De vigtigste spørgsmål om ISO 27001 MSP: Forklaring af beviser, omfang og bilag A-kontroller

Hvorfor er ISO 27001-spørgsmål til MSP'er nu vigtigere end nogensinde?

ISO 27001-spørgsmål til MSP'er er nu vigtigere end nogensinde, fordi deres kontroller direkte former din organisations risiko og regulatoriske eksponering. Virksomhedssikkerhedsteams såsom CISO'er, sikkerhedschefer, leverandørrisikoejere og tredjepartsrisikoledere er nu afhængige af managed service providers til kritiske operationer, så svag ISO 27001-tilpasning hos en udbyder bliver hurtigt dit problem. Ved at stille skarpere ISO 27001-spørgsmål kan du se, hvordan kontrollerne rent faktisk fungerer i det daglige, og det hjælper dig med at bevise over for bestyrelser, revisionsudvalg og tilsynsmyndigheder, at outsourcing styrker, ikke udvander, din sikkerhedsstilling.

Da I først implementerede ISO 27001 internt, fokuserede I sandsynligvis på jeres egne datacentre, applikationer og teams. I dag kan en betydelig del af denne kapacitet ligge i en MSP's miljø eller i cloudplatforme, de administrerer. Det kan omfatte et administreret sikkerhedscenter, der analyserer alle jeres logs, eller en administreret identitetsplatform, der understøtter single sign-on for hver medarbejder. Standarden holder jer stadig ansvarlige for informationssikkerhedsrisici, selv når andre organisationer udfører nøglekontroller på jeres vegne. ISO 27001 gør dette eksplicit ved at kræve, at I definerer jeres organisatoriske kontekst, vurderer informationssikkerhedsrisici og kontrollerer outsourcede processer i stedet for at overføre ansvaret til leverandørerne, som fremhævet i kerneoversigter over ISO 27000-familien, såsom introduktionen til ISO 27000-serien. Derfor er "Er I ISO 27001-certificeret?" blevet det svagest mulige udgangspunkt snarere end et tilstrækkeligt svar.

Rapporten om informationssikkerhedens tilstand fra 2025 bemærker, at kunderne i stigende grad forventer, at leverandører overholder formelle rammer som ISO 27001, ISO 27701, GDPR, Cyber Essentials og SOC 2 i stedet for at stole på generel god praksis.

Tillid vokser, når man ser, hvordan kontrollerne fungerer hver dag, ikke kun under certificeringen.

Du skal forstå, om en MSP's informationssikkerhedsstyringssystem (ISMS) virkelig dækker de tjenester, du planlægger at bruge, hvordan de fortolker delt ansvar, og hvordan de dokumenterer løbende kontroloperation. Hvert af disse temaer bør fremgå af de spørgsmål, du stiller til hver udbyder, og i den historie, du senere internt fortæller om, hvorfor en bestemt MSP er acceptabel. Denne artikel tilbyder generel information til at understøtte disse samtaler; det er ikke juridisk eller lovgivningsmæssig rådgivning, og du bør altid samarbejde med dine interne ledelsesorganer og kvalificerede rådgivere, når du træffer endelige beslutninger.

Hvordan outsourcing ændrede jeres ISO 27001-risikolandskab

Jeres risikolandskab ændrede sig i det øjeblik, I lod en ekstern leverandør administrere dele af jeres teknologistak. I har ikke outsourcet ansvarlighed; I har outsourcet aktiviteter, så ISO 27001 forventer stadig, at I bevarer kontrollen over, hvordan sikkerheden styres.

Et flertal af organisationerne sagde, at de havde været påvirket af mindst én tredjeparts- eller leverandørrelateret sikkerhedshændelse i det seneste år.

ISO 27001 forventer, at du:

Forstå interne og eksterne problemer, der påvirker dit ISMS.
Definer interesserede parter, herunder MSP'er, og deres krav.
Kontroller outsourcede processer, der påvirker informationssikkerheden.

Når kerneydelser som identitet, infrastruktur, overvågning eller hændelsesrespons ligger hos MSP'er, bliver disse outsourcede processer centrale for din risikohåndteringsplan. Hvis du ikke kan beskrive, hvordan en MSP's kontroller understøtter dine egne bilag A-kontroller, kan du skabe en væsentlig blind vinkel, der sandsynligvis vil bekymre din bestyrelse, revisorer, større kunder og tilsynsmyndigheder. Vejledning i forsyningskæden fra nationale cybersikkerhedsagenturer, herunder ressourcer fra CISA, fremhæver ligeledes ustyrede tredjepartskontroller som en betydelig styringsrisiko. Et praktisk næste skridt er at sikre, at hver strategisk MSP eksplicit fremgår af dit risikoregister med links til de kontroller, du er afhængig af, at de fungerer til.

Fra bestyrelsens perspektiv handler spørgsmålene nu mindre om, hvorvidt I er certificeret, og mere om, hvorvidt jeres udvidede økosystem opfører sig som et sammenhængende, velstyret ISMS. Derfor skal jeres MSP-due diligence se ud og føles som en forlængelse af jeres interne ISO 27001-arbejde, ikke en separat indkøbstjekliste eller et engangssikkerhedsspørgeskema. Hvis I kan vise, at MSP-drevne kontroller er integreret i jeres risikoregister, Statement of Applicability (SoA) og ledelsesgennemgange, bliver det meget lettere at forsvare outsourcingbeslutninger under lup.

Hvorfor er du certificeret? Det er ikke nok

Et certifikat fortæller dig, at et certificeringsorgan på bestemte tidspunkter har fundet et ISMS-system i overensstemmelse med et bestemt omfang. Det fortæller dig ikke, hvilke af dine tjenester der er inden for dette omfang, hvordan bilag A-kontroller implementeres, eller om disse kontroller fortsat fungerer effektivt.

Den siger heller intet om, hvordan ansvaret er fordelt mellem udbyder og kunde, hvilket er der, hvor mange hændelser og revisionsresultater opstår. Hvis du stopper ved Er du certificeret?, lærer du næsten intet om, hvorvidt MSP'ens kontroller er de rigtige for din risikoprofil. Stærke virksomhedssikkerhedsteams behandler nu certifikatet som adgangsbilletten, ikke svaret.

Det virkelige arbejde starter med spørgsmål som:

Hvordan relaterer jeres ISMS-omfang sig til de tjenester og regioner, vi rent faktisk vil bruge?
Vis os, hvordan jeres kontroller for denne service er i overensstemmelse med bilag A i ISO 27001:2022.
Hvilke løbende beviser kan du dele for, at disse kontroller fortsat virker?

En delt ISMS-platform som ISMS.online kan hjælpe dig med at samle disse spørgsmål og svar ét sted og omdanne spredte e-mailtråde og PDF'er til struktureret, gentagelig revision, der er nem at genbruge med din bestyrelse, revisionsudvalg, leverandørrisikoforum og tilsynsmyndigheder. Uanset hvilke værktøjer du vælger, gør central registrering af svarene det langt nemmere at opretholde en ensartet tredjeparts revisionshistorie over tid.

Book en demo

Hvad kræver ISO 27001:2022 egentlig af administrerede udbydere?

ISO 27001:2022 kræver, at administrerede udbydere driver et risikobaseret ISMS, der klart dækker de tjenester, placeringer og processer, der påvirker dine oplysninger, og at de begrunder deres kontrolvalg i henhold til bilag A. For dig som kunde betyder det spørgsmål, der undersøger omfang, risikovurdering, kontrolvalg og hvordan disse kontroller relaterer sig til de specifikke tjenester, som MSP'en kører for dig.

Mange udbydere taler stadig om ISO 27001, som om det blot var et bibliotek af kontroller. I virkeligheden definerer standarden et komplet ledelsessystem, der skal forstå den organisatoriske kontekst, vurdere risici, planlægge behandling, anvende kontroller, overvåge ydeevne og forbedre sig over tid. Revisionen fra 2022 skærpede dette billede, moderniserede bilag A og fremhævede emner som trusselsinformation, forebyggelse af datalækage og cloud-specifikke risici, der nu ofte optræder i due diligence-diskussioner i virksomheder. Officielle beskrivelser af ISO/IEC 27001:2022, herunder standardoversigten på ISO's hjemmeside, understreger disse strukturelle opdateringer og det ekstra fokus på moderne trussels- og cloud-scenarier.

Visuelt: et simpelt kort, der forbinder ISO 27001-klausuler med de MSP-tjenester, der påvirker dine data.

ISO 27001:2022-elementerne, der berører MSP'er mest

Når du arbejder med MSP'er, er flere dele af ISO 27001:2022 særligt relevante og bør afspejles i, hvordan de besvarer dine spørgsmål.

