Vilka ramverk för regelefterlevnad omfattas?

Zenith-sviten mappar direkt till ISO/IEC 27001:2022, GDPR, NIS2, DORA, NIST SP 800-53 Rev.5, COBIT 2019 och relaterade standarder.

Är SME-policyer lämpliga för organisationer utan ett dedikerat IT-team?

Ja. SME-policyuppsättningar är anpassade för strukturer ledda av General Manager och verksamhetsteam, idealiskt för organisationer som saknar informationssäkerhetschef (CISO) eller säkerhetsoperationscenter (SOC).

Innehåller sviten revisionsverktyg och mallar för revisionsbevis?

Sviten tillhandahåller detaljerad revisionsmetodik, exempel på revisionsbevis och dokumentmallar för full revisionsberedskap.

Hur hanteras leverantörs- och molnrisker?

Leverantörs- och molnsäkerhetskontroller omfattar heltäckande livscykelhantering, avtalsklausuler och incidenthantering.

Kan policyer skalas och anpassas för tillväxt?

Policyerna är utformade för skalbarhet och stödjer sömlösa övergångar mellan SME- och Enterprise-driftsmodeller.

Zenith-sviten - Clarysec

Översikt

Zenith-sviten kombinerar ett dubbelt SME+Enterprise-policybibliotek, en masterverktygslåda för kontrollmappning och en steg-för-steg Zenith Blueprint för ledningssystem för informationssäkerhet för komplett, revisionsberedd regelefterlevnad över ramverken ISO 27001, GDPR, NIS2, DORA, NIST och COBIT.

Allt-i-ett-täckning för regelefterlevnad

Täcker alla större ramverk – ISO 27001, GDPR, NIS2, DORA, NIST och COBIT – och säkerställer sömlös anpassning för revision.

Dubbelt policybibliotek

Inkluderar både SME- och Enterprise-policyuppsättningar och stödjer alla organisationsstrukturer och storlekar.

Expertledd implementering

Följ Zenith Blueprints 30-stegs färdplan, framtagen av en huvudrevisor, för ett framgångsrikt införande av ledningssystem för informationssäkerhet.

Kontrollreferens på 539 sidor

Detaljerad mappning kontroll för kontroll för operativ och revisionsberedskap, med revisionsbevis och metodik.

Läs fullständig översikt

Zenith-sviten är en heltäckande GRC-lösning för organisationer som vill uppnå och upprätthålla robust cybersäkerhet och regelefterlevnad. Genom att samla det kompletta SME+Enterprise-policybiblioteket, Zenith Controls masterverktygslåda och den omfattande Zenith Blueprint-färdplanen levererar sviten alla väsentliga komponenter för strategisk planering, styrning, operativ kontrollsäkring och ständig förbättring. Policybiblioteket innehåller både SME-specifika policyer (P01S–P37S) och Enterprise-dokument (P01–P37), totalt 74 unikt mappade, revisionsberedda policyer. SME-uppsättningen, igenkännbar genom ”S” i dokumentnumren och tilldelningar till General Manager-rollen, är anpassad för små och medelstora företag med förenklade strukturer, minimal specialiserad IT och tydliga ansvar mappade till ledare och team. Dessa policyer genomdriver praktiska kontroller över säkerhet, dataskydd, IT och drift, med krav på årlig översyn, versionshantering och dokumenterade undantag redo för revisorsgranskning. Enterprise-policyer adresserar i stället den komplexitet och de tvärfunktionella ansvar som är typiska i reglerade och stora organisationer, och integrerar avancerade domäner för styrning, revision och regelefterlevnad, juridik och regelefterlevnad, risk, upphandling och tekniska kontroller med direkta mappningar och CAPA-integration. Zenith Controls-verktygslådan är ett auktoritativt kompendium på 539 sidor som ger noggrann mappning kontroll för kontroll av ISO 27001:2022 till NIS2, DORA, GDPR, NIST och COBIT. Den täcker styrning, tekniska kontroller, personalsäkerhetsåtgärder och fysiska kontroller, med full revisionsmetodik, krav på revisionsbevis och implementeringsvägledning. Verktygslådan utmärker sig genom detaljerade korsreferenser: varje kontroll beskrivs i operativa termer, länkas till relevanta klausuler och stöds av praktiska anvisningar för insamling av revisionsbevis, leverantörshantering, molnöversyn och säkerhet genom design. Den gör det möjligt att förbereda tydliga och försvarbara regelefterlevnadsbeskrivningar för revisioner och regulatorisk dialog. Zenith Blueprint vägleder organisationer från planering till genomförande och levererar en 30-stegs färdplan anpassad till hela ISMS-livscykeln: omfattning, ledningens åtagande, riskhanteringsprocess, operationalisering av kontroller, internrevision och ständig förbättring. Guiden är framtagen av en erfaren huvudrevisor och integrerar krav från ISO/IEC 27001, NIS2, DORA, GDPR och NIST i ett stegvis operativt system, med handlingsbara mallar, checklistor, rapporteringsstrukturer och exempel för ledningens genomgång. Varje fas – från kontextanalys och intressentkartläggning till riskregister, uttalande om tillämpighet (SoA), tekniska kontroller och fysiska kontroller samt arbetsflöden för korrigerande åtgärder – innehåller mappning mellan ramverk för regelefterlevnad i flera jurisdiktioner. Zenith-svitens styrka ligger i dess integrerade och skalbara struktur. Både SME- och Enterprise-policyuppsättningar kan användas fristående eller kombineras för organisationer med varierande driftsmodeller. Sviten är lämplig för organisationer som vill effektivisera regelefterlevnad, även utan dedikerade IT-team, genom att använda SME-dokument utvecklade för General Managers och enkla rollstrukturer, eller för företag som genomgår komplexa regulatoriska revisioner och tvärfunktionell samordning. All dokumentation är rigoröst mappad till ramverk, vilket möjliggör snabb anpassning och sömlös övergång när organisationer växer, omstrukturerar eller slår samman enheter. Oavsett om ni bygger ett ledningssystem för informationssäkerhet från grunden eller mognar befintlig styrning ger Zenith-sviten tydlighet, revisionsberedskap och operativ täckning över säkerhet, dataskydd, leverantörer, IT och juridik.

