Två ramverk, olika fokus
När organisationer ska strukturera sitt säkerhetsarbete dyker ofta två namn upp: CIS Controls och ISO 27001. Båda är välrenommerade, men de har olika ursprung, fokus och användningsområden.
Kortversion: CIS Controls svarar på “vad ska vi göra tekniskt?”. ISO 27001 svarar på “hur ska vi styra och leda informationssäkerheten?”.
CIS Controls i korthet
Vad är CIS Controls? Center for Internet Security (CIS) Controls är en lista med 18 prioriterade säkerhetsåtgärder, utvecklade av säkerhetsexperter baserat på verkliga attackmönster.
Nyckelkaraktäristik:
- Tekniskt fokus: konkreta åtgärder
- Prioritetsordning: viktigast först
- Implementation Groups (IG1-IG3): anpassat efter mognad
- Gratis att använda
- Ingen certifiering: bästa praxis
De 18 kontrollerna:
- Inventering av företagstillgångar
- Inventering av programvarutillgångar
- Dataskydd
- Säker konfiguration
- Kontohantering
- Åtkomstkontrollhantering
- Kontinuerlig sårbarhetshantering
- Logghantering
- E-post och webbläsarskydd
- Skydd mot skadlig kod
- Dataåterställning
- Hantering av nätverksinfrastruktur
- Nätverksövervakning och försvar
- Säkerhetsmedvetenhet
- Tjänsteleverantörshantering
- Applikationssäkerhet
- Incidenthantering
- Penetrationstestning
ISO 27001 i korthet
Vad är ISO 27001? ISO/IEC 27001 är en internationell standard för ledningssystem för informationssäkerhet (ISMS). Den specificerar krav för att etablera, implementera, underhålla och kontinuerligt förbättra ett ISMS.
Nyckelkaraktäristik:
- Ledningssystemfokus: processer och styrning
- Riskbaserad approach
- Certifieringsbar: tredjepartsrevision
- Kräver dokumentation och policyer
- Annex A med 93 kontroller (ISO 27001:2022)
Strukturen:
- Klausul 4-10: Ledningssystemkrav (ska-krav)
- Annex A: 93 kontroller fördelade på 4 teman:
- Organisatoriska kontroller (37)
- Personkontroller (8)
- Fysiska kontroller (14)
- Tekniska kontroller (34)
Jämförelse
| Aspekt | CIS Controls | ISO 27001 |
|---|---|---|
| Fokus | Teknisk implementation | Ledningssystem |
| Approach | Prioriterad lista | Riskbaserad |
| Certifiering | Nej | Ja |
| Kostnad | Gratis ramverk | Certifiering kostar |
| Dokumentation | Minimal | Omfattande |
| Målgrupp | IT/säkerhetsteam | Hela organisationen |
| Uppdatering | v8 (2021) | 2022-version |
| Kontroller | 18 + 153 safeguards | 93 Annex A kontroller |
Implementation Groups (CIS)
56 safeguards. För mindre organisationer med begränsade IT-resurser. Skyddar mot vanliga, okomplicerade attacker.
74 safeguards (inkl. IG1). För organisationer med IT-personal och mer komplexa miljöer. Skyddar mot mer sofistikerade hot.
Alla 153 safeguards. För organisationer med dedikerade säkerhetsteam och höga krav. Skyddar mot avancerade hot.
När passar CIS Controls?
Välj CIS Controls när:
- Du vill ha konkreta, tekniska åtgärder
- Du behöver prioritera: vad först?
- Du har begränsade resurser
- Certifiering inte är ett krav
- Du vill komplettera ISO 27001 med praktisk vägledning
Typiska användare:
- Startups som bygger säkerhet från grunden
- SMB som vill höja nivån snabbt
- IT-avdelningar som behöver handlingskraft
- Organisationer som kompletterar ISO 27001
När passar ISO 27001?
