Kan du bevise og kontrollere tredjeparts fjernadgang – eller er du åben for overraskelser fra myndighederne?
Din informationssikkerhed er kun så stærk som dit svageste led, og det led sidder ofte i din forsyningskæde. I det øjeblik en leverandør får uovervåget adgang, risikerer din revisionshistorie at falde fra hinanden, og måneders compliance-indsats er pludselig overladt til en regulators spørgsmål, du ikke kan besvare. Under NIS 2 er barren flyttet afgørende: bestyrelser, C-niveauer og revisorer forventer ikke kun politikker, men levende, beviselig kontrol-med leverandør-, entreprenør- og fjernsupportmuligheder låst ned, overvåget, håndhævet ved udløb og klar til revision (ENISA 2024).
Når tredjepartsadgang ikke spores, bliver tidligere overholdelse af regler hurtigt en fremtidig risiko.
Inde i ISMS.online:
Leverandørregisterets dashboard kortlægger visuelt hver leverandørs adgangsrettigheder, godkendelser, udløbsdatoer og anmelderafstamning i realtid. Du får opdateret, filtrerbar adgangsindsigt på tværs af forretningsenheder, leverandørtyper og risikoniveauer – som øjeblikkeligt kan eksporteres til gennemgang af bestyrelsen eller tilsynsmyndighederne.
Fra regneark til live, operationel bevisførelse
Æraen med statiske lister, ad hoc-e-mails og "han husker nok at fjerne den servicekonto" er forbi. Regulatorer ønsker ikke løfter – de kræver beviselige revisionskæderHvem fik adgang, til hvilket formål, hvornår den udløber, og hvem der har underskrevet hvert trin. ISMS.online automatiserer onboarding af leverandører, eskaleringsgodkendelser, udløbscyklusser og håndhævbar offboarding; hver konto stemples, spores og kan eksporteres som bevismateriale med et klik (ISMS.online Supply Chain Management). Ikke mere gætværk, ikke mere oprydning efter mistede afgange, intet mere håb som strategi.
Proaktiv risikostyring - Klar til revision, hver dag
Moderne IAM skal spore mere end blot "hvilket system". Du har brug for, for hver tredjepart:
- Kontotype og rolle
- Tilsigtet forretningsmæssig anvendelse og begrundelse
- Ejer/anmelder
- Adgangsvarighed med udløbstimer
- Godkendelsesstatus og afhjælper
- Fuldstændig lukning og offboarding-rekord
ISMS.online sporer og logger automatisk disse elementer for hver leverandørkonto. Denne tilgang er fuldt ud i overensstemmelse med ENISA-, ISACA- og NIS 2-forventningerne – og transformerer risiko i forsyningskæden fra efterfølgende respons til kontinuerlig, kontrolleret og demonstreret (ISACA 2024; Advisory Reg. 2024/2690).
Just-in-Time, ikke Just-in-Case: Midlertidige privilegier udført korrekt
Tidsbegrænset, sessionsbaseret adgang reducerer i høj grad angrebsfladen. Med ISMS.online er enhver midlertidig eller privilegeret adgang eksplicit begrænset, enhver handling er knyttet til ansvarsområder, og lukningstriggere håndhæves (begrundelse pr. session erstatter generel godkendelse for altid). Du står tilbage med et system, der kan modstå de "vis mig, fortæl mig ikke", som kontroludvalg i stigende grad forventer (ISMS.online bilag A 5-18 tjekliste).
Book en demoEr jeres adgangskontroller i hele livscyklussen faktisk ensartede – og lukkes huller i realtid?
De fleste brud starter ikke med en fejlkonfiguration af firewallen – de sker gennem manglende fjernelse af medarbejdere, der har forladt virksomheden, ukoordinerede rolleændringer og skyggeadministratorrettigheder, der stille og roligt undgår tilsyn. I NIS 2 og ENISA's ordning efter 2024 forventer tilsynsmyndighederne, at adgangsrettigheder ikke kun tildeles, men aktivt gennemgås, vedligeholdes og fjernes med klarhed i revisionen på tværs af arbejdsstyrken, kontingentmedarbejdere og aktører i forsyningskæden (ENISA Access Control Guidance).
Et enkelt forældreløst privilegium i dag er alt, hvad en angriber eller revisor behøver for at svække dit omdømme i morgen.
