Vilka ramverk är Zenith-kontrollerna anpassade till?

Den är mappad till ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2, EU DORA, GDPR, COBIT 2019 med mera.

Vilka säkerhetsområden omfattas?

Kontrollerna omfattar styrning, drift, åtkomstkontroll, personalsäkerhetsåtgärder, fysisk säkerhet, leverantör/outsourcing, moln, tekniska kontroller och incidenthantering.

Innehåller kontrollerna revisionsvägledning?

Ja, varje kontroll innehåller motsvarande revisionsmetodik, krav på revisionsbevis och länkar till certifieringsklausuler.

Hur hanterar Zenith-kontrollerna tredjepartsrisk?

Den beskriver leverantörslivscykelsäkerhet, tredjepartsförpliktelser, incidenthantering och revisionsrätt med kontrollmappning.

Finns det vägledningsavsnitt för regulatorisk mappning?

Ja. Varje kontroll innehåller mappning för regelefterlevnad mellan ramverk, som visar beviskopplingar till EU-, USA- och internationella regler och standarder.

Zenith-kontrollerna

Översikt

Zenith-kontrollerna är en detaljerad referensuppsättning av informationssäkerhetskontroller anpassade till stora globala ramverk, som omfattar styrning, fysiska, personal-, tekniska, leverantörs- och utvecklingsdomäner, med mappad revisionsmetodik och vägledning för regelefterlevnad för att stödja effektiv styrning, implementering och certifiering.

Omfattande kontrollbibliotek

Omfattar styrning, tekniska kontroller, personalsäkerhetsåtgärder och fysiska kontroller för heltäckande skydd av information.

Mappad till regulatoriska standarder

Mappad till ISO/IEC 27001 & 27002, NIST SP 800-53 Rev. 5, EU NIS2, DORA, GDPR och COBIT 2019 för beprövad täckning av regelefterlevnad.

Vägledning för operativ implementering

Innehåller detaljerade kopplingar till andra kontroller, implementeringsanteckningar och korsreferenser till praktiska riskscenarier.

Tredjeparts- och leveranskedjesäkerhet

Behandlar leverantörsavtal, moln och utlagda tjänster med exempel på revisionskriterier och säkerhetsklausuler.

End-to-end riskhantering

Kopplar samman riskidentifiering, riskbehandling, incidentrespons och ständig förbättring i ett enhetligt säkerhetsramverk.

Revisionsklar kontrollmappning

Varje kontroll innehåller krav på revisionsbevis, ISO/NIST-mappning och metodförväntningar för certifieringsrevisioner.

Integrerat dataskydd och säkerhet

Inkluderar hantering av PII, datamaskering, uppgiftsminimering och radering för integritetsregler och bästa branschpraxis för säkerhet.

Läs fullständig översikt

Zenith-kontrollerna tillhandahåller en omfattande, strukturerad uppsättning informationssäkerhetskontroller anpassade till internationellt erkända standarder för effektiv styrning, riskhantering och regelefterlevnad. Guiden spänner över styrning samt tekniska, fysiska och personalrelaterade domäner och beskriver enskilda kontroller, inklusive livscykelhantering av policyer, rolldefinition och dokumentation, leverantörstillsyn, tillgångsförteckning, användaråtkomsthantering, sårbarhetshantering, säker utveckling och incidentrespons, med fördjupade korsreferenser till globala ramverk såsom ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2-direktivet, EU DORA, EU GDPR och COBIT 2019. Varje kontroll i uppsättningen är noggrant beskriven och visar operativa attribut, riskmål, vilka informationssäkerhetsegenskaper som adresseras samt relationer till andra kontroller. Kontroller granskas inte isolerat utan mappas över sammanlänkade scenarier för styrning, teknik, leverantörer och utveckling. Praktiska implementeringsanteckningar följer varje kontroll, stödda av sammanfattade förväntningar på revisionsmetodik som speglar bästa branschpraxis, inklusive intervjuer, dokumentationsgranskning, urval och tester i verkliga scenarier. Zenith-kontrollerna behandlar särskilt hela säkerhetslivscykeln: från framtagning av informationssäkerhetspolicy och ansvar för styrning, via identitets- och åtkomsthantering (över privilegier, informationsbegränsning och autentisering), till säker projektleverans, ändringshantering och leverantörskontroller (inklusive moln och utlagd utveckling). Detaljerad uppmärksamhet ges åt tekniska domäner såsom sårbarhetshantering, nätverkssegmentering, kontrollbaslinje, säker systemarkitektur och systemutvecklingslivscykler, hela vägen till planering för säkerhetskopiering och redundans, revisionsloggning, övervakning och hantering av informationssäkerhetsincidenter och ständig förbättring. Dataskydd och skärningspunkten mellan integritet och säkerhet är ett återkommande tema. Guiden integrerar praxis för privacy by design/default, uppgiftsminimering, maskering, kontroll av testinformation, snabb radering och säker bortskaffning av lagringsmedia. Där det är tillämpligt länkas kontroller till tvärregulatorisk regelefterlevnad för personuppgifter, inklusive tydliga mappningar till GDPR och ISO/IEC 27701/27018-krav, med särskilt fokus på revisionsspår, utövande av användarrättigheter och hantering av PII i leverantörs- och molnrelationer. Tredjeparts- och leveranskedjesäkerhet behandlas också heltäckande. Kontrollerna beskriver leverantörsgranskning, avtalsklausuler, revisionsrätt, krav på incidentaviseringar och säker utveckling för externa relationer. Vägledning ges för att hantera hela tredjepartslivscykeln, inklusive datautbyte, ansvar i moln och att säkerställa att leverantörsstyrda miljöer är anpassade till organisationens risk- och regelefterlevnadsbehov. Genom alla kontroller tillhandahåller Zenith-kontrollerna exempel på mappningstabeller till regulatoriska klausuler, föreslår bevis och nyckeltal (KPI:er) för operativ och revisionsberedskap och anpassar praxis till aktuella ramverk och branschtrender, vilket gör den till en oumbärlig resurs för organisationer som vill operationalisera bästa branschpraxis för säkerhet, uppfylla behov av regelefterlevnad över jurisdiktioner och ge intressenter försäkran om sitt riskläge.

