Akademiets hjem
Blogs
De 7 vigtigste standarder, rammer og love for informationssikkerhed forklaret
En del af ISO 27001-samlingen
En del af NIS2-samlingen

De 7 vigtigste standarder, rammer og love for informationssikkerhed forklaret

ISO 27001 samling
De 7 vigtigste standarder, rammer og love for informationssikkerhed forklaret
NIS2-samling
De 7 vigtigste standarder, rammer og love for informationssikkerhed forklaret
Cyberday blog
De 7 vigtigste standarder, rammer og love for informationssikkerhed forklaret

Der findes flere rammer for informationssikkerhed og cybersikkerhed, som kan hjælpe organisationer med at opbygge deres egne informationssikkerhedsplaner. Mange af disse er også allerede understøttet i Cyberday.

Der findes mange typer rammer for informationssikkerhed - f.eks. internationale standarder, lokale programmer, EU-forordninger eller -direktiver, branchespecifik lovgivning, organisationsspecifikke kriteriekataloger eller andre sæt af bedste praksis for sikkerhed.

Her er vigtige oplysninger om nogle af de mest populære standarder for informationssikkerhed.

Sidst opdateret: 4.3.2024

ISO 27001-standard

ISO/IEC 27001 er en international standard for styring af informationssikkerhed. Den beskriver kravene til etablering, implementering, vedligeholdelse og løbende forbedring af et ledelsessystem for informationssikkerhed (ISMS) - hvis formål er at hjælpe organisationer med at gøre de informationsaktiver, de har, mere sikre.

ISO 27001 understreger vigtigheden af at identificere og vurdere informationssikkerhedsrisici. Organisationer skal implementere risikostyringsprocesser for at identificere potentielle trusler, evaluere deres indvirkning og udvikle passende afhjælpningsstrategier.

ISO 27001 fremmer også en kultur med løbende forbedringer af informationssikkerheden. Regelmæssig overvågning, præstationsevaluering og periodiske gennemgange hjælper organisationer med at tilpasse sig nye trusler og forbedre deres ISMS-effektivitet.

ISO 27001-struktur

22 krav til topledelsen om håndtering af informationssikkerhed

  • 4. Organisationens kontekst
  • 5. Lederskab
  • 6. Planlægning
  • 7. Ressourcer
  • 8. Betjening
  • 9. Evaluering af resultater
  • 10. Forbedring

93 kontroller til implementering af informationssikkerhed

  • 5. Organisatoriske kontroller (f.eks. forvaltning af aktiver, leverandørforhold, kontinuitet)
  • 6. Kontrol af mennesker
  • 7. Fysisk kontrol
  • 8. Teknologiske kontroller (f.eks. sårbarhedsstyring, hændelsesstyring, sikker udvikling, sikker konfiguration)

ISO 27001-specialiteter

  • Oprindeligt udgivet i 2005, revideret i 2013 og igen senest i 2022.
  • En guldstandard: kendt over hele verden med mange andre love, rammer osv. henviser til ISO 27001
  • Certificering tilgængelig og mange akkrediterede revisionsfirmaer i flere lande
  • Der findes mange udvidede standarder (ISO 27017 (cloud-sikkerhed), ISO 27018 (cloud-privatliv), ISO 27701 (privatlivsstyring), ISO 27799 (sundhedsindustrien), ISO 27031 (disaster recovery), ISO 27040 (lagringssikkerhed)).

DORA (lov om digital operationel modstandsdygtighed)

Før DORA håndterede finansielle institutioner de vigtigste kategorier af operationel risiko hovedsageligt med allokering af kapital, men de håndterede ikke alle komponenter af operationel modstandsdygtighed.

Efter DORA skal de også følge reglerne for beskyttelse, opdagelse, inddæmning, genopretning og reparation af IKT-relaterede hændelser. DORA henviser udtrykkeligt til IKT-risiko og fastsætter regler for IKT-risikostyring, rapportering af hændelser, test af driftsmæssig robusthed og overvågning af IKT-risiko fra tredjepart.