Punkt 4-6 (kontekst, ledelse, planlægning): – MSP'en bør definere et ISMS-omfang, der klart omfatter de tjenester, datacentre og supportsystemer, der bruges til at levere administrerede tjenester. De bør også demonstrere, at ledelsen, ikke kun driftspersonalet, har ansvaret for informationssikkerheden.

Punkt 6-8 (risikovurdering og -behandling): – en certificeret MSP bør forklare, hvordan risici vedrørende kundedata, servicetilgængelighed og lovgivningsmæssige forpligtelser identificeres, evalueres og behandles. Deres risikoregistre og behandlingsplaner bør tydeligt styre valget af kontrol for din type service.

Kontrolelementer i bilag A (93 kontrolelementer i fire temaer): – i 2022-udgaven indeholder bilag A 93 kontroller grupperet i organisatoriske, menneskelige, fysiske og teknologiske temaer, som beskrevet i offentlige resuméer af ISO/IEC 27001:2022 fra standardiseringsorganer og oversigter såsom BSI ISO 27001 informationssikkerhedssiden og ISO/IEC 27001-artiklen. Som MSP'er er I meget optaget af adgangskontrol, logføring og overvågning, driftssikkerhed, leverandørrelationer og forretningskontinuitet, og I vil gerne vide, hvilke af disse er implementeret for de tjenester, I køber.

Anvendelseserklæring (SoA): – SoA'en registrerer, hvilke Annex A-kontroller der er gældende, hvordan de implementeres, og hvorfor nogle er undtaget. For dig er det det primære kort til at forstå MSP'ens kontrolmiljø og identificere usædvanlige undtagelser for din type tjeneste.

Stærkere udbydere kan gennemgå hvert af disse områder konkret ved hjælp af reelle processer og artefakter. Svagere udbydere har en tendens til at holde sig til slogans som "i overensstemmelse med bedste praksis" uden at forbinde disse påstande med specifikke klausuler, kontroller eller tjenester. Mens du lytter, så spørg dig selv, om du kunne genfortælle deres forklaring til dit eget ledelsesteam i et klart, ikke-teknisk sprog.

Hvad dette betyder for dine due diligence-spørgsmål

Når du oversætter standarden til spørgsmål til MSP'er, beder du dem i bund og grund om at gennemgå deres ISMS med dine tjenester i tankerne. I praksis betyder det at gå ud over generiske "ja/nej"-svar og invitere dem til at beskrive, hvordan deres ledelsessystem fungerer.

Nyttige spørgsmål inkluderer:

Omfang: "Beskriv ISMS-omfanget, og bekræft, hvordan det dækker de specifikke tjenester, miljøer og regioner, du vil bruge for os."
Risiko: "Hvordan påvirker kundespecifikke risici jeres risikoregister og behandlingsplaner?"
Kontroller: "Hvilke bilag A-kontroller er implementeret for vores service, og hvor er I stadig i gang med at modnes?"
Drift: "Hvordan overvåger du kontroleffektiviteten og reagerer, når noget ikke fungerer som tilsigtet?"

Overgangstidslinjen for 2013 til 2022 er en anden nyttig linse. Hvis en MSP stadig er certificeret i henhold til den ældre version, så spørg om deres overgangsplan, milepæle og hvilke ændringer de forventer at have indflydelse på kontroldækningen. Brancheovergangsvejledninger for ISO/IEC 27001:2022, herunder blogs fra udbydere som OneTrust, anbefaler ofte at anmode om dokumenterede overgangsplaner og forklaringer på, hvordan de reviderede kontroller påvirker tjenester, i stedet for at antage, at de nye krav allerede er dækket.

Stærke MSP'er viser typisk en klar, tidsbestemt plan med ejerskab og kommunikationspunkter. Svage MSP'er svarer ofte vagt eller siger, at de "arbejder på det" uden konkrete skridt.

Et praktisk næste skridt er at registrere svarene i en standardskabelon og linke dem til dit eget risikoregister og SoA-poster. På den måde kan du gennemgå dem under ledelsesgennemgange og leverandørrisikofora i stedet for at behandle dem som engangsdokumenter, der indgives efter indkøb.

ISMS.online giver dig et forspring på 81% fra det øjeblik, du logger på

ISO 27001 gjort nemt

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.

Kom i gang

Hvordan går man fra generiske kontroller til tjenestespecifikke Annex A-tilknytninger?

Du går fra generiske garantier til servicespecifik garanti ved at insistere på en klar kortlægning, der for hver relevant Annex A-kontrol viser, hvem der er ansvarlig, hvordan den implementeres, og hvilken dokumentation der understøtter den for den specifikke service, du køber. Denne kortlægning forvandler ISO 27001 fra en abstrakt komfort til et konkret, reviderbart overblik over, hvordan dine risici håndteres i et MSP-miljø.

De fleste udbydere kan tale generelt om "stærk adgangskontrol" eller "sikker drift". Færre kan for en given administreret tjeneste vise dig præcis, hvordan disse udsagn relaterer sig til navngivne Annex A-kontroller, dokumenterede procedurer og reel overvågning. Det er der, dine spørgsmål bør fokusere, hvis du ønsker materiale, du kan genbruge med revisorer, indkøb og interne interessenter.

Sådan ser en god servicespecifik kontrolkortlægning ud

Et stærkt kortlægningsdokument for en enkelt administreret tjeneste vil normalt indeholde en klar beskrivelse af tjenesten, de bilag A-kontroller, der er vigtige for den pågældende tjeneste, og hvordan hver kontrol er ansvarlig og dokumenteret. Der lægges vægt på specificitet snarere end slogans.

Et stærkt kortlægningsdokument indeholder normalt:

En klar servicebeskrivelse og hvordan den passer inden for MSP'ens ISMS-omfang.
En liste over relevante kontroller i bilag A, filtreret efter dem, der reelt er relevante for den pågældende tjeneste.
For hver kontrol:
Om det er udbyderejet, kundeejet eller delt.
En kort beskrivelse af, hvordan kontrollen implementeres.
Henvisninger til beviser såsom politikker, procedurer, logfiler, tickets og rapporter.

Et forenklet eksempel kunne se sådan ud:

Kontroltema	Stærkt svar fra MSP	Svar med rødt flag
Adgangskontrol	"Vi bruger rollebaseret adgang til denne tjeneste med godkendelser, periodiske gennemgange og central logføring. Du administrerer dine brugerroller; vi administrerer platformadgang."	"Adgang begrænses efter behov; detaljer er interne."
Logning og overvågning	"Alle administratorhandlinger i dit miljø logges, opbevares i en defineret periode og gennemgås af vores driftsteam med klare eskaleringsregler."	"Vi har logfiler, men vi gennemgår dem kun, hvis noget går galt."
Forretningskontinuitet	"Denne service er dækket af genoprettelsesprocedurer, der testes med aftalte intervaller, med definerede genoprettelsestidspunkter og mål for genoprettelsespunkter."	"Vores datacenterudbyder garanterer oppetid; vi stoler på dem."
Hændelsesdetektion og -respons	"Vi kører en SOC, der overvåger din tjeneste med strategier, alvorlighedsbaserede SLA'er og fælles hændelsesgennemgange for hændelser, der påvirker dine data."	"Vi giver jer besked, hvis vi ser noget usædvanligt."

Sikkerhedsteams, der gennemgår mange MSP'er, ser ofte de samme mønstre: Stærkere udbydere giver svar som dem i venstre kolonne, med ejerskab, specifikke mekanismer og tidsbestemt testning. Svagere udbydere samles i højre kolonne med vage forsikringer, overdreven afhængighed af underleverandører og ringe bevis for, at nogen tester gendannelse eller respons. Når du har et par eksempler, bliver det meget lettere at forklare dine interne interessenter, hvad "god" ser ud.

Sådan anmoder du om og bruger tjenestespecifikke kortlægninger

I anmodninger om tilbud eller due diligence-opkald kan du oversætte dette til eksplicitte anmodninger såsom:

"For denne administrerede service skal du levere en kontrolmatrix, der kortlægger dine kontroller i henhold til ISO 27001:2022 Anneks A, med ansvar og dokumentation for hver kontrol."
"Hvis en kontrol deles, beskriv hvad I gør, og hvad I forventer af os, herunder eventuelle konfigurations- eller proceskrav fra vores side."
"Forklar, hvordan I holder denne kortlægning opdateret, når I ændrer tjenesten, eller når ISO 27001 opdateres."