Innehåll

Fullständig lista över 5.x–8.x-kontroller (styrning, personalsäkerhetsåtgärder, fysiska, tekniska kontroller)

Detaljerade korsreferenser: ISO/IEC 27001, 27002, NIST SP 800-53, EU NIS2, DORA, GDPR, COBIT

Kontrollspecifik revisionsmetodik och beviskriterier

Krav på testning och acceptans för DevOps-, leverantörs- och molnbaserade miljöer

Dataskydd, integritet och raderingspraxis

Ständig förbättring och integration av incidentrespons

Ramverk	Täckta klausuler / Kontroller
ISO/IEC 27001:2022	Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3
EU NIS2	Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)
EU DORA	Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A
EU GDPR	Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Ramverk

Täckta klausuler / Kontroller

ISO/IEC 27001:2022

Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3

EU NIS2

Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)

EU DORA

Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A

EU GDPR

Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Relaterade policyer

Informationssäkerhetspolicy

Etablerar organisationens informationssäkerhetspolicyer som grund för styrning.

Policy för roller och ansvar inom styrning

Definierar ansvarsskyldighet för att utveckla, godkänna och genomdriva informationssäkerhetskontroller.

Policy för ledningens ansvar

Tilldelar högsta ledningens ansvar för ISMS-tillsyn, policyimplementering och kontrollsäkring av regelefterlevnad.

Kontakt med myndigheter

Säkerställer att organisationer upprätthåller relationer och protokoll för snabb kontakt med externa myndigheter.

Kontakt med säkerhetsgemenskaper

Främjar deltagande i säkerhetsgemenskaper för att dra nytta av delad kunskap, benchmarking och hotinformation.

Om Clarysecs policyer - Zenith-kontrollerna

Den här boken är en fälttestad handbok för revisorer, informationssäkerhetschefer (CISO:er) och regelefterlevnadsansvariga som vill ha operativ kontroll, inte teoretiska checklistor. Varje kontroll bryts ned för direkt mappning till ISO 27001:2022, NIS2, DORA, GDPR och NIST och visar exakt vad revisorer kommer att förvänta sig och vilka revisionsbevis som faktiskt är viktiga. Du får handlingsbara korsreferenser, roll-för-roll-tilldelningar och nedbrytningar på klausulnivå utformade för praktiskt införande av ISMS-ramverk, revisionsförberedelse och ständig förbättring. Inget utfyllnadsmaterial, ingen tvetydighet – bara den väsentliga vägledningen och de verktyg du behöver för att stänga efterlevnadsgap och försvara verksamheten.

Omfattande vägledning för revision och bevis

Tillhandahåller tydlig revisionsmetodik och exempel på revisionsbevis för varje kontroll, som stöd för interna, externa och certifieringsrevisioner.

Detaljerade kontrollrelationer

Mappar praktiska kontrollrelationer och gör det möjligt för organisationer att förstå säkerhetsberoenden över styrning, teknik och drift.

Uppdaterade regulatoriska mappningar

Erbjuder den senaste mappningen för regelefterlevnad till alla större ramverk och underlättar certifiering, självutvärdering och regulatorisk rapportering.

Täckning av leverantörs- och outsourcingsäkerhet

Behandlar heltäckande avtals-, övervaknings- och revisionskrav för riskhantering av leverantörs- och outsourcingsäkerhet.

Vanliga frågor

Byggd för ledare, av ledare

Denna policy har utarbetats av en säkerhetsledare med över 25 års erfarenhet av att implementera och revidera ISMS-ramverk för globala företag. Den är utformad inte bara som ett dokument, utan som ett robust ramverk som håller för granskning av revisorer.

Författad av en expert med följande meriter:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Täckning & Ämnen

🏢 Målavdelningar

IT-drift Säkerhet regelefterlevnad revision och regelefterlevnad styrning

🏷️ Ämnestäckning

Åtkomstkontroll Identitetshantering Autentisering privilegierad åtkomsthantering