Hvilke rammeværk er Zenith-kontrollerne tilpasset?

Det er kortlagt til ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2, EU DORA, GDPR, COBIT 2019 og mere.

Hvilke områder af sikkerhed er dækket?

Kontroller dækker styring, drift, adgang, personrelaterede forhold, fysiske forhold, leverandør/udlicitering, cloud, teknologiske forhold og hændelsesstyring.

Indeholder kontrollerne revisionsvejledning?

Ja, hver kontrol inkluderer tilsvarende revisionsmetodik, krav til revisionsbevis og links til certificeringsklausuler.

Hvordan adresserer Zenith-kontrollerne tredjepartsrisiko?

Det beskriver sikkerhed i leverandørlivscyklussen, kontraktlige krav, håndtering af hændelser og revisionsrettigheder med kontrolkortlægning.

Er der vejledningsafsnit til regulatorisk kortlægning?

Ja. Hver kontrol inkluderer kortlægning på tværs af compliance, der viser evidenslinks til EU-, USA- og internationale reguleringer og standarder.

Zenith-kontrollerne

Oversigt

Zenith-kontrollerne er et detaljeret referencesæt af informationssikkerhedskontroller, der er tilpasset de vigtigste globale rammeværk. Det dækker styrings-, fysiske, personrelaterede, teknologiske, leverandør- og udviklingsdomæner med kortlagt revisionsmetodik og compliance-vejledning til at understøtte effektiv styring, implementering og certificering.

Omfattende kontrolbibliotek

Dækker styring, teknologiske, personrelaterede og fysiske sikkerhedskontroller til end-to-end-beskyttelse af information.

Kortlagt til regulatoriske standarder

Kortlagt til ISO/IEC 27001 & 27002, NIST SP 800-53 Rev. 5, EU NIS2, DORA, GDPR og COBIT 2019 for dokumenteret compliance-dækning.

Vejledning til operationel implementering

Indeholder detaljerede koblinger til andre kontroller, implementeringsnoter og krydshenvisninger til praktiske risikoscenarier.

Tredjeparts- og forsyningskædesikkerhed

Adresserer leverandørkontrakter, cloud og udliciteret udvikling med eksempler på revisionskriterier og sikkerhedsklausuler.

End-to-end-risikostyring

Kobler risikoidentifikation, risikobehandling, håndtering af sikkerhedshændelser og løbende forbedring i et samlet sikkerhedsrammeværk.

Revisionsparat kontrolkortlægning

Hver kontrol inkluderer krav til revisionsbevis, ISO/NIST-kortlægning og metodikforventninger til certificeringsaudits.

Integreret databeskyttelse og sikkerhed

Indarbejder håndtering af PII, datamaskering, dataminimering og sletning til databeskyttelsesregulering og bedste praksis for sikkerhed.

Læs fuld oversigt

Zenith-kontrollerne leverer et omfattende, struktureret sæt af informationssikkerhedskontroller, der er tilpasset internationalt anerkendte standarder for effektiv styring, risikostyring og overholdelse. Guiden spænder over styrings-, teknologiske, fysiske og personrelaterede domæner og beskriver individuelle kontroller, herunder politikstyring, rolledefinition, leverandørtilsyn, aktivfortegnelse, brugeradgangsstyring, sårbarhedsstyring, sikker udvikling og håndtering af sikkerhedshændelser, med dybdegående krydshenvisninger til globale rammeværk såsom ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2-direktivet, EU DORA, EU GDPR og COBIT 2019. Hver kontrol i sættet er omhyggeligt beskrevet og viser operationelle egenskaber, risikomål, adresserede informationssikkerhedsegenskaber og relationer til andre kontroller. Kontroller vurderes ikke isoleret, men kortlægges på tværs af sammenhængende styrings-, teknologiske, leverandør- og udviklingsscenarier. Praktiske implementeringsnoter ledsager hver kontrol, understøttet af sammenfattede forventninger til revisionsmetodik, der afspejler gældende bedste praksis, herunder interview, dokumentationsgennemgang, stikprøver og live-scenarietests. Zenith-kontrollerne adresserer hele sikkerhedslivscyklussen: fra udarbejdelse af informationssikkerhedspolitik og ledelsesansvar, gennem identitets- og adgangsstyring (på tværs af privilegier, informationsbegrænsning og autentifikation), til sikker projektlevering, ændringsstyring og leverandørkontroller (herunder cloud og udliciteret udvikling). Der lægges detaljeret vægt på tekniske domæner såsom sårbarhedsstyring, netværkssegmentering, kontrolgrundlag for konfiguration, sikker systemarkitektur og systemudviklingslivscyklusser (SDLC), helt frem til planlægning af systemer for sikkerhedskopiering og redundans, revisionslogning, overvågning og håndtering af sikkerhedshændelser og løbende forbedring. Databeskyttelse og samspillet mellem databeskyttelse og sikkerhed er et tilbagevendende tema. Guiden integrerer praksisser for databeskyttelse ved design/standard, dataminimering, maskering, kontrol af testinformation, rettidig sletning og sikker bortskaffelse af lagringsmedier. Hvor relevant er kontroller knyttet til tværregulatorisk overholdelse for personoplysninger, herunder klare kortlægninger til GDPR og ISO/IEC 27701/27018-krav, med særlig fokus på revisionsspor, udøvelse af brugerrettigheder og håndtering af PII i leverandør- og cloudrelationer. Tredjeparts- og forsyningskædesikkerhed behandles også omfattende. Kontroller beskriver leverandør-due diligence, kontraktklausuler, revisionsrettigheder, krav til hændelsesunderretning og sikre udviklingspraksisser for eksterne relationer. Der gives vejledning i at styre hele tredjepartslivscyklussen, herunder dataudveksling, cloudansvar og at sikre, at leverandørstyrede miljøer er tilpasset organisationens risiko- og compliancebehov. På tværs af alle kontroller leverer Zenith-kontrollerne eksempler på kortlægningstabeller til regulatoriske klausuler, foreslår evidens og sikkerheds-KPI'er til operationel og revisionsparathed og tilpasser praksisser til aktuelle rammeværk og branchens tendenser, hvilket gør det til en uundværlig ressource for organisationer, der ønsker at operationalisere bedste praksis for sikkerhed, opfylde compliancebehov på tværs af jurisdiktioner og give interessenter sikkerhed for deres risikoprofil.