DORA anerkender, at IKT-hændelser og manglende operationel modstandsdygtighed kan bringe hele det finansielle systems soliditet i fare, selv om der er "tilstrækkelig" kapital til de traditionelle risikokategorier.

DORA-struktur

DORA indeholder i alt 41 krav. Hovedindhold for slutbrugerorganisationer i kapitlerne II - VI.

  • IKT-risikostyring (artikel 5-16)
  • Håndtering, klassificering og rapportering af IKT-relaterede hændelser (artikel 17-23)
  • Test af digital operationel modstandsdygtighed (artikel 24-27)
  • Håndtering af IKT-risiko for tredjepart (artikel 28-44)
  • Ordninger for informationsudveksling (artikel 45)

DORAs specialiteter

  • EU-forordning
  • Gælder fra 17. januar 2025
  • Påvirker finansielle enheder som banker, forsikringsselskaber eller investeringsfirmaer og deres forsyningskæder

NIS2-direktiv

NIS2 (The Network and Information Systems Directive 2) er EU's nye lovgivningsramme for informationssikkerhed i vigtige industrier.

Den sætter en ny standard for informationssikkerhed, udvider anvendelsesområdet fra den oprindelige NIS, indfører strenge overvågningsaktiviteter for overholdelse og også potentielle sanktioner for overtrædelser. Målet er at beskytte Europas informationsinfrastruktur bedre.

Det er især vigtigt at bemærke, at NIS2 ikke bare sætter standarderne for organisatorisk cybersikkerhed; den holder topledelsen ansvarlig for at nå dem. Uagtsomhed eller utilstrækkeligt engagement i disse regler kan få betydelige juridiske konsekvenser. Hvis du ikke udviser rettidig omhu ved at implementere robuste cybersikkerhedsforanstaltninger i overensstemmelse med NIS2-standarderne, kan topledelsen blive holdt personligt ansvarlig for eventuelle resulterende sikkerhedssvigt.

NIS2-struktur

I NIS2 fuldtekst er det kun kapitel IV, der indeholder krav til slutbrugerorganisationer.

Kapitel IV med titlen "Risikostyringsforanstaltninger for cybersikkerhed og rapporteringsforpligtelser" har følgende artikler:

  • 20 - Styring: Understreger topledelsens rolle som ansvarlig for at implementere informationssikkerhedsforanstaltningerne.
  • 21 - Foranstaltninger til risikostyring af cybersikkerhed: Viser de informationssikkerhedsområder, som organisationer skal have dokumenteret og implementeret foranstaltninger for.
  • 22 - Koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder på EU-plan
  • 23 - Rapporteringsforpligtelser: Lister over krav til rapportering af hændelser til myndigheder og brugere.
  • 24 - Brug af europæiske cybersikkerhedscertificeringsordninger
  • 25 - Standardisering

NIS 2 kræver, at organisationer har dokumenterede og implementerede foranstaltninger for følgende informationssikkerhedsområder:

  • Risikostyring og sikkerhed i informationssystemer
  • Håndtering af hændelser og rapportering
  • Logning og opdagelse af hændelser
  • Forretningskontinuitet og sikkerhedskopier
  • Sikkerhed og overvågning af forsyningskæden
  • Sikker anskaffelse og udvikling af systemer
  • Vurdering af sikkerhedsforanstaltningernes effektivitet
  • Praksis og træning i cyberhygiejne
  • Kryptering
  • Sikkerhed for menneskelige ressourcer
  • Adgangskontrol
  • Forvaltning af aktiver
  • Multifaktor-autentificering (MFA)

NIS2-specialiteter

  • EU-direktiv
  • NIS2 træder i kraft den 18. oktober 2024.
  • Specificerede industrier i anvendelsesområdet
  • Forsyningskædeeffekten udvides til også at omfatte de vigtige leverandører til NIS2-organisationer

NIST CSF (1.1)

NIST Cybersecurity Framework (CSF) er et sæt af bedste praksisser og anbefalinger inden for cybersikkerhed fra National Institute of Standards and Technology (NIST) i USA.

