ISO 27001

CIS Controls vs ISO 27001: Hvilken vei passer din organisasjon?

CIS Controls og ISO 27001 er to ledende rammeverk for cybersikkerhet. Lær deg forskjellene, når du skal velge hvilket, og hvordan de kan kombineres.

S
Securapilot
5 min lesing
  1. 18
    kritiske kontroller i CIS Controls v8
    CIS
  2. 93
    kontroller i ISO 27001:2022 Annex A
    ISO
  3. CIS
    CIS IG1 dekker 56 safeguards for grunnleggende cyberhygiene
    CIS
Two compliance specialists comparing security frameworks at a desk

To rammeverk — forskjellig fokus

Når organisasjoner skal strukturere sitt sikkerhetsarbeid dukker ofte to navn opp: CIS Controls og ISO 27001. Begge er velrenommerte, men de har forskjellig opprinnelse, fokus og bruksområder.

Kortversjon: CIS Controls svarer på “hva skal vi gjøre teknisk?”. ISO 27001 svarer på “hvordan skal vi styre og lede informasjonssikkerheten?”.

CIS Controls i korthet

Hva er CIS Controls? Center for Internet Security (CIS) Controls er en liste med 18 prioriterte sikkerhetstiltak, utviklet av sikkerhetseksperter basert på virkelige angrep-smønstre.

Nøkkelkarakteristikker:

  • Teknisk fokus — konkrete tiltak
  • Prioritetsrekkefølge — viktigst først
  • Implementation Groups (IG1-IG3) — tilpasset etter modenhet
  • Gratis å bruke
  • Ingen sertifisering — beste praksis

De 18 kontrollene:

  1. Inventering av virksomhetstilganger
  2. Inventering av programvaretilganger
  3. Databeskyttelse
  4. Sikker konfigurasjon
  5. Kontohåndtering
  6. Tilgangskontrollhåndtering
  7. Kontinuerlig sårbarhetsshåndtering
  8. Logghåndtering
  9. E-post og nettleserbeskyttelse
  10. Beskyttelse mot skadelig kode
  11. Datagjenoppretting
  12. Håndtering av nettverksinfrastruktur
  13. Nettverksovervåking og forsvar
  14. Sikkerhetsbevissthet
  15. Tjenesteleverandørhåndtering
  16. Applikasjonssikkerhet
  17. Hendelseshåndtering
  18. Penetrasjonstesting

ISO 27001 i korthet

Hva er ISO 27001? ISO/IEC 27001 er en internasjonal standard for ledelsessystem for informasjonssikkerhet (ISMS). Den spesifiserer krav for å etablere, implementere, vedlikeholde og kontinuerlig forbedre et ISMS.

Nøkkelkarakteristikker:

  • Ledelsessystemfokus — prosesser og styring
  • Risikobasert tilnærming
  • Sertifiserbar — tredjepartsrevisjon
  • Krever dokumentasjon og retningslinjer
  • Annex A med 93 kontroller (ISO 27001:2022)

Strukturen:

  • Klausul 4-10: Ledelsessystemkrav (skal-krav)
  • Annex A: 93 kontroller fordelt på 4 temaer:
    • Organisatoriske kontroller (37)
    • Personkontroller (8)
    • Fysiske kontroller (14)
    • Tekniske kontroller (34)

Sammenligning

AspektCIS ControlsISO 27001
FokusTeknisk implementeringLedelsessystem
TilnærmingPrioritert listeRisikobasert
SertifiseringNeiJa
KostnadGratis rammeverkSertifisering koster
DokumentasjonMinimalOmfattende
MålgruppeIT/sikkerhetsteamHele organisasjonen
Oppdateringv8 (2021)2022-versjon
Kontroller18 + 153 safeguards93 Annex A kontroller

Implementation Groups (CIS)

IG1 — Grunnleggende cyberhygiene

56 safeguards. For mindre organisasjoner med begrensede IT-ressurser. Beskytter mot vanlige, ukompliserte angrep.

IG2 — Mellomstore organisasjoner

74 safeguards (inkl. IG1). For organisasjoner med IT-personale og mer komplekse miljøer. Beskytter mot mer sofistikerte trusler.

IG3 — Modne organisasjoner

Alle 153 safeguards. For organisasjoner med dedikerte sikkerhetsteam og høye krav. Beskytter mot avanserte trusler.

Når passer CIS Controls?

Velg CIS Controls når:

  • Du vil ha konkrete, tekniske tiltak
  • Du trenger å prioritere — hva først?
  • Du har begrensede ressurser
  • Sertifisering ikke er et krav
  • Du vil supplere ISO 27001 med praktisk veiledning

Typiske brukere:

  • Startups som bygger sikkerhet fra grunnen
  • SMB som vil heve nivået raskt
  • IT-avdelinger som trenger handlingskraft
  • Organisasjoner som supplerer ISO 27001

Når passer ISO 27001?