Välj ISO 27001 när:
- Kunder eller partners kräver certifiering
- Du behöver strukturerad styrning av informationssäkerhet
- Ledningen ska vara involverad
- Du vill ha internationellt erkänd standard
- NIS2/Cybersäkerhetslagen är relevant (ISO 27001 täcker mycket)
Typiska användare:
- B2B-företag med certifieringskrav
- Organisationer som hanterar känslig data
- Företag som vill visa seriöst säkerhetsarbete
- Organisationer under NIS2
Mappning mellan ramverken
CIS Controls och ISO 27001 Annex A har betydande överlappning. Här är exempel på hur de mappar:
| CIS Control | ISO 27001 Annex A |
|---|---|
| 1. Inventering av tillgångar | A.5.9 Inventory of assets |
| 3. Dataskydd | A.5.12-A.5.14 Data classification |
| 5. Kontohantering | A.5.16-A.5.18 Identity management |
| 7. Sårbarhetshantering | A.8.8 Vulnerability management |
| 8. Logghantering | A.8.15-A.8.16 Logging |
| 14. Säkerhetsmedvetenhet | A.6.3 Awareness training |
| 17. Incidenthantering | A.5.24-A.5.28 Incident management |
Kombinera båda ramverken
- Börja med CIS IG1 för snabb effekt Implementera de 56 grundläggande safeguards för att få baslinjesäkerhet på plats. Detta ger omedelbar riskreduktion.
- Bygg ISMS-strukturen parallellt Etablera policyer, processer och dokumentation enligt ISO 27001. CIS-implementationen blir evidens för många Annex A-kontroller.
- Mappa CIS till Annex A Dokumentera hur era CIS-implementationer uppfyller ISO 27001-kontroller. Undvik dubbelarbete.
- Fyll gapen ISO 27001 kräver mer än tekniska kontroller: ledningssystem, riskhantering, internrevision. Komplettera med det CIS inte täcker.
- Certifiera vid behov När ISMS är moget, genomgå certifieringsrevision. CIS-implementationen ger stark teknisk grund.
Vanliga fallgropar
CIS utan ledningsstöd blir isolerat IT-projekt. ISO 27001 utan teknisk implementation blir pappersprodukt. Balansera.
ISO 27001-certifiering är medel, inte mål. Fokusera på faktisk säkerhet, inte bara compliance.
Försök inte implementera alla CIS-kontroller eller hela ISO 27001 samtidigt. Prioritera baserat på risk.
Båda ramverken kräver kontinuerligt arbete. CIS uppdateras, ISO 27001 kräver årlig revision.
Sammanfattning
| Fråga | CIS Controls | ISO 27001 |
|---|---|---|
| Vad ska vi göra tekniskt? | ✓ Stark | Generellt |
| Hur prioriterar vi? | ✓ Tydlig ordning | Riskbaserat |
| Behöver vi certifiering? | Nej | ✓ Ja |
| Vill ledningen vara involverad? | Valfritt | ✓ Krav |
| Har vi begränsade resurser? | ✓ IG1 | Mer krävande |
Så kan Securapilot hjälpa
Securapilot stödjer både CIS Controls och ISO 27001:
- Multi-framework stöd: Hantera båda ramverken i samma system
- Kontrollmappning: Se hur era kontroller uppfyller flera ramverk
- GAP-analys: Identifiera vad som saknas
- Evidenshantering: Samla bevis för revision
- Dashboard: Överblick över compliance-status
Boka en demo och se hur vi kan stödja ert ramverksval.
Vanliga frågor
Kan man vara CIS-certifierad?
Nej, CIS Controls har ingen formell certifiering. Det är ett ramverk för bästa praxis. ISO 27001 däremot erbjuder tredjepartscertifiering genom ackrediterade certifieringsorgan.
Vilken är enklast att implementera?
CIS Controls, särskilt Implementation Group 1 (IG1), är designat för att vara praktiskt och snabbt implementerbart. ISO 27001 kräver mer dokumentation och processer men ger certifierbarhet.
Fungerar de tillsammans?
Ja, de kompletterar varandra utmärkt. CIS Controls ger konkreta tekniska åtgärder som kan mappa mot ISO 27001 Annex A-kontroller. Många organisationer använder CIS för teknisk implementation och ISO 27001 för ledningssystemet.
Vilket kräver kunderna oftast?
ISO 27001-certifiering är vanligast som kundkrav, särskilt i B2B. CIS Controls används mer internt för att prioritera säkerhetsåtgärder och som komplement till ISO 27001.