ISMS.online i aktion:
Fra onboarding til rolleopdatering til offboarding kortlægges hver bruger- og leverandørrejse i realtidsdashboards – der markerer forsinkede gennemgange, ventende opgaver og forsinkede opsigelser, integreret med HR- og IT-spor for fuld synlighed.
Kvartalsvise evalueringer: Ikke-forhandlingsbare, eskaleringsdrevne
Kvartalsvis gennemgang af adgangsrettigheder er nu den Udgangspunktet for compliance, ikke en nice-to-have. ISMS.online udløser påmindelser til ansvarlige linjer, markerer forsinkede gennemgange, eskalerer uadresserede risici og vedhæfter dokumentation for gennemgang ved hver godkendelse (ISMS.online, A5-18 tjekliste). Ansvarsbaseret eller projektdrevet adgang er direkte knyttet til onboarding-milepæle og offboarding-udløsere, så intet (og ingen) overses. Revisorer og bestyrelser forventer en levende log, der beviser, at sandheder fra livscyklussen - gårsdagens regneark - bliver øjeblikkelige historiske risici.
Ejerskab, formål og udløb - en model uden undskyldninger
Hvert privilegium og hver konto skal være aktivt ejet, klart begrundet og tidsbundet. Med ISMS.online bliver konti, der mangler en navngiven ejer, korrekturlæser, udløbsdato eller aktuel begrundelse, automatisk markeret og dirigeret til afhjælpning. Tildelinger af fagfællebedømmelse, forsinkede advarsler og direkte kortlægning til SoA-poster sikrer, at risikoen ikke blot observeres, men kontrolleres. Hvert overset trin er ikke et skjult hul, men et synligt, tildelbart og lukbart element.
De rigtige eskaleringer til de rigtige personer
Støj er fjenden af realtidsrespons. ISMS.online eskalerer kun meningsfulde undtagelser – forsinkede gennemgange, forældreløse konti, ureviderede privilegier – med målrettede notifikationer. Interessenter ser præcis, hvad der betyder noget, når det betyder noget. Dashboards afdækker afvigelser, forsinkede handlinger og risikoprioriterede opgaver.
Klausulbevidst, direkte eksport - aldrig "fart vild i labyrinten"
Enhver handling – onboarding, ændring, offboarding, godkendelse, gennemgang – knyttes direkte til NIS 2-artikler, ISO 27001:2022-kontroller og spores i SoA med direkte revisionsberedskab (ISMS.online-funktioner). Ikke mere fragmenteret bevismateriale; ikke mere tvetydighed om, hvem der er ansvarlig.
Mestre NIS 2 uden regnearkkaos
Centraliser risici, hændelser, leverandører og bevismateriale på én ren platform.
Overholder I rent faktisk ISO 27001 – og hvor er hullerne for NIS 2?
ISO 27001:2022-certificering ses ofte som en "guldstandard", men bestyrelser og CISO'er lærer på den hårde måde, at det ikke er nok at sætte kryds i ISO'ens felter for at overholde NIS 2. Tillid til myndigheder kræver nu kortlægning ikke kun af praksis, men også levende beviser af hver operationel, teknisk og leverandørsidekontrol - så revisorer og bestyrelser kan se, hvor ISO-dækningen slutter, og forsyningskædens robusthed under NIS 2 begynder (ENISA, NIS2-ISO Crosswalk).
Tillid er ikke et certifikat; det er evnen til at vise vejen fra politik til afslutning, og ethvert åbent hul derimellem.
ISMS.online Visuel:
Ændringssporingen i erklæringen om anvendelighed (SoA) viser alle ændringer – efter person, dato, klausul, linjepost og korrekturlæser – med direkte eksport, der viser, hvordan politikken tilpasser sig hver risiko eller lovgivningsmæssig opdatering.
ISO-NIS 2-broen: Betjeningselementer, der rent faktisk betyder noget
Bilag A-kontroller - der dækker adgang (A.5.15), identitet (A.5.16), godkendelse (A.5.17), rettigheder (A.5.18) og Privilegeret adgang (A.8.2) - fastsætter minimumsstandarder. ISMS.online gør disse kontroller levende ved dynamisk at håndhæve evalueringer, undtagelser, udløbsdatoer og dokumentationsvedhæftninger. Når revisionstiden kommer, gennemgår man virkelige artefakter - ikke teoretiske dokumenter eller slides.