Indhold

Fuld liste over 5.x–8.x-kontroller (styring, personrelaterede, fysiske, teknologiske)

Detaljerede krydshenvisninger: ISO/IEC 27001, 27002, NIST SP 800-53, EU NIS2, DORA, GDPR, COBIT

Kontrolspecifik revisionsmetodik og evidenskriterier

Krav til test og accept for DevOps-, leverandør- og cloudmiljøer

Databeskyttelse, databeskyttelse og sletningspraksisser

Løbende forbedring og integration af håndtering af sikkerhedshændelser

Framework	Dækkede klausuler / Kontroller
ISO/IEC 27001:2022	Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3
EU NIS2	Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)
EU DORA	Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A
EU GDPR	Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Framework

Dækkede klausuler / Kontroller

ISO/IEC 27001:2022

Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3

EU NIS2

Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)

EU DORA

Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A

EU GDPR

Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Relaterede politikker

Informationssikkerhedspolitik

Etablerer organisationens informationssikkerhedspolitikker som fundament for styring.

Politik for styringsroller og -ansvar

Definerer ansvarlighed for at udvikle, godkende og håndhæve informationssikkerhedskontroller.

Ledelsesansvar for ISMS

Tildeler øverste ledelses pligt til ISMS-tilsyn, politikimplementering og sikring af overholdelse.

Protokol for myndighedskontakt

Sikrer, at organisationer opretholder relationer og protokoller for rettidig kontakt med eksterne myndigheder.

Deltagelse i sikkerhedsfællesskaber

Fremmer deltagelse i sikkerhedsfællesskaber for at drage nytte af delt viden, benchmarking og trusselsintelligens.

Om Clarysec-politikker - Zenith-kontrollerne

Denne bog er en afprøvet playbook til revisorer, informationssikkerhedschefer (CISO) og compliance-ansvarlige, der ønsker operationel kontrol – ikke teoretiske tjeklister. Hver kontrol er opdelt til direkte kortlægning til ISO 27001:2022, NIS2, DORA, GDPR og NIST og viser præcist, hvad revisorer vil forvente, og hvilket revisionsbevis der faktisk betyder noget. Du får handlingsorienterede krydshenvisninger, rollebaserede tildelinger og opdelinger på klausulniveau, der er designet til praktisk ISMS-rammeværksimplementering, revisionsforberedelse og løbende forbedring. Ingen fyld, ingen tvetydighed – kun den nødvendige vejledning og de værktøjer, du har brug for til at lukke compliance-huller og forsvare din virksomhed.

Omfattende revisions- og evidensvejledning

Leverer eksplicit revisionsmetodik og eksempler på revisionsbevis for hver kontrol og understøtter interne, eksterne og certificeringsaudits.

Detaljerede kontrolsammenhænge

Kortlægger praktiske kontrolrelationer, så organisationer kan forstå sikkerhedsafhængigheder på tværs af styring, teknologi og drift.

Opdaterede regulatoriske kortlægninger

Tilbyder den nyeste kortlægning på tværs af compliance til alle større rammeværk og letter certificering, selvevaluering og regulatorisk rapportering.

Dækning af leverandør- og udliciteringssikkerhed

Adresserer omfattende kontrakt-, overvågnings- og revisionskrav til styring af leverandør- og udliciteringssikkerhedsrisiko.

Ofte stillede spørgsmål

Udviklet for ledere, af ledere

Denne politik er udarbejdet af en sikkerhedsleder med over 25 års erfaring i implementering og audit af ISMS-rammeværker for globale organisationer. Den er ikke blot designet som et dokument, men som et forsvarligt rammeværk, der kan modstå revisors gennemgang.

Udarbejdet af en ekspert med følgende kvalifikationer:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Dækning & Emner

🏢 Måldepartement

IT Sikkerhed Compliance Revision Styring

🏷️ Emhedækning

Adgangskontrol Identitetsstyring Autentifikationsstyring privilegeret adgangsstyring (PAM)