Velg ISO 27001 når:

  • Kunder eller partnere krever sertifisering
  • Du trenger strukturert styring av informasjonssikkerhet
  • Ledelsen skal være involvert
  • Du vil ha internasjonalt anerkjent standard
  • NIS2/digitalsikkerhetsloven er relevant (ISO 27001 dekker mye)

Typiske brukere:

  • B2B-bedrifter med sertifiseringskrav
  • Organisasjoner som håndterer sensitiv data
  • Bedrifter som vil vise seriøst sikkerhetsarbeid
  • Organisasjoner under NIS2

Mapping mellom rammeverkene

CIS Controls og ISO 27001 Annex A har betydelig overlapping. Her er eksempler på hvordan de mapper:

CIS ControlISO 27001 Annex A
1. Inventering av tilgangerA.5.9 Inventory of assets
3. DatabeskyttelseA.5.12-A.5.14 Data classification
5. KontohåndteringA.5.16-A.5.18 Identity management
7. SårbarhetshåndteringA.8.8 Vulnerability management
8. LogghåndteringA.8.15-A.8.16 Logging
14. SikkerhetsbevissthetA.6.3 Awareness training
17. HendelseshåndteringA.5.24-A.5.28 Incident management

Kombiner begge rammeverkene

  1. Begynn med CIS IG1 for rask effekt Implementer de 56 grunnleggende safeguards for å få baselinesikkerhet på plass. Dette gir umiddelbar risikoreduktion.
  2. Bygg ISMS-strukturen parallelt Etabler retningslinjer, prosesser og dokumentasjon ifølge ISO 27001. CIS-implementeringen blir bevis for mange Annex A-kontroller.
  3. Map CIS til Annex A Dokumenter hvordan deres CIS-implementeringer oppfyller ISO 27001-kontroller. Unngå dobbeltarbeid.
  4. Fyll hullene ISO 27001 krever mer enn tekniske kontroller — ledelsessystem, risikohåndtering, internrevisjon. Supplér med det CIS ikke dekker.
  5. Sertifiser ved behov Når ISMS er modent, gjennomgå sertifiseringsrevisjon. CIS-implementeringen gir sterk teknisk grunn.

Vanlige fallgruver

Teknisk vs ledelse

CIS uten ledelsesstøtte blir isolert IT-prosjekt. ISO 27001 uten teknisk implementering blir papirprodukt. Balansér.

Sertifisering som mål

ISO 27001-sertifisering er middel, ikke mål. Fokuser på faktisk sikkerhet, ikke bare compliance.

Alt på en gang

Prøv ikke å implementere alle CIS-kontroller eller hele ISO 27001 samtidig. Prioriter basert på risiko.

Glemme vedlikehold

Begge rammeverkene krever kontinuerlig arbeid. CIS oppdateres, ISO 27001 krever årlig revisjon.

Sammendrag

SpørsmålCIS ControlsISO 27001
Hva skal vi gjøre teknisk?✓ SterkGenerelt
Hvordan prioriterer vi?✓ Tydelig rekkefølgeRisikobasert
Trenger vi sertifisering?Nei✓ Ja
Vil ledelsen være involvert?Valgfritt✓ Krav
Har vi begrensede ressurser?✓ IG1Mer krevende

Slik kan Securapilot hjelpe

Securapilot støtter både CIS Controls og ISO 27001:

  • Multi-framework støtte — Håndter begge rammeverkene i samme system
  • Kontrollmapping — Se hvordan deres kontroller oppfyller flere rammeverk
  • GAP-analyse — Identifiser hva som mangler
  • Evidenshåndtering — Samle bevis for revisjon
  • Dashboard — Oversikt over compliance-status

Bestill en demo og se hvordan vi kan støtte deres rammerverksvalg.

Ofte stilte spørsmål

Kan man være CIS-sertifisert?

Nei, CIS Controls har ingen formell sertifisering. Det er et rammeverk for beste praksis. ISO 27001 derimot tilbyr tredjepartssertifisering gjennom akkrediterte sertifiseringsorganer.

Hvilken er enklest å implementere?

CIS Controls, særlig Implementation Group 1 (IG1), er designet for å være praktisk og raskt implementerbart. ISO 27001 krever mer dokumentasjon og prosesser, men gir sertifiserbarhet.

Fungerer de sammen?

Ja, de utfyller hverandre utmerket. CIS Controls gir konkrete tekniske tiltak som kan mappes mot ISO 27001 Annex A-kontroller. Mange organisasjoner bruker CIS for teknisk implementering og ISO 27001 for ledelsessystemet.

Hvilket krever kundene oftest?

ISO 27001-sertifisering er vanligst som kundekrav, særlig i B2B. CIS Controls brukes mer internt for å prioritere sikkerhetstiltak og som supplement til ISO 27001.

#CIS Controls#ISO 27001#rammeverk#cybersikkerhet#kontroller#sertifisering

Flere artikler

Vi bruker anonym statistikk uten informasjonskapsler for å forbedre nettstedet. Les mer