Ud over GRC og IAM “Gapware”
Generiske værktøjer opbygger ofte siloer, hvilket efterlader huller mellem HR-, IT- og leverandørstyringsprocesser. ISMS.online forbinder hver handling, gennemgang og eskalering – fra onboarding til offboarding – med live kontrolkortlægning og revisionslogning (ISMS.online Audit Management). Ingen handling er usynlig, og hver lukning kan bevises, kortlægges og er klar til den næste revision, bestyrelsens risikoudvalg eller hændelsesgennemgang.
Evidensdashboards: Slutningen på "Excel-æraen"
Living control dashboards redigerer, logger og forbinder risikoaccepter og undtagelsesbehandling – og demonstrerer ikke kun, at du har skrevet en politik, men også at du har udført den, lukket den og lært af den. ISMS.online sætter dig i stand til at reagere på sekunder, ikke dage, når tilsynsmyndigheden (eller bestyrelsen) spørger om en specifik adgangshændelse.
Er din MFA, privilegiumsgennemgang og leverandørkontrol en baseline – eller et brud, der venter på at ske?
Dagens benchmarks sættes af angribere, revisorer og cyberforsikring. Multi-faktor autentificering (MFA) er ikke længere et "køreplan"-element; det er en plads på bordet for alle med privilegeret, fjernadgang eller tredjepartsadgang. Uudløbne eller forældreløse legitimationsoplysninger, manglende kontekst eller begrundelse og udskudte rettighedsgennemgange er ikke "undtagelser" - de er advarselslamper for både regulatorer og partnere (ENISA MFA-praksis).
Revisionsvenlig betyder nu: enhver undtagelse er tidsstemplet, begrundet og hurtigt lukket. Undskyldninger er også beviser - og det samme er deres fravær.
ISMS.online Visuel:
Privilegieeskaleringsdashboardet afslører ikke kun forskydninger i legitimationsoplysninger og deprovisionering, men også manglende MFA, opadgående privilegieskift og afhjælpende flaskehalse, med rettelser og årsager kortlagt pr. bruger, leverandør eller proces.
MFA: Fra valgfri til uundgåelig
ISMS.online leverer direkte bevis for håndhævelse af MFA - flagning af ikke-kompatible legitimationsoplysninger, logføring af undtagelser og sikring af, at hver afvigelse er berettiget, tidsstemplet og gennemgået. MFA-mangler er ikke længere skjulte; de belyses, forklares og korrigeres - eller udelukkes, ikke undskyldes.
Privilegieanmeldelser: Altid tændt, aldrig årlig
Løbende gennemgang af privilegier er en baseline for både ISO og NIS 2. ISMS.online orkestrerer rullende gennemgange med tidsbaseret udløb, godkendelser fra kolleger og ledere samt automatiserede tilbagekaldelser, hvor det er nødvendigt (ISMS.online, Supply Chain Management). Manglende gennemgange dirigeres til handlingsrettet hændelseshåndtering, og hver privilegeret konto er forbundet til en levende begrundelse.
Leverandørkonti: Al dokumentation samlet ét sted
Ingen leverandørkonto bør eksistere utildelt, ukontraktlig eller uudløbet. ISMS.online sikrer, at konti ejes, berettiges, kontraktligt indgås og offboardes på en revisionsregistreret tidslinje (ENISA NIS 2 Implementering), hvor alle artefakter er struktureret til verifikation af revisorer og korrekturlæsere.
Støjfri, præcisionsadvarsler
For mange notifikationer maskerer signalet. ISMS.online målretter kun den rette afhjælpningsejer med alarmer for forsinkede, højrisiko- eller ekstraordinære handlinger. Resten logges stille og roligt, klar til gennemgang – så din compliance-historie forbliver uafbrudt, og dit team kan fokusere.
Vær NIS 2-klar fra dag ét
Start med et gennemprøvet arbejdsområde og skabeloner – bare skræddersy, tildel og gå i gang.
Er dine revisionsspor, arbejdsgangslogge og øjebliksbilleder regulatorsikre?
Når din bestyrelse, tilsynsmyndighed eller en ekstern revisor beder om en samlet log over kontogodkendelser, adgangsgennemgange, undtagelser og lukninger, kan dit team så levere den på få sekunder – eller skal I skynde jer at lappe huller efterladt af usynlige e-mails og usporede overdragelser? ISMS.online leverer en fuldt filtrerbar, eksporterbar hændelseskæde efter rolle, hændelse eller anmelder, der sporer hver onboarding, privilegiumstildeling, undtagelse og lukning.