Når du har kortlægningen, skal du behandle den som et arbejdsdokument i stedet for endnu en statisk vedhæftning. Dine sikkerhedsarkitekter kan tilpasse den til din egen kontrolramme og identificere huller. Dine GRC- og leverandørrisikoteams kan referere til den i risikoregistre, SoA-poster og leverandørrisikorapporter. Dine drifts- og serviceejerteams kan se præcis, hvad de skal konfigurere eller overvåge for at opretholde din del af de delte kontroller.

Med tiden kan du standardisere strukturen af disse mappings på tværs af alle MSP'er. På det tidspunkt bliver det værdifuldt at bruge en fælles ISMS-platform som ISMS.online, fordi den giver dig mulighed for at gemme, sammenligne og vedligeholde disse matricer centralt i stedet for at jonglere med dem i adskilte regneark eller e-mailarkiver. Selv hvis du starter med simple dokumenter, er det et praktisk første skridt at blive enige om et fælles format.

Hvordan bør man læse en MSP's ISO 27001-certifikat og SoA med et skeptisk blik?

Du bør betragte en MSP's ISO 27001-certifikat og anvendelighedserklæring som udgangspunkter, der indrammer yderligere spørgsmål om omfang, kontroller og modenhed. En skeptisk læsning ser på, hvad der er inden for certifikatets omfang, hvad der er uden for, og hvordan det stemmer overens med de tjenester, lokationer og underdatabehandlere, du er interesseret i, i stedet for at antage, at mærket dækker alt, hvad du har brug for.

Næsten alle respondenter angav opnåelse eller opretholdelse af sikkerhedscertificeringer som ISO 27001 eller SOC 2 som en topprioritet for det kommende år.

Et certifikat, der ser imponerende ud ved første øjekast, kan skjule vigtige huller, og certificerings- og revisionsorganer minder regelmæssigt organisationer om, at et certifikat kun er en erklæring om sikkerhed over et defineret omfang og en periode, ikke en generel sikkerhedsgaranti. For eksempel understreger ISO 27001-certificeringsoversigter fra udbydere som TÜV vigtigheden af at forstå omfang og begrænsninger. At tænke som en revisor eller tilsynsmyndighed, når man læser disse dokumenter, gør det meget nemmere at opdage sådanne problemer tidligt.

Læser omfang og SoA som en revisor

Når du gennemgår et certifikat og relaterede dokumenter, skal du fokusere på et par nøgleområder, der afslører, om papirerne stemmer overens med virkeligheden for de tjenester, du køber.

Vær særlig opmærksom på:

Omfangserklæring: – nævner den eksplicit, hvilken type tjenester du planlægger at bruge (for eksempel "administreret sikkerhedsdriftscenter" eller "administreret cloudhosting"), og de steder, hvorfra de leveres?

Lokationer, juridiske enheder og underdatabehandlere: – er de datacentre, supportcentre, koncernselskaber og navngivne underdatabehandlere, der behandler dine data, anført, eller mangler der kritiske centre, eller er der kun indirekte henvisninger til dem?

SoA-dækning og undtagelser: – hvilke kontroller i henhold til bilag A er markeret som relevante, hvilke er udelukket, og hvorfor? Er der nogen undtagelser, der er overraskende for en udbyder af deres type, såsom udelukkelse af backup, logning, forretningskontinuitet eller leverandørkontroller?

Revisionscyklus og resultater: – hvornår var den seneste certificerings- eller overvågningsrevision, og er der kendte afvigelser, der bliver adresseret, som kan påvirke de tjenester, I modtager?

Erfarne virksomhedsteams kan afdække tjenester leveret fra lokationer, der ikke er anført i omfanget, underdatabehandlere eller datacentre, der ikke er dækket af ISMS, eller bilag A-kontroller markeret som "ikke relevant", som de anser for essentielle. Tredjepartsrisikovurderinger og konsulentindsigt, herunder cyberrisikorapporter fra virksomheder som Deloitte, beskriver huller i omfanget og overraskende udelukkelser som almindelige fund, når man gennemgår leverandørcertificeringer. Teams, der har været igennem flere eksterne revisioner, bemærker ofte et mønster: Stærke leverandører kan gennemgå omfanget og SoA med selvtillid, forklare udelukkelser i et letforståeligt sprog og anerkende forbedringsområder. Svage leverandører har svært ved at forbinde dokumenterne med reelle tjenester og behandler nogle gange spørgsmål om udelukkelser som fjendtlige. Som en praktisk opfølgning kan du opsummere dine vigtigste observationer og gemme dem sammen med certifikatet i din leverandørrisikofil.

Spørgsmål, der afslører certifikatets begrænsninger

Bevæbnet med denne skeptiske linse kan du stille spørgsmål, der forvandler statiske dokumenter til en rigere samtale i stedet for udelukkende at stole på certifikatet. Målet er at forstå, i hvor høj grad det dokumenterede omfang og de dokumenterede kontroller virkelig understøtter dine use cases.

Spørgsmål som disse er nyttige:

"Hvilke af vores planlagte tjenester falder fuldt ud inden for ISMS' anvendelsesområde, og hvilke er delvist eller endnu ikke dækket?"
"Giv os en gennemgang af de vigtigste kontroller i bilag A, der understøtter denne service, og forklar eventuelle undtagelser, der måtte påvirke os."
"Hvordan beslutter I, hvornår en ny tjeneste, funktion, underdatabehandler eller lokation skal inkluderes, og hvordan informerer I kunderne, når det sker?"
"Hvad fremhævede jeres seneste interne og eksterne revisioner som forbedringsområder, der kunne påvirke os?"

Disse spørgsmål minder udbyderen om, at I forstår ISO 27001 som et levende system, ikke en marketingetiket. De baner også vejen for senere samtaler om delt ansvar for risiko, hændelsesstyring, kontinuitet og regulatoriske underretninger, hvor klarhed over omfanget bliver endnu vigtigere for jeres egen SoA og risikohåndteringsplaner. Ved at dokumentere svarene i jeres interne styringsværktøjer er det nemmere at vise bestyrelser og tilsynsmyndigheder, hvordan I er nået frem til jeres konklusioner.

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo

Hvordan trækker man grænsen for delt ansvar for risici, hændelser og kontinuitet?

Du trækker grænsen for delt ansvar ved at omdanne ISO 27001-roller og -ansvar på højt niveau til konkrete, skriftlige aftaler, der for hvert større risikoområde specificerer, hvad MSP'en vil gøre, hvad du skal gøre, og hvordan begge parter vil koordinere. Uden den grad af klarhed kan selv en certificeret udbyder efterlade dig ubehageligt eksponeret under hændelser eller afbrydelser.

ISO 27001 forventer, at roller, ansvar og beføjelser relateret til informationssikkerhed defineres og kommunikeres. Klausul 5.3 i ISO/IEC 27001 kræver eksplicit, at du definerer og kommunikerer informationssikkerhedsroller, ansvar og beføjelser, som fremhævet i kommentarer til centrale standarder, såsom introduktionen til ISO 27000-serien. I et MSP-forhold strækker denne forventning sig til kontrakter, servicebeskrivelser og operationelle handlingsplaner, der skal kunne modstå revision og myndighedskontrol, når noget går galt.

Klare grænser forhindrer skænderier om ansvarlighed, når presset er højest.

Afklaring af ansvar for risikostyring

Afklaring af ansvaret for risikostyring starter med at forstå, hvordan dine risici fremstår i MSP'ens planlægning, og hvordan deres risici fremstår i din. Mange senere problemer opstår, fordi ingen af parterne har skrevet dette ned.

Nyttige trin og spørgsmål omfatter:

Spørg MSP'en, hvordan risici relateret til dine tjenester og data findes i deres risikoregister og behandlingsplaner.
Afklar, om de forventer, at du udfører specifikke risikovurderinger eller giver dem risikooplysninger til deres egen planlægning, herunder konsekvensanalyser af databeskyttelse, hvor privatlivets fred er omfattet.
Sørg for, at dit eget risikoregister registrerer brugen af MSP'en og de kontroller, du er afhængig af dem for at fungere.

Gode modeller for delt ansvar inkluderer ofte en RACI-matrix (ansvarlig, ansvarlig, konsulteret, informeret) for nøgleaktiviteter såsom:

Adgangsbestemmelse og periodiske gennemgange.
Konfigurations- og ændringsstyring for delte platforme.
Programrettelses- og sårbarhedsstyring på tværs af infrastruktur og applikationer.
Overvågning, alarmhåndtering og eskalering.