CSF indeholder et sæt anbefalinger og standarder, der gør det muligt for organisationer at være bedre forberedt på at identificere og opdage cyberangreb og giver også retningslinjer for, hvordan man reagerer, forebygger og kommer sig efter cyberhændelser.

NIST CSF anses i vid udstrækning for at være guldstandarden for opbygning af et cybersikkerhedsprogram.

NIST CSF-struktur

NIST CSF indeholder i alt 108 krav. Disse krav er kategoriseret under 5 kernefunktioner: Identificere (ID), beskytte (PR), opdage (DE), reagere (RS) og gendanne (RC).

Identificer (ID)-funktionen dækker følgende sikkerhedsaspekter:

  • Forvaltning af aktiver
  • Erhvervsmiljø
  • Forvaltning
  • Risikovurdering
  • Strategi for risikostyring
  • Risikostyring i forsyningskæden

Protect (PR)-funktionen dækker følgende sikkerhedsaspekter:

  • Identitetsstyring, autentificering og adgangskontrol
  • Bevidsthed og træning
  • Datasikkerhed
  • Processer og procedurer for informationsbeskyttelse
  • Vedligeholdelse
  • Proaktiv teknologi

Detect (DE)-funktionen dækker følgende sikkerhedsaspekter:

  • Afvigelser og begivenheder
  • Kontinuerlig overvågning af sikkerheden
  • Opdagelsesprocesser

Respond (RS)-funktionen dækker følgende sikkerhedsaspekter:

  • Planlægning af respons
  • Kommunikation
  • Analyse
  • Afhjælpning
  • Forbedringer

Recover (RC)-funktionen dækker følgende sikkerhedsaspekter:

  • Planlægning af genopretning
  • Forbedringer
  • Kommunikation

NIST CSF-specialiteter

  • Betragtes som en guldstandard for opbygning af et cybersikkerhedsprogram - især på det nordamerikanske marked.
  • Mange andre rammeværk har taget NIST CSF's kernefunktionsopdeling til sig: Identificere-Beskytte-Detektere-Responere-Gendanne
  • NIST har også udgivet mere tekniske kataloger over sikkerheds- og privatlivskontroller, f.eks. NIST SP 800-53 og NIST SP 800-171.
  • Oprindeligt udgivet i 2014, opdateret i april 2018 til v1.1

NIST CSF (2.0)

NIST CSF vil blive opdateret i begyndelsen af 2024.

Vigtige ændringer

  • Indførelse af en sjette kernefunktion "Govern" for at understrege ledelsesrelaterede krav
  • Eksplicit vejledning udvidet til organisationer af alle størrelser, sektorer og modenhedsniveauer
  • Målet er at gøre det muligt for mindre virksomheder at udnytte rammerne effektivt

Cybersecurity Capability Maturity Model (C2M2)

Cybersecurity Capability Maturity Model (C2M2) hjælper organisationer med at evaluere deres cybersecurity-kapaciteter og optimere sikkerhedsinvesteringer.

Mens det amerikanske energiministerium og energiindustrien generelt førte an i udviklingen af C2M2 og var fortalere for dens indførelse, kan enhver organisation - uanset størrelse, type eller branche - bruge modellen til at evaluere, prioritere og forbedre deres cybersikkerhedskapacitet.

C2M2-struktur

C2M2 er en stor ramme med i alt 356 krav (eller praksisser, som de kalder dem) fordelt på 3 forskellige modenhedsniveauer.

Niveau 1 omfatter 56 krav, niveau 2 i alt 222 og niveau 3 hele 356.

