner + 0,8 * Gröna sektioner + 0,5 * Ljusgröna sektioner + 0,2 * Gula sektioner) / Kravbelopp i ram * 100

Rapporter om efterlevnad är utformade för att ge en tydlig och kortfattad ögonblicksbild av en organisations efterlevnad av det angivna ramverket. I denna rapport presenteras varje krav i ramverket med en färgkodad cell som återspeglar dess aktuella efterlevnadsstatus. Följande färger visas:

  • Mörkgrön: Alla rekommenderade uppgifter har statusen "Fullt utförd
  • Grön: Om man bortser från uppgifter med "låg prioritet" är alla rekommenderade uppgifter utförda
  • Ljusgrön: Minst en uppgift klar
  • Gul: Inga uppgifter utförda, men minst en uppgift har satts till aktiv status
  • Grå: Inga uppgifter aktiva (= inget gjort)
  • Mörkgrå: Kravet anges som "ej tillämpligt" (direkt från rapporten)
N.b.! Om du anger en uppgift som "Ej relevant" kommer den inte att beaktas i ovanstående färgkategorisering

En separat efterlevnadsrapport är automatiskt tillgänglig för alla ramverk som stöds i Cyberday.

Du kan se översikten från den visuella presentationen, men genom att klicka på en cell kan du sedan dyka ner i detaljerna.

Detaljer om efterlevnadsrapport för ett krav

Uppgifterna i efterlevnadsrapporten för varje krav hänvisar till uppgiftstabellen som visas under ett krav i rapporternas huvudavsnitt. Du kan komma dit genom att klicka på något av kravnumren i översikten, t.ex. klicka på "5.15" från efterlevnadsrapporten för ISO 27001. Du kommer direkt till följande typ av vy (röda siffror förklaras nedan):

  1. Det avsnitt som du har klickat på kan ha ytterligare andra små avsnitt. Du kan växla mellan dessa genom att klicka på en av dem under rubriken för huvudavsnittet.
  2. Hitta en sammanfattning av avsnittets behandlingsstatus och redigera kravet. Värdena för kraven fylls i automatiskt som standard, men du kan ändra statusen för tillämplighet och utförande manuellt här. Ange t.ex. om det specifika kravet inte är tillämpligt för din organisation och varför. Välj "ej tillämpligt" i rullgardinsmenyn bredvid "Tillämplighet" och skriv en fri beskrivning. Avsnittet kommer då att gråmarkeras i översiktstabellen i början av efterlevnadsrapporten.
  1. Här hittar du en tabell med de uppgifter som föreslås för kravet i syfte att uppnå efterlevnadsnivå. I tabellen kan du se uppgiftsnamnet, uppgiftstypen (som är en indikator på de åtgärder som krävs för att utföra uppgiften), garantiinformationen, prioritetsnivån (förinställd, om den inte ändras manuellt) och statusen, vilket betyder om uppgiften är aktiv, delvis utförd, utförd och så vidare. Genom att klicka på "+" till vänster om uppgiften får du mer information om uppgiften, om det finns någon tillgänglig. Detta kräver att uppgiften redan har några inmatningar. Genom att klicka på "->" på höger sida av uppgiften kommer du direkt till uppgiftskortet, så att du kan börja behandla uppgiften.
  2. Om du vill kan du lägga till en fri beskrivning i (huvud)avsnittet i denna del av efterlevnadsrapporten.

Viktiga fördelar med efterlevnadsrapporter

Det finns flera olika huvudpunkter i en efterlevnadsrapport. I följande lista hittar du några av de viktigaste.

Förstå er nuvarande efterlevnad

Med hjälp av efterlevnadsrapporterna kan ni få ett gemensamt språk om var er informationssäkerhet befinner sig för närvarande. Har vi 25, 50 eller 75 procents efterlevnad, och är det tillräckligt eller borde vi göra bättre ifrån oss?

Utvärdera er implementering av olika krav/kontroller

I efterlevnadsrapporterna listas våra förslag på uppgifter som ni kan använda för att implementera utvalda krav eller kontroller. Detta är våra förslag och de har prioriteringar från Kritisk / Hög / Normal / Låg, så du bör börja från början och göra din egen riskdrivna tänkande om hur långt du känner nödvändigt att gå på varje ämne.

Du kan säkert också komplettera listan med förslag på uppgifter med dina manuella uppgiftstillägg. Sammanfattningsvis kan du använda efterlevnadsrapporten för att få idéer om hur du kan skärpa din implementering av vissa krav/kontroller ytterligare, t.ex. om din analys avslöjar stora risker eller nära ögat-incidenter relaterade till dem.

Ha bevis på efterlevnad

I efterlevnadsrapporten beskrivs ramverkets struktur, så att den hjälper t.ex. en revisor eller någon annan som är bekant med ett visst ramverk att titta in i ert ISMS. Vid t.ex. en certifieringsrevision kommer revisorn att behöva få bevis från er för att ni har implementerat alla krav i ramverket. En efterlevnadsrapport hjälper dig att få dessa svar.

Vad ska man använda efterlevnadsrapporter till?

  • Intern utvärdering: Organisationer använder dessa rapporter internt för att bedöma sin cybersäkerhetsställning, identifiera de delar som ännu inte har hanterats och prioritera åtgärder för förbättring.
  • Intern och extern revision: Revisorer, efterlevnadsbedömare eller tillsynsmyndigheter kan granska dessa rapporter för att säkerställa att en organisation uppfyller branschstandarder, lagkrav eller avtalsenliga skyldigheter. Du kan också använda vår revisionsfunktion för att göra dina revisioner direkt i Cyberday.
  • Riskhantering: Det hjälper till att förstå och hantera cybersäkerhetsrisker genom att anpassa kontrollerna till identifierade hot och sårbarheter samt dokumentera och hantera riskerna direkt i ISMS. Du kan även aktivera t.ex. incidentrapportering för dina anställda så att incidenter rapporteras och dokumenteras till ditt ISMS i realtid, så att du kan starta incident- och riskhanteringsprocesserna direkt i Cyberday.
  • Säkerhetskommunikation: Det hjälper till att kommunicera en organisations engagemang för cybersäkerhet till intressenter, kunder och partners och därmed skapa förtroende och transparens.
  • Kontinuerlig förbättring: Rapporten fungerar som en färdplan för det pågående arbetet med att förbättra cybersäkerheten och hjälper organisationen att upprätthålla eller förbättra sitt säkerhetsläge. Cyberday kommer att föreslå ytterligare uppgifter för att ytterligare stärka er försäkran.

En efterlevnadsrapport om cybersäkerhet som ISO 27001 Statement of Applicability är ett viktigt verktyg för organisationer som vill visa att de skyddar sin känsliga information, säkerställer efterlevnad av regler och kontinuerligt förbättrar sina åtgärder för cybersäkerhet.

Frågor och synpunkter

Har du några ytterligare frågor, behöver du ytterligare en hjälpartikel eller vill du ge oss feedback? Kontakta vårt team via team@cyberday.ai eller chattrutan i det nedre högra hörnet.

Innehåll

Dela artikel