Ressourcer inden for bedste praksis inden for drift og sikkerhed, herunder RACI-vejledning i SANS Institute-hvidbøger, anbefaler ofte denne type matrix for at undgå huller og overlapninger i ansvarlighed. I praksis kan en RACI til patch-administration angive, at MSP'en er ansvarlige til at opdatere det underliggende operativsystem og platformen; du er ansvarlig til godkendelse af vedligeholdelsesvinduer og opdatering af dine egne applikationer; dit sikkerhedsteam er høres på ændringer med høj risiko; og dine serviceejere er informeret af kommende patch-cyklusser. Når I er enige om denne opdeling, kan I afspejle den i jeres risikoregister og SoA, så revisorer ser et ensartet billede.

Dine spørgsmål bør sigte mod at afdække disse modeller og teste, om de er forstået på begge sider. Hvis dine teams og MSP'ens teams ville give forskellige svar på, hvem der er ansvarlig for en opgave, har du arbejde at gøre, før du kan fortælle din bestyrelse, at risiciene er under kontrol.

Opdeling af hændelsesrespons og kontinuitet i praksis

Risikostyring bliver meget reel, når noget går galt, så du har brug for det samme niveau af klarhed for hændelsesrespons og kontinuitet. Her leder du efter præcise overdragelser, tidslinjer og antagelser snarere end løfter på højt niveau.

To kritiske områder er:

Hændelsessvar: – hvem overvåger hændelser, hvem sorterer advarsler, under hvilke betingelser MSP'en kontakter dig, gennem hvilke kanaler, og hvem er ansvarlig for retsmedicin, bevisopbevaring, kunde- og lovgivningsmæssige underretninger samt gennemgange efter hændelser.

Forretningskontinuitet og katastrofeberedskab: – hvilke mål for genopretningstid og genopretningspunkt MSP'en forpligter sig til for tjenesten, hvordan disse stemmer overens med jeres analyse af forretningsmæssige konsekvenser, og hvilke antagelser MSP'en gør om jeres egne kontinuitetsordninger, såsom alternative adgangsruter eller manuelle løsninger.

Dine spørgsmål lyder måske sådan her:

"Beskriv den komplette proces for håndtering af en hændelse, der påvirker vores administrerede tjeneste, fra opdagelse til afslutning, og vis os, hvor vores ansvar starter."
"Hvilke scenarier for afbrydelser og datatab er dækket af jeres kontinuitets- og genoprettelsesplaner for denne tjeneste, og hvilke scenarier forventer I, at vi selv håndterer?"
"Hvor ofte tester I fælles incident- og kontinuitetsprocesser med kunder som os, og hvordan kan vi deltage?"

Svarene er en del af din egen planlægning af incidentrespons og forretningskontinuitet og giver interessenter, såsom din revisionskomité, databeskyttelsesansvarlige og tilsynsmyndighed, tryghed, hvis de gennemgår dine ordninger. De indgår også i det dokumentationsgrundlag, du senere vil bede om: testrapporter, gennemgange efter hændelser og forbedringer, der er implementeret af begge parter over tid. Dokumentation af de aftalte opdelinger i dine incident runbooks og kontinuitetsplaner er en praktisk måde at gøre disse samtaler til reviderbar virkelighed.

Hvordan kan en MSP bevise løbende overholdelse af ISO 27001, og ikke blot en engangscertificering?

En MSP kan bevise løbende overholdelse af ISO 27001 ved at dele struktureret dokumentation, der viser, at dens ISMS og kontroller fungerer og forbedres i løbet af året, ikke kun på certificeringstidspunktet. Denne dokumentation spænder over interne og eksterne revisioner, teknisk testning, sårbarhedsstyringsaktiviteter, leverandørvurderinger, træningsresultater og metrikker, der sporer, hvordan problemer findes og løses.

Et certifikat alene er en vurdering på et givet tidspunkt: Revisionsvejledning beskriver certificeringer som udtalelser baseret på den dokumentation, der er tilgængelig på revisionsdatoen, ikke garantier for fremtidig præstation, en sondring, der understreges i revisionsfokuserede ressourcer som Audit Analytics. Løbende beviser viser et adfærdsmønster, der forsikrer din bestyrelse, revisorer, privatlivsmyndigheder og leverandørrisikofora om, at MSP'ens sikkerhedsstilling aktivt styres i stedet for at blive forsinket. Dine spørgsmål bør derfor fokusere på, hvordan de planlægger, tester og forbedrer sikkerheden løbende, snarere end blot hvad der fremgår af et certifikat.

Omkring to tredjedele af organisationerne i ISMS.online-undersøgelsen i 2025 sagde, at hastigheden og omfanget af lovgivningsmæssige ændringer gør det sværere at opretholde overholdelse af regler.

Bevistyper, der viser et levende ISMS

Når du beder om bevis ud over certifikatet, beder du i virkeligheden udbyderen om at demonstrere, at deres Plan-Do-Check-Act-cyklus fungerer i praksis for dine tjenester. Du behøver ikke alle detaljer, men du har brug for nok til at se, at kontroller, resultater og forbedringer er reelle.

Nyttige beviser inkluderer:

Interne revisionsrapporter eller resuméer: – disse viser, at MSP regelmæssigt vurderer sit eget ISMS, finder afvigelser og følger op med korrigerende handlinger i stedet for at vente på, at eksterne revisioner opdager problemer.

Resultater af overvågning og recertificering: – resultater på overordnet niveau fra eksterne revisioner viser, at et uafhængigt organ også tester overensstemmelse mellem større certificeringsbegivenheder, og om forbedringstiltag afsluttes til tiden.

Penetrationstest og sårbarhedsvurderinger: – korrekt rensede rapporter kan vise, hvad der blev testet, hvilke problemer der blev fundet, hvordan de blev klassificeret, og hvor hurtigt de blev afhjulpet for systemer, der er relevante for dine tjenester.

Metrikker for sårbarhedsstyring: – tendenser for implementering af patches, gennemsnitlig tid til at afhjælpe problemer med høj alvorlighed og mængden af udestående sårbarheder på platforme, der behandler dine oplysninger.

Leverandør- og underdatabehandlervurderinger: – dokumentation for, at MSP'en håndterer tredjepartsrisici på en måde, der understøtter dine ISO 27001- og NIS 2-forventninger, i stedet for blindt at stole på upstream-leverandører.

Trænings- og bevidsthedsoptegnelser: – data om gennemførelsesrater for sikkerhedstræning, phishing-øvelser og rollespecifikke oplysningsaktiviteter for personale involveret i levering af dine administrerede tjenester.

Certificeringsorganer og udbydere af certificering, der beskriver ISO 27001-programmer, såsom TÜV's oversigt, refererer ofte til disse typer artefakter som typiske komponenter i et effektivt ISMS-sikringssystem. I mange tilfælde vil du se resuméer, tendenser og eksempler på artefakter snarere end fulde, fortrolige rapporter, hvilket normalt er rimeligt. Nøglen er, at du kan se regelmæssige kontroller, klare resultater og opfølgning, der er direkte relateret til dine tjenester. Et praktisk skridt er at definere, hvilke typer evidens du forventer for hver strategisk MSP, og registrere, hvad du modtager under de årlige evalueringer.

Målinger og spørgsmål, der gør "løbende" virkelighed

For at gøre "løbende" til mere end blot et modeord, kan du anmode om og spore specifikke målinger over tid, der direkte påvirker dit risikobillede. Dette gør det også nemmere at orientere interne interessenter uden at overvælde dem med rådata.

Nyttige målinger inkluderer:

Antallet og alvorligheden af åbne versus lukkede fund fra interne revisioner og tekniske tests på tværs af systemer, der understøtter dine tjenester.
Gennemsnitlig tid til at afhjælpe kritiske sårbarheder på disse systemer sammenlignet med aftalte mål.
Hyppighed og omfang af kontinuitets- eller genoprettelsestests, der påvirker dine tjenester, og om målene blev opfyldt.
Fuldførelsesrater for træning for medarbejdere med privilegeret adgang til dine miljøer eller kundedata.
Antallet, virkningen og de underliggende årsager til hændelser, der har påvirket dine administrerede tjenester i løbet af det seneste år.

Dine spørgsmål kan omfatte:

"Hvor ofte udfører I interne ISMS-revisioner, og hvornår var den sidste, der dækkede systemer, der bruges til vores tjenester?"
"Hvilke serviceniveaumål sætter I for at løse alvorlige sårbarheder, og hvor godt har I nået dem i løbet af de sidste tolv måneder?"
"Hvordan deler I erfaringer fra hændelser eller tests, der kan påvirke vores risikobillede, herunder eventuelle efterfølgende regulatoriske eller kundemeddelelser?"

