To rammer — forskellige fokus
Når organisationer skal strukturere deres sikkerhedsarbejde, dukker ofte to navne op: CIS Controls og ISO 27001. Begge er velrenommerede, men de har forskelligt oprindelse, fokus og anvendelsesområder.
Kortversion: CIS Controls svarer på “hvad skal vi gøre teknisk?”. ISO 27001 svarer på “hvordan skal vi styre og lede informationssikkerheden?”.
CIS Controls i korthed
Hvad er CIS Controls? Center for Internet Security (CIS) Controls er en liste med 18 prioriterede sikkerhedsforanstaltninger, udviklet af sikkerhedseksperter baseret på virkelige angrøbsmønstre.
Nøglekarakteristika:
- Teknisk fokus — konkrete tiltag
- Prioriteringsrækkefølge — vigtigst først
- Implementation Groups (IG1-IG3) — tilpasset efter modenhed
- Gratis at bruge
- Ingen certificering — bedste praksis
De 18 kontroller:
- Registrering af virksomhedsaktiver
- Registrering af softwareaktiver
- Databeskyttelse
- Sikker konfiguration
- Kontohåndtering
- Adgangskontrolhåndtering
- Kontinuerlig sårbarhedshåndtering
- Loghåndtering
- E-mail og browserbeskyttelse
- Beskyttelse mod ondsindet kode
- Datagendannelse
- Håndtering af netværksinfrastruktur
- Netværksovervågning og forsvar
- Sikkerhedsbevidsthed
- Tjenesteudbyderhåndtering
- Applikationssikkerhed
- Hændelseshåndtering
- Penetrationstest
ISO 27001 i korthed
Hvad er ISO 27001? ISO/IEC 27001 er en international standard for ledelsessystemer for informationssikkerhed (ISMS). Den specificerer krav til at etablere, implementere, vedligeholde og kontinuerligt forbedre et ISMS.
Nøglekarakteristika:
- Ledelsessystemfokus — processer og styring
- Risikobaseret tilgang
- Certificerbar — tredjeparts revision
- Kræver dokumentation og politikker
- Annex A med 93 kontroller (ISO 27001:2022)
Strukturen:
- Klausul 4-10: Ledelsessystemkrav (skal-krav)
- Annex A: 93 kontroller fordelt på 4 temaer:
- Organisatoriske kontroller (37)
- Personkontroller (8)
- Fysiske kontroller (14)
- Tekniske kontroller (34)
Sammenligning
| Aspekt | CIS Controls | ISO 27001 |
|---|---|---|
| Fokus | Teknisk implementering | Ledelsessystem |
| Tilgang | Prioriteret liste | Risikobaseret |
| Certificering | Nej | Ja |
| Omkostninger | Gratis rammeværk | Certificering koster |
| Dokumentation | Minimal | Omfattende |
| Målgruppe | IT/sikkerhedsteam | Hele organisationen |
| Opdatering | v8 (2021) | 2022-version |
| Kontroller | 18 + 153 safeguards | 93 Annex A kontroller |
Implementation Groups (CIS)
56 safeguards. For mindre organisationer med begrænsede IT-ressourcer. Beskytter mod almindelige, ukomplicerede angreb.
74 safeguards (inkl. IG1). For organisationer med IT-personale og mere komplekse miljøer. Beskytter mod mere sofistikerede trusler.
Alle 153 safeguards. For organisationer med dedikerede sikkerhedsteams og høje krav. Beskytter mod avancerede trusler.
Hvornår passer CIS Controls?
Vælg CIS Controls når:
- Du vil have konkrete, tekniske tiltag
- Du skal prioritere — hvad først?
- Du har begrænsede ressourcer
- Certificering ikke er et krav
- Du vil supplere ISO 27001 med praktisk vejledning
Typiske brugere:
- Startups, der bygger sikkerhed fra bunden
- SMV’er, der vil hæve niveauet hurtigt
- IT-afdelinger, der har brug for handlekraft
- Organisationer, der supplerer ISO 27001
Hvornår passer ISO 27001?