Framework's indhold er opdelt i

  • ASSET: 5 afsnit og 23 krav relateret til aktiv-, ændrings- og konfigurationsstyring
  • TRUSLER: 3 afsnit og 19 krav relateret til håndtering af trusler og sårbarheder
  • RISIKO: 5 afsnit og 23 krav relateret til risikostyring
  • ADGANG: 4 afsnit og 25 krav relateret til identitets- og adgangsstyring
  • SITUATION: 4 sektioner og 16 krav relateret til situationsfornemmelse
  • RESPONSE: 5 afsnit og 32 krav relateret til respons på begivenheder og hændelser og kontinuitet i driften
  • TREDJEPARTER: 3 afsnit og 14 krav relateret til risikostyring af tredjeparter
  • WORKFORCE: 5 afsnit og 19 krav relateret til workforce management
  • ARKITEKTUR: 6 afsnit og 36 krav relateret til cybersikkerhedsarkitektur
  • PROGRAM: 3 afsnit og 15 krav relateret til styring af cybersikkerhedsprogrammer

C2M2-specialiteter

  • Opdeler alle sine praksisser i 3 separate MIL' er (dvs. modenhedsniveauer), så organisationer kan tælle og sammenligne deres egen cybersikkerhedsmodenhed.
  • Der er oprettet nationale applikationer af C2M2-rammen (f.eks. i Finland kendt som Kybermittari).
  • MIL'er og opdeling af krav i Fuldt / Stort set / Delvist / Ikke implementeret hjælper med at beregne din relative modenhed og sammenligne med andre organisationer.

CIS Critical Security Controls v8 (CIS 18)

Center for Internet Security (CIS) Critical Security Controls (tidligere kendt som SANS Top 20) er et prioriteret sæt af sikkerhedsforanstaltninger til at afbøde de mest udbredte cyberangreb mod systemer og netværk.

CIS Controls har en ret teknisk tilgang til informationssikkerhed, og den kan med fordel anvendes sammen med mere sikkerhedsstyringsrelaterede rammer som ISO 27001 eller NIST CSF for at skærpe den tekniske beskyttelse.

I årenes løb er CIS Controls modnet til et internationalt fællesskab af frivillige personer og institutioner, der deler indsigt i cybertrusler, identificerer de grundlæggende årsager og omsætter det til defensiv handling.

CIS-kontrolstruktur

De 18 kontroller i CIS Controls er sikkerhedsfunktioner på allerøverste niveau, og de er yderligere opdelt i de faktiske krav (kaldet safeguards).

CIS Controls omfatter i alt 163 krav (dvs. sikkerhedsforanstaltninger).

18 CIS-kontroller er følgende:

  • 01 - Opgørelse og kontrol af virksomhedens aktiver (5 sikkerhedsforanstaltninger)
  • 02 - Opgørelse og kontrol af softwareaktiver (7 sikkerhedsforanstaltninger)
  • 03 - Databeskyttelse: Identificer og klassificer data. Håndter, opbevar og bortskaf data på en sikker måde. (14 sikkerhedsforanstaltninger)
  • 04 - Sikker konfiguration af virksomhedens aktiver og software (12 sikkerhedsforanstaltninger)
  • 05 - Kontostyring: Tildel og administrer autorisation til legitimationsoplysninger for brugerkonti. (6 sikkerhedsforanstaltninger)
  • 06 - Styring af adgangskontrol: Opret, tildel, administrer og tilbagekald adgangsoplysninger på en sikker måde. (8 sikkerhedsforanstaltninger)
  • 07 - Kontinuerlig sårbarhedsstyring (7 sikkerhedsforanstaltninger)
  • 08 - Håndtering af revisionslog (12 sikkerhedsforanstaltninger)
  • 09 - Beskyttelse af e-mail og webbrowser (7 sikkerhedsforanstaltninger)
  • 10 - Malware-forsvar (7 sikkerhedsforanstaltninger)
  • 11 - Gendannelse af data: Praksis for at genoprette virksomhedens aktiver til en tilstand før hændelsen og en tilstand, der er tillid til. (5 sikkerhedsforanstaltninger)
  • 12 - Forvaltning af netværksinfrastruktur (8 sikkerhedsforanstaltninger)
  • 13 - Netværksovervågning og -forsvar (11 sikkerhedsforanstaltninger)
  • 14 - Sikkerhedsbevidsthed og færdighedstræning (9 sikkerhedsforanstaltninger )
  • 15 - Ledelse af tjenesteudbydere (7 sikkerhedsforanstaltninger)
  • 16 - Sikkerhed i applikationssoftware: Administrer sikkerhedslivscyklussen for udviklet eller erhvervet software for at forhindre svagheder. (14 beskyttelsesforanstaltninger)
  • 17 - Håndtering af hændelser (19 sikkerhedsforanstaltninger)
  • 18 - Penetrationstest (5 sikkerhedsforanstaltninger)