Innehåll

Full SME+Enterprise-policykombination (74 revisionsberedda dokument)

Zenith Controls—masterverktygslåda för kontrollmappning

Zenith Blueprint—30-stegs färdplan för införande av ledningssystem för informationssäkerhet

Mappad revisionsmetodik och mallar

Roll- och ansvarsmatris

Åtkomstkontroll och ändringshanteringsförfaranden

Testkriterier för leverantörer och tredje part

Moduler för incidentrespons och hantering av revisionsbevis

Regler för dataskydd och dataskydd

Ramverk	Täckta klausuler / Kontroller
ISO/IEC 27001:2022	Clause 4.1–4.3 Clause 5.1–5.3, 5.10 Clause 6.1–6.3 Clause 7.2–7.5 Clause 8.1–8.32 Clause 9.1–9.3 Clause 10.1–10.2 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23 CA-1, CA-2, CA-3, CA-5, CA-7, CA-9 AU-2, AU-6, AU-8, AU-9, AU-12 SI-2, SI-3, SI-4, SI-10 IR-1, IR-4, IR-5, IR-6, IR-8, IR-9 RA-3, RA-5 AC-1–AC-20 PS-2, PS-3, PS-4, PS-5, PS-6, PS-7 MP-2–MP-7 CM-2, CM-3, CM-4, CM-5, CM-6, CM-8 PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16 MA-1–MA-3 CP-1, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10 DM-2 UL-4 AR-4 PT-2, PT-3 SA-3, SA-4, SA-9, SA-9(5), SA-10, SA-11, SA-15 SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, SC-32, SC-45 SI-12 SR-3, SR-5
EU NIS2	Article 15, 20, 21, 21(2), 21(3), 23, 24, 27 Annex I, Annex II
EU DORA	Article 5, 5(2), 6, 6(2)(d), 8, 9, 9(2), 10, 10(1), 10(2)(e), 10(2)(f), 11, 11(1)(c), 12, 13, 15, 16, 17, 17(1), 17(3), 18, 19, 21, 23, 25, 28, 28(1), 28(2), 29, 30, Annex I Section A
EU GDPR	Article 5(1)(c),(f), 5(2)Article 6, Article 17, Article 24, Article 25, Article 28, Article 30, Article 32, Article 33, Article 34, Article 39, Article 47Recital 39, 49, 78, 83, 85, 87, 88Articles 12–23
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01, APO01.01, APO01.06, APO07, APO07.02, APO07.06, APO08.03, APO09, APO10, APO10.02, APO10.03, APO13, APO13.01, APO13.02, APO12, APO12.01, APO12.03, APO12.04, BAI02, BAI03, BAI03.04, BAI03.05, BAI03.06, BAI04, BAI05, BAI06, BAI06.05, BAI07, BAI08, BAI08.03, BAI09, BAI09.01, BAI09.02, BAI09.05, DSS01, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS02, DSS04, DSS04.03, DSS04.04, DSS05, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06
ISO 31000:2018	Leadership commitmentRisk management principlesContinuous improvement
ISO/IEC 27005:2024	Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review
ISO 22301:2019	Business Continuity Management SystemBusiness Impact AnalysisRequirements

Ramverk

Täckta klausuler / Kontroller

ISO/IEC 27001:2022

Clause 4.1–4.3 Clause 5.1–5.3, 5.10 Clause 6.1–6.3 Clause 7.2–7.5 Clause 8.1–8.32 Clause 9.1–9.3 Clause 10.1–10.2 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