Stærkere MSP'er vil være i stand til at vise klare målinger, tendenser over tid og eksempler på, hvordan disse målinger har drevet forbedringer, et mønster, der afspejles i tredjepartsrisiko- og cybermodenhedsforskning fra konsulentfirmaer som KPMG. Svagere MSP'er svarer ofte med statiske udsagn som "vi opdaterer data omgående" uden at underbygge dem. Når du forstår adfærdsmønsteret over tid, kan du standardisere den måde, du beder om, registrerer og sammenligner disse svar på tværs af udbydere, i stedet for at behandle hvert engagement som en engangsøvelse.

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo

Hvordan forvandler man ISO 27001-spørgsmål til en kontrolkortlægningsstrategi for administrerede tjenester?

Du forvandler ISO 27001-spørgsmål til en kontrolkortlægningsstrategi ved at standardisere strukturen af de spørgsmål, du stiller, den måde, MSP'er svarer på, og hvordan disse svar knyttes til kontroller, ansvar og beviser. Strategien bliver en genanvendelig rygrad for MSP-due diligence, sammenligning, onboarding og løbende styring på tværs af sikkerheds-, risiko-, leverandørstyrings- og indkøbsteams.

Omkring 41 % af organisationerne i ISMS.online-undersøgelsen i 2025 sagde, at håndtering af tredjepartsrisici og sporing af leverandørers overholdelse af regler var en af deres største sikkerhedsudfordringer.

I stedet for at genopfinde din tilgang, hver gang en ny udbyder dukker op, opretter du en ensartet skabelon, som enhver MSP kan udfylde, og som dine teams hurtigt kan fortolke. Med tiden giver dette dig et porteføljeomfattende overblik over MSP'ens modenhed, som du kan forklare til bestyrelser og tilsynsmyndigheder uden at dykke ned i hver enkelt kontrakt, fordi formatet og scoringen allerede er forstået.

Design af en genanvendelig kortlægningsskabelon

En god skabelon til en playbook har typisk tre lag, der arbejder sammen: strukturerede spørgsmål, kontroltilknytninger og kommentarer eller scoring. Det er vigtigere at holde disse lag ensartede på tværs af udbydere end at få alle detaljer perfekte på dag ét.

En praktisk skabelon indeholder normalt:

Spørgsmål – opgaver, der er afstemt med centrale ISO 27001-emner såsom omfang, risikovurdering, bilag A-kontroller, delt ansvar, dokumentation og privatliv eller lovgivningsmæssige forpligtelser, hvor det er relevant. For eksempel:

"Beskriv hvordan dit ISMS-omfang dækker denne service."
"Lever en kortlægning i bilag A for denne tjeneste med ansvarsområder."

Kontrol kortlægning – en tabel, der for hver relevant kontrol i bilag A:

Angiver, om den er udbyderejet, kundeejet eller delt.
Links til en kort beskrivelse af implementeringen.
Peger på bevistyper og placeringer, herunder eventuelle links til dine egne processer.

Pointgivning og kommentar – en måde at vurdere klarheden og styrken af svar og registrere kommentarer, mangler eller opfølgende handlinger, som du ønsker, at MSP'en skal adressere.

Når du bruger denne skabelon på tværs af alle MSP'er, får du et sammenligneligt overblik over deres modenhed og tilpasning. Indkøb, sikkerhed, GRC, juridiske oplysninger, privatlivs- og leverandørrisikofunktioner kan alle referere til den samme artefakt uden at oprette separate spørgeskemaer eller regneark, der kommer ud af synkronisering. Ved at gennemgå playbooken mindst én gang årligt, eller når tjenester eller regler ændres, holder du billedet aktuelt i stedet for at lade den blive endnu et forældet arkiv. Som et neutralt næste skridt kan du afprøve skabelonen med en eller to højrisikoudbydere, før du udruller den mere bredt.

Omdannelse af svar til et sammenlignende scorekort

Når din skabelon er på plads, bliver scoringen mere systematisk og handler mindre om personlige indtryk. Du kan vægte de emner, der betyder mest for din organisation, og derefter evaluere hver udbyder konsekvent ud fra disse kriterier.

Typiske fremgangsmåder omfatter:

Vægtning af bestemte områder tungere, såsom:
Klarhed og fuldstændighed i beskrivelsen af omfanget.
Dybde og specificitet af Anneks A-kortlægninger.
Kvalitet og friskhed af løbende beviser.
Præcision af definitioner af delt ansvar.
Tilpasning til din egen risikoappetit og regulatoriske profil.

At definere på forhånd, hvad et "stærkt" svar ser ud, så evaluering af svar er mindre subjektiv og lettere at forklare for interessenter.

For eksempel, til et spørgsmål som "Hvordan håndterer I hændelser, der involverer vores data?", kan et stærkt svar omfatte definerede detektions- og triageprocesser med klart ejerskab, aftalte tidsfrister og kanaler for underretning knyttet til alvorlighedsgrad og lovgivningsmæssige tærskler, fælles undersøgelses- og rodårsagsanalysetrin og links til genopretningsmål, der stemmer overens med jeres forretningsmæssige konsekvensanalyse. Et svagt svar kan blot sige "Vi undersøger og informerer jer, hvor det er nødvendigt", uden detaljer om timing, roller eller beviser.

Ved at anvende denne strategi konsekvent opbygger du et bibliotek af MSP-profiler baseret på ISO 27001, ikke marketing. Ved at tilpasse den til dine interne ISO 27001-processer bliver den endnu mere effektiv: strategien kan bruges til ledelsesgennemgange, opdateringer af risikoregister, ændringer i SoA og bestyrelsesrapportering. Ved at gemme skabeloner, mappings og scores i en samarbejdsbaseret ISMS-platform som ISMS.online kan du genbruge arbejdet på tværs af revisioner, fornyelser og nye projekter i stedet for at starte forfra, hver gang en interessent spørger: "Hvordan ved vi, at vores MSP'er virkelig er i overensstemmelse med ISO 27001?"

Book en demo med ISMS.online i dag

ISMS.online giver dig et enkelt delt sted til at strukturere ISO 27001-spørgsmål, kontrolkortlægninger og dokumentation med dine MSP'er, så tredjepartssikring bliver hurtigere, klarere og nemmere at forsvare. I stedet for at jonglere med certifikater, regneark og e-mailtråde kan du se, hvordan interne og eksterne kontroller arbejder sammen for at beskytte din organisation og tilfredsstille dine interessenter.

Hvorfor en delt ISMS-platform hjælper både dig og dine MSP'er

En delt ISMS-platform hjælper dig og dine MSP'er med at holde svarene konsistente, evidensen centraliseret og sikkerheden gentagelig, selv når tjenester, kontroller og regler ændrer sig. Når virksomhedssikkerhedsteams og MSP'er forsøger at samarbejde udelukkende gennem statiske dokumenter, opstår der tre problemer igen og igen.

Almindelige problemer omfatter:

Svarene kommer ud af synkronisering i takt med at tjenesterne udvikler sig.
Beviser findes i flere værktøjer og er svære at knytte til kontroller.
Hver revision eller anmodning om forslag tvinger begge sider til at genopbygge de samme forklaringer.

En delt ISMS-platform ændrer den dynamik. Med ISMS.online kan du indsamle dit standard ISO 27001 MSP-spørgsmålssæt én gang og genbruge det på tværs af udbydere. Du kan gemme servicespecifikke Annex A-mappings og matricer for delt ansvar i den samme struktur, som du bruger til dine interne kontroller. Du kan linke MSP-dokumentation såsom revisionsresuméer, testrapporter og nøgleparametre direkte til de kontroller og risici, de understøtter.

Den struktur hjælper også dine MSP'er. De kan svare flere kunder ud fra et enkelt, autoritativt sæt af mappings og beviser i stedet for at genskabe indhold for hvert spørgeskema. Over tid reducerer dette friktion på begge sider og hæver kvaliteten af sikringssamtaler i stedet for at gøre dem til papirarbejde. Selv hvis du senere skifter udbyder, gør det at have en ensartet model overgangen langt nemmere at forklare til bestyrelser og tilsynsmyndigheder.

Praktiske næste trin til at udforske ISMS.online

Hvis du anerkender de udfordringer, der er beskrevet her, behøver du ikke at redesigne din tredjepartsstyring fra bunden. En fokuseret prøveperiode er ofte nok til at demonstrere værdi uden at forpligte dig til en omfattende transformation, og du kan køre den sideløbende med dine nuværende processer.

Du kunne måske:

Vælg en eller to strategiske MSP'er, der understøtter tjenester med stor effekt.
Brug dit eksisterende ISO 27001-spørgsmålssæt som udgangspunkt.
Konfigurer en simpel kortlægningsskabelon og en model for delt ansvar i ISMS.online.
Inviter dine MSP-kolleger til at samarbejde om at færdiggøre og forfine indholdet.
Brug outputtet til at orientere din bestyrelse eller dit revisionsudvalg om, hvordan tredjepartskontroller nu er integreret i jeres ISMS.