CIS Controls specialiteter

  • Den første version af CIS Controls blev udgivet i 2008. Den seneste opdatering (version 8) blev udgivet i 2021.
  • Implementeringsgrupper (IG'er): CIS Controls er opdelt i 3 separate implementeringsgrupper - lidt ligesom niveauer. IG1 er defineret som "essentiel cyberhygiejne", og de senere beskyttelsesforanstaltninger bygger videre på det.
  • Kortlægning: CIS-kontroller er ganske pænt kortlagt i fælles overholdelsesrammer, som ISO 27001 og NIST CSF, for at sikre tilpasning og for at synliggøre fælles mål.
Skrevet af
Aleksi Pulkkanen
4.3.2024
@
apulkkanen
LinkedIn

Artiklens indhold

Andre artikler om samme emne

Se hele ISO 27001-samlingen
See full NIS2 collection

Del artikel

Andet lignende indhold fra Academy

Blogs

Most important documents in ISO 27001 certification audit

The ISO 27001 standard does specifically define some key documents, which need to be gathered together and be easily shareable e.g. for the auditor. In this blog, we'll present these most important documents for an ISO 27001 certification audit.
30.1.2025

NIS2 og national implementering: Hvilke lokale NIS2-love er tilgængelige på Cyberday?

EU's medlemsstater er forpligtet til at indføre NIS2 i national lovgivning. Vigtige nationale beslutninger omfatter definition af lokale myndigheder, overvågningsmekanismer og skræddersyede regler til at opfylde specifikke behov.
23.1.2025

ISO 27001-certificering: Hvad sker der i certificeringsauditten?

Dette blogindlæg giver en overordnet introduktion til auditering af informationssikkerhed og en detaljeret gennemgang af auditeringsprocessen for ISO 27001-certificering.
22.1.2025

Kom i gang i dag

Start gratis i dit velkendte Teams-miljø.
Hvis du først har nogle spørgsmål, kan du bestille et møde med os.

Start gratis 14-dages prøveperiode
Book et møde
Hvordan virker det?
ResuméSikkerhedsopgaver og sikringDokumentationsarbejdsgangeRetningslinjer for medarbejdereRapporteringsskabeloner
Anvendelsestilfælde
Efter rammeværkAlle rammerISO 27001NIS2-direktivetNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Efter metodeHåndtering af cyberrisiciMedarbejderbevidsthedRapportering om overholdelseStyring af kontrolForvaltning af aktiverDynamiske politikdokumenterHåndtering af privatlivets fred
Ressourcer
AkademiWebinarerBlogHjælp artiklerVideokurserIndholdsbibliotekUgentlige nyhedsoversigterAbonner på akademietEfterlad en anmeldelsePartnerprogramTeamBetingelser for brugFortrolighedspolitik
Kontakt os
+358 10 231 6010
team@cyberday.ai
Appen fungerer i:
Kendt i Finland som Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Forbedre og certificere din cybersikkerhed