EU NIS2

Article 15, 20, 21, 21(2), 21(3), 23, 24, 27 Annex I, Annex II

EU DORA

Article 5, 5(2), 6, 6(2)(d), 8, 9, 9(2), 10, 10(1), 10(2)(e), 10(2)(f), 11, 11(1)(c), 12, 13, 15, 16, 17, 17(1), 17(3), 18, 19, 21, 23, 25, 28, 28(1), 28(2), 29, 30, Annex I Section A

EU GDPR

Article 5(1)(c),(f), 5(2)Article 6, Article 17, Article 24, Article 25, Article 28, Article 30, Article 32, Article 33, Article 34, Article 39, Article 47Recital 39, 49, 78, 83, 85, 87, 88Articles 12–23

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01, APO01.01, APO01.06, APO07, APO07.02, APO07.06, APO08.03, APO09, APO10, APO10.02, APO10.03, APO13, APO13.01, APO13.02, APO12, APO12.01, APO12.03, APO12.04, BAI02, BAI03, BAI03.04, BAI03.05, BAI03.06, BAI04, BAI05, BAI06, BAI06.05, BAI07, BAI08, BAI08.03, BAI09, BAI09.01, BAI09.02, BAI09.05, DSS01, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS02, DSS04, DSS04.03, DSS04.04, DSS05, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

ISO 31000:2018

Leadership commitmentRisk management principlesContinuous improvement

ISO/IEC 27005:2024

Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review

ISO 22301:2019

Business Continuity Management SystemBusiness Impact AnalysisRequirements

Relaterade policyer

Åtkomstkontrollpolicy

Denna policy definierar hur organisationen hanterar åtkomst till system, data och anläggningar för att säkerställa att endast behöriga individer kan få åtkomst till information baserat på verksamhetsbehov.

Policy för incidenthantering (P30)

Denna policy definierar hur organisationen upptäcker, incidentrapportering och svarar på informationssäkerhetsincidenter som påverkar digitala system, data eller tjänster.

Dataskydd och integritetspolicy

Denna policy definierar hur organisationen skyddar personuppgifter i linje med rättsliga skyldigheter, regulatoriska ramverk och internationella säkerhetsstandarder.

Tredjeparts- och leverantörssäkerhetspolicy

Denna policy fastställer obligatoriska säkerhetskrav för att engagera, hantera och avsluta relationer med tredje part och leverantörer.

Policy för verksamhetskontinuitet och katastrofåterställning

Denna policy säkerställer att organisationen kan upprätthålla verksamhetsdrift och återställa väsentliga IT-tjänster under och efter störande händelser.

Om Clarysecs policyer - Zenith-sviten

Zenith-sviten är en omfattande GRC-verktygslåda utformad för att effektivisera och stärka organisatorisk säkerhet, regelefterlevnad och revisionsberedskap. Den integrerar ett dubbelt policybibliotek som passar både SME och Enterprise, en masterverktygslåda för kontrollmappning samt en stegvis färdplan för införande framtagen av erkända experter. Varje dokument och verktyg i sviten är mappat till faktiska kontroller och regulatoriska klausuler, vilket möjliggör tydliga och försvarbara revisionsbevis för internrevisioner och certifieringsrevisioner. Svitens skalbara arkitektur gör att organisationer enkelt kan övergå när de växer, omstrukturerar eller slår samman, utan att förlora regelefterlevnadens integritet. Båda policyuppsättningarna är genomförbara och anpassningsbara för General Managers, ledare eller tvärfunktionella team – och passar organisationer med eller utan specialiserade IT-resurser. Zenith-sviten stödjer heltäckande täckning av styrning, IT, dataskydd, leverantörshantering, tekniska kontroller, fysiska kontroller och operativa kontroller, och uppdateras regelbundet för att matcha föränderliga standarder och bästa branschpraxis.

Omedelbara, revisionsberedda dokument

Få tillgång till 74 fullt mappade, implementeringsklara policymallar för omedelbar operativ regelefterlevnad.

Rollstyrt ansvar

SME-policyer tilldelar tydliga ansvar för icke-IT-strukturer; Enterprise-dokument hanterar komplexa team.

Djup regulatorisk mappning

Varje policy, kontroll och mall mappar exakt till relevanta regelverk, vilket förenklar revisioner och certifiering.

Leverantörs- och molnsäkerhetskontroller

Genomdriv avtalsstandarder och livscykelhantering över externa leverantörer och molnmiljöer.

Skalbar för alla verksamhetsstorlekar

Kombinera och anpassa SME- och Enterprise-uppsättningar för start-ups, SMB:er eller komplexa multinationella organisationer.

Vanliga frågor

Byggd för ledare, av ledare

Denna policy har utarbetats av en säkerhetsledare med över 25 års erfarenhet av att implementera och revidera ISMS-ramverk för globala företag. Den är utformad inte bara som ett dokument, utan som ett robust ramverk som håller för granskning av revisorer.

Författad av en expert med följande meriter:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Zenith-sviten