Brug af et delt miljø på denne måde kan hjælpe dig med at opbygge klarere kortlægninger for kritiske tjenester, reducere overraskelser i revisioner, der involverer MSP'er, og udvikle en mere sikker historie for regulatorer og større kunder. Booking af en demo er blot en måde at se, hvordan dette kunne se ud i dit eget miljø, og at beslutte, om en delt ISMS-platform er den rigtige måde at administrere det på.

Hvis du også planlægger eller gennemgår en overgang til ISO 27001:2022, kan det samme miljø hjælpe dig med at opdatere Anneks A-mappninger til det reviderede kontrolsæt for både interne og MSP-drevne tjenester. Overgangsvejledningen til ISO/IEC 27001:2022 bemærker, at organisationer skal opdatere Anneks A-mappninger, omfangsbeskrivelser og dokumenterede oplysninger, og at brugen af et delt miljø, der understøtter både interne og MSP-drevne tjenester, kan gøre disse opdateringer lettere at koordinere, som fremhævet i ISO 27000-seriens oversigter, såsom ISO 27000-introduktionen. Enhver beslutning om at implementere nye værktøjer eller ændre leverandører bør stadig gennemgå dine sædvanlige styringsprocesser og, hvor det er relevant, gennemgås af kvalificerede juridiske eller lovgivningsmæssige rådgivere.

I sidste ende handler dine ISO 27001-spørgsmål til MSP'er om mere end due diligence-tjeklister. De handler om at vise, at dit udvidede digitale økosystem opfører sig som et sammenhængende, risikobaseret styringssystem, som bestyrelser, regulatorer og kunder kan stole på. At booke en demo med ISMS.online er en nem måde at undersøge, hvordan denne sammenhæng kan fungere i praksis for din organisation og dine vigtigste leverandører, og at se, om en fælles ISMS-platform kan hjælpe dig med at forvandle gode spørgsmål til holdbar tredjepartssikring.

Book en demo

Ofte Stillede Spørgsmål

Hvordan afstemmer vi MSP due diligence med ISO 27001:2022 uden at drukne interessenter i et stort antal klausuler?

Du afstemmer MSP due diligence med ISO 27001:2022 ved at formulere spørgsmål omkring forretningsresultater - risiko, oppetid, datahåndtering og ansvarlighed - og kun knytte disse svar tilbage til klausuler og bilag A-kontroller i dit eget ISMS.

Hvordan omsætter vi ISO 27001 til temaer, som virksomheder og MSP'er rent faktisk genkender?

Start med de samtaler, du allerede har med interessenter og udbydere af administrerede tjenester, og forankre dem derefter til en håndfuld gentagelige temaer:

Service og omfang passer til: – "Hvilke af jeres tjenester, lokationer, platforme og underdatabehandlere vil rent faktisk berøre vores data, og er de inden for jeres ISMS-anvendelsesområde?"
Risiko og modstandsdygtighed: – "Hvor optræder vores tilgængeligheds-, fortroligheds- og regulatoriske risici i jeres risikoregister, og hvordan håndteres de?"
Kontrolejerskab og testning: – "Hvilke kontroller i henhold til bilag A:2022 er på plads for denne tjeneste, hvem ejer dem, og hvordan testes de i løbet af året?"
Driftssikring over tid: – "Hvad har interne revisioner, penetrationstest, overvågning og hændelsesgennemgange fortalt dig om denne tjeneste i de sidste 12-18 måneder?"
Fælles ansvar: – "Hvilke aktiviteter ejer I, hvilke ejer vi, og hvad deles reelt for adgang, konfiguration, overvågning, hændelser, kontinuitet og leverandørstyring?"
Forandring og køreplan: – "Hvordan passerer nye tjenester, platformmigreringer og lovgivningsmæssige ændringer gennem jeres omfang, risikovurderinger og kontroller?"

Disse temaer giver dig en stabil rygrad for MSP due diligence-spørgeskemaer, RFP'er og fornyelsesgennemgange. Internt kan du opretholde en ren kortlægning fra hvert tema og spørgsmål tilbage til ISO 27001:2022-klausuler, Annex A-kontroller og leverandørstyringsprocesser i dit ISMS eller Annex L-tilpassede integrerede ledelsessystem. Eksternt ser din MSP kun klare spørgsmål på serviceniveau i stedet for klausulhenvisninger.

Hvis du bruger en platform som ISMS.online, er det nemt at gemme spørgsmålssættet, svarene og kortlægningerne sammen med din Statement of Applicability og leverandørregistre. På den måde kan du hurtigt vise revisorer, hvordan tredjepartstilsyn er indbygget i dit ISMS i stedet for at være improviseret omkring indkøbsfrister.

Hvordan kan vi designe MSP-spørgsmål, der spores tilbage til ISO 27001-klausuler uden at citere dem?

Arbejd fremad fra virkelige situationer og bagud fra ISO 27001, ikke omvendt:

Kontekst, lederskab og planlægning (paragraf 4-6):

Spørg, hvordan MSP'en definerer omfanget, forstår kundernes behov og planlægger risikohåndtering, der kan påvirke dig:
"Vis os, hvordan risici relateret til vores data, oppetid og lovgivningsmæssige forpligtelser identificeres, evalueres og prioriteres i jeres risikoregister."

Support og drift (paragraf 7-8):

Fokus på mennesker, dokumenterede procedurer og hvordan den administrerede tjeneste rent faktisk kører:
"Hvilke dokumenterede procedurer og kompetencer kræves for at levere denne service, og hvordan holder I begge dele opdaterede?"

Præstationsevaluering og -forbedring (paragraf 9-10):

Undersøg, hvordan de overvåger effektivitet, reviderer sig selv og driver forandringer:
"Hvilke revisioner, KPI'er og korrigerende handlinger har i løbet af det sidste år været direkte relateret til de systemer, vi ville stole på?"

Du behøver ikke at spørge "Hvordan overholder du klausul 8.1?" for at din egen ISO 27001:2022-implementering kan forsvares. Det, du har brug for, er et ensartet sæt spørgsmål, der afslører, hvordan MSP'ens ledelsessystem fungerer for dine tjenester, og en disciplineret måde at knytte disse svar tilbage til klausuler og bilag A-kontroller i dit eget ISMS. Ved at centralisere denne kortlægning i et delt miljø som ISMS.online kan dit team fortsætte med at finpudse spørgsmål, samtidig med at der bevares et klart revisionsspor for tilsynsmyndigheder, kunder og certificeringsorganer.

Hvordan kan vi hurtigt afgøre, om en MSP's ISO 27001-certifikat reelt dækker de tjenester, vi planlægger at bruge?

Du kan afgøre, om en MSP's ISO 27001-certifikat reelt dækker dine tjenester, ved at læse omfanget, erklæringen om anvendelighed og nylige revisionsrapporter, som om de var dine egne, og derefter teste eventuelle mangler med konkrete spørgsmål om serviceniveau.

Hvilke dele af certifikatpakken er vigtigst for MSP-tjenester?

Behandl dokumentationen som risikobevis, ikke salgssikkerhedsmateriale:

Beskrivelse af omfang: – Kontroller, at den nævner de specifikke servicetyper, du er interesseret i (f.eks. administreret SOC, administreret database, administreret identitet, administreret hosting) og de involverede nøgleteknologier og platforme.
Lokationer og leveringskæde: – Bekræft, at datacentre, supportlokationer og vigtige underdatabehandlere for dine arbejdsbelastninger eksplicit er omfattet af eller klart falder ind under en bredere enhed.
Kontrolanvendelsesmulighed: – Se på bilag A:2022 kontrolanvendelighed i SoA'en; udfordr undtagelser omkring logning, overvågning, backup, kontinuitet, leverandørtilsyn og sikker udvikling, hvor din egen risikovurdering behandler disse områder som ikke-forhandlingsbare.
Revisionens aktualitet og fokus: – Notér, hvornår den seneste overvågnings- eller recertificeringsrevision fandt sted, og om de seneste resultater vedrører de miljøer og tjenester, du forventer at forbruge.

Gå derefter direkte til konkrete spørgsmål, for eksempel:

"Af de tjenester, vi evaluerer, hvilke er fuldt ud omfattet af jeres nuværende ISO 27001-anvendelsesområde, hvilke er kun delvist dækket, og hvilke er uden for anvendelsesområde i dag?"
"Hvilke kontroller og sikkerhedsmekanismer gælder i stedet for systemer, der understøtter vores data, og som falder uden for jeres certificerede omfang?"