I en revision er et hul i bevismaterialet i sig selv bevismateriale. Enten er research-processen fuldstændig – eller den er registreret som ufuldstændig.
ISMS.online Visuel:
Rolle- og hændelsesfokuserede workflow-logfiler garanterer, at hver godkendelse, eskalering, undtagelse og lukning er knyttet til hændelse, risiko, ejer og kontrolleret – klar til øjeblikkelig eksport.
Eskalering efter præcision, ikke volumen
Eskalering er en skalpel, ikke en forhammer. ISMS.online identificerer forældede eller forsinkede handlinger og sender dem direkte til den ansvarlige leder eller CISO, samtidig med at der opretholdes et komplett spor til ledelsens gennemgang. Dette forvandler compliance fra et rodet indbakkeproblem til en altid forbedrende, altid auditerbar proces.
Sikringssikre, eksporterbare revisionskæder
Enhver rolleændring, lukning og hændelse dokumenteres, vedhæftes og kan eksporteres til bestyrelses-, revisions- eller regulatorisk brug. Du kan aflevere en enkelt pakke med fuld SoA-tilknytning, rolleændringsspor og lukningsoptegnelser – ingen jagt nødvendig.
Fra undtagelser til kontinuerlig forbedring
Undtagelser bliver til sporede afslutningsartefakter, hvor beviser og kommentarer afspejles i løbende ledelseslogfiler. Over tid bidrager disse til klausul 9 (ISO 27001) og løbende forbedringscyklusser – hvilket forvandler nutidens mangler til morgendagens robuste kontrol (ISMS.online Audit Management).
Lukker du huller – og opbygger modstandsdygtighed på bestyrelsesniveau – hver dag?
Sikkerhed opbygges ikke årligt – det er dagligt, trinvis og synligt. De mest skadelige huller fremstår ikke som større hændelser, men som undtagelser, der forbliver uløste i uger eller måneder. Modstandsdygtighed skabes i disciplinen med at afslutte alle tiltrædelses-, flytte-, afgangs- og leverandøranmeldelser; logge handlingen; afdække undtagelser; og give daglige øjebliksbilleder til ledere.
Ikke-lukkede undtagelser er kontrollerede brande - til sidst tjekker nogen for røg.
ISMS.online Visuel:
Exception Queue Dashboard forbinder alle åbne handlinger efter ejer, risikoniveau, hændelsestype og afhjælpningsstatus – med direkte visning i ledelsens gennemgangslogge og SIEM-rapportering på bestyrelsesniveau.
Sikkerhed på tværs af jurisdiktioner, ikke kun kontroller
Fra globale bestyrelser til sektorspecifikke risikoudvalg betyder sikring nu mere end kontrollister – det betyder dashboards, der samler undtagelser, åbne gennemgange og afhjælpning på tværs af alle driftsområder (ISMS.online-funktioner). Din bestyrelse ser reelle fremskridt og hvordan undtagelser håndteres, ikke kun hvilke kontroller du har skrevet.
Dokumentering af afslutning, fremme af forbedringer
Enhver afslutning, vedhæftning og opfølgningsnotat bliver en del af en løbende, eksporterbar ledelsesevaluering. Klausul 9 i ISO 27001 - og moderne NIS 2-styring - kræver, at forbedringer ikke blot er planlagte, men dokumenterede og beviselige. ISMS.online bringer dette til overfladen og afstemmer det operationelle arbejde med kontinuerlig læring og proceshærdning.
Compliance handler ikke om, hvor få huller du har; det handler om, hvor godt du lukker, lærer og beviser hver lukning.
Alle dine NIS 2, samlet ét sted
Fra artikel 20-23 til revisionsplaner – kør og bevis overholdelse af regler fra ende til anden.
Hvordan forbinder man forventninger, evidens og revision med operationelle tabeller og sporbarhedskort?
Revisorer og bestyrelser husker ikke jeres politikker – de stoler på jeres evne til at vise, hvorfor hver risiko blev kontrolleret, hvem der handlede, hvilken kontrol der blev påberåbt, og hvilken dokumentation der blev fremlagt. ISMS.online giver dig sporbarhed lige ved hånden og bygger bro over forventninger, operationalisering og bevis i klare, handlingsrettede tabeller for alle interessenter.