Vælg ISO 27001 når:
- Kunder eller partnere kræver certificering
- Du har brug for struktureret styring af informationssikkerhed
- Ledelsen skal involveres
- Du vil have internationalt anerkendt standard
- NIS2-loven er relevant (ISO 27001 dækker meget)
Typiske brugere:
- B2B-virksomheder med certificeringskrav
- Organisationer, der håndterer følsomme data
- Virksomheder, der vil vise seriøst sikkerhedsarbejde
- Organisationer under NIS2-loven
Kortlægning mellem rammeværkerne
CIS Controls og ISO 27001 Annex A har betydelig overlap. Her er eksempler på, hvordan de kortlægges:
| CIS Control | ISO 27001 Annex A |
|---|---|
| 1. Registrering af aktiver | A.5.9 Inventory of assets |
| 3. Databeskyttelse | A.5.12-A.5.14 Data classification |
| 5. Kontohåndtering | A.5.16-A.5.18 Identity management |
| 7. Sårbarhedshåndtering | A.8.8 Vulnerability management |
| 8. Loghåndtering | A.8.15-A.8.16 Logging |
| 14. Sikkerhedsbevidsthed | A.6.3 Awareness training |
| 17. Hændelseshåndtering | A.5.24-A.5.28 Incident management |
Kombiner begge rammeværker
- Start med CIS IG1 for hurtig effekt Implementer de 56 grundlæggende safeguards for at få baseline-sikkerhed på plads. Dette giver øjeblikkelig risikoreduktion.
- Byg ISMS-strukturen parallelt Etabler politikker, processer og dokumentation ifølge ISO 27001. CIS-implementeringen bliver evidens for mange Annex A-kontroller.
- Kortlæg CIS til Annex A Dokumenter, hvordan jeres CIS-implementeringer opfylder ISO 27001-kontroller. Undgå dobbeltarbejde.
- Fyld hullerne ISO 27001 kræver mere end tekniske kontroller — ledelsessystem, risikohåndtering, intern revision. Supplér med det, CIS ikke dækker.
- Certificer ved behov Når ISMS er modent, gennemfør certificeringsrevision. CIS-implementeringen giver stærkt teknisk grundlag.
Almindelige faldgruber
CIS uden ledelsesopbakning bliver isoleret IT-projekt. ISO 27001 uden teknisk implementering bliver papirprodukt. Balancer.
ISO 27001-certificering er middel, ikke mål. Fokuser på faktisk sikkerhed, ikke bare compliance.
Forsøg ikke at implementere alle CIS-kontroller eller hele ISO 27001 samtidigt. Prioriter baseret på risiko.
Begge rammeværker kræver kontinuerligt arbejde. CIS opdateres, ISO 27001 kræver årlig revision.
Sammenfatning
| Spørgsmål | CIS Controls | ISO 27001 |
|---|---|---|
| Hvad skal vi gøre teknisk? | ✓ Stærk | Generelt |
| Hvordan prioriterer vi? | ✓ Tydelig rækkefølge | Risikobaseret |
| Har vi brug for certificering? | Nej | ✓ Ja |
| Vil ledelsen involveres? | Valgfrit | ✓ Krav |
| Har vi begrænsede ressourcer? | ✓ IG1 | Mere krævende |
Sådan kan Securapilot hjælpe
Securapilot understøtter både CIS Controls og ISO 27001:
- Multi-framework support — Håndter begge rammeværker i samme system
- Kontrolkortlægning — Se, hvordan jeres kontroller opfylder flere rammeværker
- GAP-analyse — Identificer, hvad der mangler
- Evidenshåndtering — Saml beviser til revision
- Dashboard — Overblik over compliance-status
Book en demo og se, hvordan vi kan understøtte jeres rammeværksvalg.
Ofte stillede spørgsmål
Kan man blive CIS-certificeret?
Nej, CIS Controls har ingen formel certificering. Det er et rammeværk for bedste praksis. ISO 27001 derimod tilbyder tredjepartscertificering gennem akkrediterede certificeringsorganer.
Hvilken er nemmest at implementere?
CIS Controls, særligt Implementation Group 1 (IG1), er designet til at være praktisk og hurtigt implementerbart. ISO 27001 kræver mere dokumentation og processer, men giver certificerbarhed.
Fungerer de sammen?
Ja, de komplementerer hinanden fremragende. CIS Controls giver konkrete tekniske tiltag, der kan kortlægges mod ISO 27001 Annex A-kontroller. Mange organisationer bruger CIS til teknisk implementering og ISO 27001 til ledelsessystemet.
Hvilken kræver kunderne oftest?
ISO 27001-certificering er mest almindelig som kundekrav, særligt i B2B. CIS Controls bruges mere internt til at prioritere sikkerhedsforanstaltninger og som supplement til ISO 27001.