Ved at registrere disse svar i dine leverandørrisikoregistre bliver dit valg forsvarligt, hvis dine egne revisorer, bestyrelse eller kunder senere spørger, hvorfor du stolede på en bestemt leverandør.

Hvis du organiserer leverandørdokumentation og -notater i et system som ISMS.online, kan du gemme omfangsbeskrivelser, centrale SoA-uddrag, dine spørgsmål og MSP'ens svar sammen med de bilag A-kontroller og risici, de understøtter. Det giver dig mulighed for at genbruge den samme vurdering, når du fornyer, genudbyder eller selv gennemgår overvågning, i stedet for at starte fra et tomt regneark hver gang.

Hvad er de praktiske røde flag i MSP-scope og SoA-dokumenter?

Du behøver ikke at være ISO-specialist for at få øje på mønstre, der fortjener ekstra granskning:

Omfang, der tydeligvis er snævrere end leveringsvirkeligheden: , såsom et certifikat, der kun dækker "hovedkontorets drift", når den reelle servicelevering foregår fra flere regioner og cloudplatforme.
Overdrevent reklamepræget formulering: i stedet for konkrete oplysninger om aktiver, systemer og ansvarsområder.
Forældede revisioner: eller en uklar overvågningsplan, som kan indikere drivende praksis.
Klynger af "ikke relevante" kontroller: på områder, som dit eget risikoregister behandler som væsentlige, især overvågning, backup, kontinuitet, leverandørtilsyn eller sikker udvikling.

Når noget virker vagt, så bed MSP'en om at gennemgå én specifik tjeneste, du er interesseret i: hvor dine data ville være placeret, hvilke teams der kunne interagere med dem, og præcis hvilke aspekter af deres ISMS-omfang og -kontroller, der dækker disse komponenter. Stærke leverandører vil give dig en ensartet, testbar historie. Du kan derefter vedhæfte denne fortælling som struktureret bevismateriale i dit eget ISMS, så du, når spørgsmål vender tilbage fra kunder eller revisorer, er afhængig af en klar registrering snarere end erindring.

Hvordan skal vi aftale delt ansvar med en ISO-certificeret MSP, så ingen bliver overrasket i en reel hændelse?

Du bør aftale delt ansvar med en ISO-certificeret MSP ved at følge Anneks A:2022-kontrollerne, der berører begge organisationer, beslutte, hvem der gør hvad for hver enkelt organisation, og derefter afspejle denne opdeling konsekvent i kontrakter, runbooks og jeres ISMS.

Hvilke områder med fælles ansvar fortjener mest opmærksomhed?

Start der, hvor tvetydighed bliver dyrt i den daglige drift eller ved hændelser:

Risikostyring og planlægning:

Gør forbindelsen mellem dine forretningsrisici og MSP'ens tekniske risici eksplicit.
– Spørg, hvordan scenarier fra jeres risikoregister – såsom tab af en region, kompromittering af privilegeret adgang eller brud på lovgivningen – fremgår af deres risikovurdering og behandlingsplaner.
– Opbyg en kortfattet RACI, der dækker adgangsgennemgange, konfigurationsgrundlinjer, sårbarhedsstyring, overvågning, backup og gendannelse samt regelmæssig leverandørgennemgang.
– Gem den RACI i dine risikobehandlingsregistre, SoA og leverandørnotater, så revisorer og ledere ser det samme billede.

Detektion, respons og kommunikation:

– Afklar hvilke alarmer og telemetri MSP'en forventes at overvåge, hvilke dit eget team skal overvåge, og hvordan hændelser bevæger sig mellem de to.
– Aftal tærskler og tidsfrister for underretning af hændelser, og hvilken organisation der fører kommunikationen til tilsynsmyndigheder, kunder og registrerede i henhold til love som GDPR eller sektorregler.
– Dokumenter disse flows i fælles runbooks og øv dem med realistiske scenarier på et skrivebord.

Kontinuitet og genopretning:

– Bekræft, at MSP'ens mål for genopretningstid og genopretningspunkt stemmer overens med din analyse af forretningsmæssige konsekvenser og kontraktlige løfter.
– Bed dem om tydeligt at skelne mellem forstyrrelser, de er ansvarlige for (f.eks. platformfejl), og dem, du ejer (f.eks. kompromitteret lokalt netværk eller endpoint).

Anmod om, at MSP'en gennemgår et komplet, tjenestespecifikt hændelsesscenarie: hvilke målinger udløser handling, hvem der reagerer først, hvornår dit team bliver involveret, og hvordan erfaringer indsamles på begge sider. Når modellen fungerer for én strategisk tjeneste, kan du spejle den på tværs af andre MSP'er og registrere den centralt på en platform som ISMS.online, hvor hvert delt ansvarskort forbindes med de relevante kontroller, risici og kontrakter i bilag A.

Hvordan holder vi modellen for delt ansvar i overensstemmelse med ISO 27001 og et integreret system i bilag L?

Brug ISO 27001:2022 og eventuelle ledsagende standarder som den strukturelle rygrad i stedet for en eftertanke:

Identificér de kontroller i bilag A, der tydeligvis spænder over leverandør og kunde – for eksempel dem vedrørende logføring og overvågning, sikker konfiguration, backup, leverandørstyring, netværkssikkerhed og hændelsesstyring – og afgør, om hver især primært er dit ansvar, deres ansvar eller delt.
Afspejl disse beslutninger i din planlægningsaktiviteter i henhold til paragraf 6 og operationelle beskrivelser i henhold til paragraf 8, så outsourcingvalg og -grænseflader fremgår af risikohåndteringsplaner, dokumenterede procedurer og noter om outsourcede processer.
Sørg for, at den samme tildeling respekteres, når du udfører præstationsevaluering i henhold til paragraf 9 og forbedring i henhold til paragraf 10, så fælles hændelser driver korrigerende handlinger i begge organisationers ledelsessystemer snarere end blot i operationelle billetkøer.

Hvis du bruger et integreret ledelsessystem, der er tilpasset bilag L, og som kombinerer ISO 27001 med standarder som ISO 22301 for kontinuitet eller ISO 27701 for privatliv, skal du genbruge den samme logik for delt ansvar der. Kontrollører bør kunne følge en lige linje fra en administreret tjeneste gennem sikkerheds-, kontinuitets- og privatlivsansvar uden at finde modstridende antagelser i forskellige dele af dit IMS.

Hvilken dokumentation bør vi bede MSP'er om for at bevise løbende ISO 27001-praksis, ikke blot et indrammet certifikat?

Du bør bede MSP'er om dokumentation, der viser, hvordan deres ISMS- og Annex A-kontroller fungerer over tid for de tjenester, du er afhængig af – nylige, strukturerede artefakter, der demonstrerer planlægning, drift, måling og forbedring i mindst det seneste år.

Hvilke typer MSP-dokumentation holder bedst under interne og eksterne revisioner?

Prioritér et lille sæt artefakter, der tydeligt knytter sig til kontroller og reelle ændringer:

Interne ISMS-revisionsrapporter eller øjebliksbilleder: – hvilke kontroller der blev udtaget stikprøver af, hvilke afvigelser eller svagheder der blev fundet, og hvordan korrigerende handlinger blev sporet frem til afslutning.
Ekstern overvågning eller recertificeringsresuméer: – resultater fra certificeringsorganet, med eventuelle fund eller observationer, der vedrører dine tjenester, platforme eller leveringssteder.
Resultater af sikkerhedstest: – omfangsrige penetrationstests og sårbarhedsscanninger for systemer, der understøtter dine arbejdsbyrder, med en klar afhjælpningsplan og status for væsentlige fund.
Metrikker for sårbarhedsstyring: – tendenser i afhjælpningstider, antal åbne problemer efter alvorlighedsgrad og eventuelle formelt accepterede undtagelser.
Leverandør- og underdatabehandlertilsyn: – dokumenter eller dashboards, der viser, hvordan de vurderer og overvåger deres egne strategiske leverandører og cloudplatforme.
Indikatorer for træning og bevidsthed: – dokumentation for, at personer, der designer, driver og supporterer de administrerede tjenester, har gennemført relevant sikkerheds- og privatlivstræning.

Kombinér disse med direkte spørgsmål som:

"Hvor ofte dækker interne revisioner, tekniske tests og ledelsesgennemgange systemer, der understøtter de tjenester, vi vil bruge, og hvilke ændringer har I foretaget som følge heraf?"
"Hvilket mål sætter I for at lukke kritiske og høje sårbarheder, og hvordan har I klaret jer i forhold til disse mål i løbet af de sidste 12 måneder?"