ISO 27001 Kontrolbro-tabel
| Forventning | Hvordan det operationaliseres i ISMS.online | ISO 27001 / Bilag A Ref. |
|---|---|---|
| Godkendt adgang for tredjepart, tidsbegrænset | Leverandørregister + godkendelseslogfiler med udløbsdatoer | A.5.20, A.5.21 |
| Al adgang gennemgås kvartalsvis | Automatiserede gennemgangscyklusser, tildeling af gennemgang, udløsere | A.5.18, A.8.2 |
| Forældreløse konti hurtigt deprovisioneret | Offboarding-udløsere, eskaleringsadvarsler | A.5.11, A.8.2 |
| Undtagelser dokumenteret med beviser | Undtagelsesregister, SoA-kommentarspor, vedhæftede filer | A.5.26 |
| Godkendelser/ændringshandlinger kan spores | SoA-redigeringslogfiler, dashboardhistorik, eksportpakker | 7.5.3, A.5.10, A.5.35 |
Sporbarhedsminibord
| Udløser | Risikoopdatering | Kontrol-/SoA-link | Beviser registreret |
|---|---|---|---|
| Offboarding startet | Risiko for leverandørkonto markeret | A.5.11 | Offboarding-log, tidsstempel, lukningfil |
| Kvartalsvis gennemgang | Forældreløs adgang markeret, lukket | A.5.18 | Anmeldelsespost, anmeldernavn |
| Leverandørens private anmodning | Nyt privilegium, udløb håndhævet | A.5.20, A.5.21 | Godkendelseslog, udløbssporing |
| Undtagelse ved revision | Afhjælpning og afslutning sporet | A.5.26 | Undtagelsesregister, afslutningsnotat |
| MFA-drift registreret | Privilegiumsrisiko eskalerede | A.8.2 | MFA-hændelseslog, hændelsesadvarsel |
Hver række her er knyttet til eksporterbare artefakter i ISMS.online – klar til reel revision, ikke teori.
For CISO'er, databeskyttelsesansvarlige og IT-teams: ISMS.online bygger bro mellem forventning og virkelighed
Du bliver ikke bedømt på, hvad du siger, men på den historie, dine beviser fortæller – i bestyrelsen, under en revision eller under regulatorisk beskydning. For CISO'en handler det om bestyrelsens tillid og evnen til at sove om natten. For databeskyttelsesansvarlige handler det om at gå ind i revisionen med forsvarlighed, ikke undskyldning. For IT og sikkerhed handler det om at bryde ud af regnearksfælder for at blive anerkendt som den virkelige compliance-helt.
ISMS.online er motoren, der forbinder kontroller, godkendelser, leverandørregistre, privilegieevalueringer og ledelsesevalueringslogfiler – alt sammen i ét enkelt, levende system. Aftalblokeringer (Kickstarter)? Løst. Modstandsdygtighed på bestyrelsesniveau (CISO)? Leveret. Forsvarsevne overfor regulatorer (privatliv/juridisk)? Dokumenteret. Daglig trummerum og anerkendelse (IT)? Nu understøttet.
ISMS.online Visuel:
Eksportklar, rollespecifik snapshot-board eller revisionspakke på få minutter, ikke timer. Realtids SoA/Anneks A-kortlægning; gennemgang af leverandøradgang; logfiler for gennemgang af privilegier; og spor for lukning af undtagelser, alt sammen filtrerbart og klar til brug efter behov.
Modstandsdygtighed opbygges i disciplinen med at lukke huller dagligt - ikke i at kappes om kap ved kvartalets afslutning for at bevise, hvad man måske havde gjort.
Uanset hvor du sidder – i direktionen, juraen, IT – er tiden for upræcision og passivitet forbi. Compliance, risiko og beviser er nu samlet på samme sted, altid klar. Det er forskellen på frygt for regulatorer og sikkerhed på bestyrelsesniveau.
Start med ISMS.online:
- CISO: "Flyt dit dashboard til midtpunktet ved bestyrelsesbordet."
- Persondataansvarlig: "Forsvarsevne på forespørgsel - hvor som helst, når som helst."
- IT/sikkerhedsmedarbejder: "Timer genvundet, friktion elimineret, revisioner bestået."
Klar til at lede med levende modstandsdygtighed?
Ofte Stillede Spørgsmål
Hvem er ansvarlig for leverandør- og fjernadgangskontrol i henhold til NIS 2 og ISO 27001?