Du har sjældent brug for rå hændelseslogfiler eller alle detaljer fra deres værktøjer, men du har brug for tilstrækkelig aktuel, struktureret dokumentation til at demonstrere, at MSP'ens ISMS er aktiv og effektiv. At blive enige på forhånd om, hvad din organisation definerer som en "komplet dokumentationspakke", og at inkludere denne forventning i din leverandørstyringsprocedure reducerer friktion senere og gør dine egne ISO 27001- og integrerede systemrevisioner mere ligetil.

Hvordan kan vi effektivt arkivere og genbruge MSP-dokumentation i vores ISMS eller Annex L IMS?

Håndter MSP-beviser med den samme struktur og disciplin, som du forventer internt:

Forbind hvert artefakt til specifikke kontroller og tjenester: – knytte dokumenter til de relevante kontroller, risici, leverandørregistre og servicedefinitioner i bilag A:2022, så du kan forklare præcis, hvad hvert enkelt bevismateriale understøtter.
Tag-ejerskab og gennemgangskadence: – registrere, hvem der er ansvarlig for at gennemgå beviserne, hvor ofte de skal opdateres, og eventuelle betingelser eller accepterede restrisici.
Genbrug hvor det er relevant på tværs af frameworks: – for eksempel bør en penetrationstest, der dækker systemer, der er omfattet af ISO 27001, SOC 2 og NIS 2, refereres én gang på en måde, der opfylder alle tre regimer, i stedet for at blive duplikeret i separate siloer.

En delt ISMS-platform som ISMS.online gør denne sammenkobling og genbrug praktisk: MSP-dokumentation kan knyttes direkte til kontroller, risici, revisioner og leverandørregistre. Når ledende interessenter eller revisorer spørger: "Hvordan ved du, at denne MSP stadig fungerer sikkert og i overensstemmelse med dine politikker?", kan du gennemgå de linkede elementer på skærmen i stedet for at søge på drev og e-mailtråde.

Hvordan kan vi sammenligne ISO 27001-modenheden på tværs af flere MSP'er uden at inddrage konsulenter hver gang?

Du kan sammenligne ISO 27001-modenheden på tværs af MSP'er ved at stille hver udbyder det samme strukturerede spørgsmålssæt og konvertere deres svar til en simpel scoringsmodel, der afspejler dine risikoprioriteter, i stedet for at forsøge at veje hvert svar isoleret.

Hvordan ser et praktisk MSP-scorecard ud, når det er baseret på ISO 27001?

Et nyttigt scorecard forbliver kompakt nok til, at ikke-specialister kan forstå det, men fyldigt nok til at understøtte beslutninger:

Omfang og certifikattilpasning (1-5): – hvor tydeligt MSP'ens certificerede omfang dækker de tjenester, lokationer og platforme, du planlægger at bruge.
Tjenestespecifik kontrolkortlægning (1-5): – hvor godt de kortlægger bilag A:2022-kontroller og andre relevante kontroller for dine tjenester og datastrømme, med navngivne ejere.
Klarhed om delt ansvar (1-5): – hvor utvetydige deres kontrakter, SLA'er og RACI'er handler om "hvem gør hvad" i forbindelse med risikohåndtering, overvågning, hændelser og kontinuitet.
Evidensdybde og friskhed (1-5): – hvor omfattende og opdaterede deres revisionsresultater, tests, metrikker og leverandøranmeldelser er for de miljøer, I er afhængige af.
Åbenhed og lydhørhed (1–5): – hvor villige de er til at give ekstra detaljer, anerkender mangler og forpligter sig til realistiske forbedringsplaner.

Du kan vægte disse dimensioner, så de matcher din sektor og dine forpligtelser. For eksempel kan en organisation, der er reguleret for operationel robusthed, vægte kontinuitet og evidens højere; en hurtigtvoksende SaaS-udbyder kan lægge vægt på gennemsigtighed, dybdegående sikkerhedstestning og platformskompetence.

Ved at køre dette scorecard i samarbejde med indkøbs-, juridiske, sikkerheds- og forretningssponsorer får I et fælles sprog til at forklare, hvorfor én MSP repræsenterer en bedre samlet risikomatch, selv hvor kommercielle termer synes ens. Registrering af de underliggende svar, scorer og begrundelser i jeres ISMS – i stedet for blot i et slideshow – betyder, at I kan genbruge og opdatere vurderingen ved fornyelse og under revisioner i stedet for at genopbygge begrundelsen fra hukommelsen, hver gang nogen spørger: "Hvorfor valgte vi denne udbyder?".

Hvordan kan et MSP-scorecard forblive nyttigt på tværs af forskellige standarder og regioner?

Et godt scorecard fokuserer på adfærd og sikringsmekanismer, som flere standarder og regulatorer er interesserede i, ikke kun ISO 27001-papirarbejdet:

Du kan anvende den samme kernemodel på MSP'er, der også støtter ordninger som f.eks. PCI DSS, SOC 2, NIS 2 eller DORA, fordi du vurderer, hvordan de afgrænser tjenester, implementerer og tester kontroller, administrerer leverandører og kommunikerer risici.
Bestyrelser og tilsynsmyndigheder ser en ensartet, sammenligneligt billede af tredjepartsrisiko på tværs af sikkerhed, kontinuitet og privatliv, snarere end et kludetæppe af forskellige spørgeskemaer for hvert framework.
Dit integrerede styringssystem i bilag L giver en gentagelig måde at håndtere eksterne problemstillinger og interesserede parter i henhold til paragraf 4 på, uanset hvilke specifikke standarder der er gældende på et givet tidspunkt.

Efterhånden som du akkumulerer resultater, bliver scorecardet et levende referencepunkt. Du kan forfine spørgsmål, justere vægte, når regler eller virksomhedens risikovillighed ændrer sig, og opbygge interne benchmarks, der gør hver ny MSP-vurdering hurtigere, mere ensartet og lettere at forsvare over for ledende interessenter.

Hvornår giver det mening at flytte MSP-tilsyn til en fælles ISMS-platform i stedet for at leve i e-mails og regneark?

Det giver mening at flytte MSP-tilsyn til en fælles ISMS-platform, når dit team gentagne gange jagter de samme ISO 27001-oplysninger fra flere strategiske leverandører, kæmper med at holde beviser og kortlægninger opdaterede på tværs af dokumenter og finder det svært at præsentere et sammenhængende billede af tredjepartsrisiko for din ledelse eller revisorer.

Hvilke praktiske gevinster kan vi forvente ved at administrere MSP'er inden for en fælles ISMS-platform?

At starte med en eller to administrerede tjenester med stor effekt kan hurtigt vise, om denne model fungerer for dig:

Samordnede kontrolstrukturer: – dine ISO 27001-spørgsmålssæt, servicespecifikke kontrolmatricer i bilag A:2022, ansvarsfordelinger og risikoregistreringer samles i ét miljø, som både dit team og MSP'en kan tilgå under kontrollerede tilladelser.
Levende, centrale beviser: – interne og eksterne revisionsresuméer, penetrationstestrapporter, sårbarhedsmålinger og leverandørvurderinger kan linkes direkte til de kontroller, risici og tjenester, de understøtter, så du kan svare på "vis mig"-anmodninger uden at søge i mapper.
Én kilde til flere målgrupper: – den samme strukturerede information understøtter bestyrelsespakker, opdateringer fra risikoudvalg, svar fra kundernes due diligence og certificeringsrevisioner, uden at MSP'en skal bede om de samme data i flere forskellige formater.
Hurtigere vurderinger og fornyelser: – Når du kan se omfang, kontroldækning, evidens og scorecardresultater side om side i dit ISMS, bliver sammenligning af udbydere og begrundelse af fornyelser mindre af en ad hoc-regnearksøvelse.

Et fornuftigt første skridt er at vælge en tjeneste, der er vigtig for din virksomhed – såsom administreret sikkerhedsovervågning eller en central cloudplatform – oprette en simpel, ISO-tilpasset struktur for den pågældende tjeneste i et værktøj som ISMS.online og invitere MSP'en til at bidrage med dokumentation og forbedringer der. Hvis du efter et kvartal kan guide din bestyrelse, revisionsudvalg eller større kunder gennem den fælles visning uden at skulle lede efter dokumenter i sidste øjeblik, har du stærke beviser for, at det vil betale sig at udvide tilgangen til andre MSP'er. Samtidig modnes dit eget ISMS eller Annex L-integrerede system, fordi tredjepartstilsyn bliver en del af den rutinemæssige styring snarere end en årlig papirjagt.

De mest populære ISO 27001-spørgsmål, som virksomhedssikkerhedsteams stiller MSPS'er