Ansvarligheden for leverandør- og fjernadgangskontrol ligger nu hos en navngiven, tværfunktionel forretningskæde – ikke kun IT – i henhold til NIS 2 artikel 21 og ISO 27001:2022 (bilag A.5.20/A.5.21). Du skal dokumentere præcis, hvem der er ansvarlig for at godkende, overvåge og tilbagekalde hver leverandør-, leverandør- eller fjernadgangskonto. Denne forpligtelse strækker sig fra ledende sponsorer og virksomhedsejere (som retfærdiggør og godkender enhver adgang) via IT/sikkerhed (som klargør, overvåger og deaktiverer konti) til HR og indkøb (som forbinder enhver ændring af personale, kontrakter eller leverandører til et levende register over åbne konti).
Et enkelt overset eller "midlertidigt" leverandørlogin er nu en direkte risiko for bestyrelsen og myndighederne – forvent at både revisorer og ledelse kræver en klar begrundelse, udløbsdato og en løbende revisionsspor for hver adgang. Moderne ISMS-platforme som ISMS.online hjælper med at forene registre for leverandørkontrakter, lister over privilegerede kunder og gennemgangslogfiler, så intet slipper mellem revnerne.
Én løs leverandørkonto ses ikke længere som en mindre teknisk fejl; det er en organisatorisk ledelsesfejl i myndighedernes og revisorernes øjne.
Rollebaseret ansvarlighedskort
| roller | forpligtelser | Revisionsbevis |
|---|---|---|
| Virksomhedsejer | Godkender adgang, tildeler begrundelse/udløbsdato | Underskrevne godkendelser, business case, dokumenteret udløb |
| IT/Sikkerhed | Hensættelser/nedlukninger, håndhæver udløb | Kontologge, ændringsanmodninger, fjernelsesoptegnelser |
| HR / Indkøb | Udløser gennemgang/afslutning via kontrakter/HR | Onboarding/offboarding-logfiler, dokumentation for kontraktudløb |
| Overholdelse/revision | Anmeldelser af SoA-kortlægning, lukning af prøver | Gennemgå logfiler, krydsreferencer til SoA, eksport af revisioner |
Hvordan håndhæver ISMS.online lukket adgangskontrol i livscyklussen for alle konti – inklusive leverandører?
ISMS.online leverer adgangskontrol ved at behandle alle tiltrædelses-, flytte-, afgangs- og leverandørkontoer som en administreret, gennemgåelig begivenhed, der spænder over hele dens livscyklus. Fra oprettelse af konto, over ændringer af adgangsrettigheder, til tilbagekaldelse ved kontrakt- eller ansættelsesophør, er hver handling:
- Tildelt en navngiven ejer: i realtid, med eksplicitte udløbs- eller gennemgangskontroller indbygget, ikke implicitte eller "indstil og glem".
- Forbundet med HR- og indkøbsarrangementer: Onboarding, offboarding og kontraktgennemgange driver nu adgangsprovisionering og -deprovisionering, hvilket eliminerer forældreløse eller skyggekonti.
- Drevet af live-påmindelser og automatisk eskalering: Kvartalsvise (eller hyppigere) evalueringer giver den ansvarlige virksomhedsejer direkte besked – ikke fortabet i generiske indbakker – med synlige spor, hvis en deadline overskrides.
- Logget med tidsstemplet bevismateriale: Enhver godkendelse, undtagelse og lukning er knyttet til SoA-kontroller og klar til revisorinspektion.
Resultatet er en kontinuerlig, levende kæde af beviser. For enhver konto kan du hurtigt spore dens oprettelse, ejer, forretningsmæssige rationale, godkendelse, gennemgangsstatus og deaktivering. Visuelle dashboards fremhæver forsinkede eller åbne poster efter rolle, leverandør eller afdeling.
Ingen adgangshændelse forsvinder bare i indbakken: hver godkendelse og lukning bliver synlig, ejerskabsbeskyttet og klar til revision.
ISMS.online livscyklusfunktioner
- Navngiven ejer og udløbsdato for hver konto (medarbejder eller leverandør)
- Automatiserede gennemgange og påmindelser, med indbygget eskalering
- Dedikerede logfiler til alle onboarding-, ændrings- og offboarding-processer
- Dashboard-drilldown: se dokumentation for afslutning efter risiko, rolle eller kontrol
Hvilke ISO 27001:2022-kontroller kræver aktiv operationalisering - og hvad kræver NIS 2 af dokumentation?
NIS 2- og moderne ISO 27001-revisioner forventer bevis for, at politikkerne ikke blot er aktuelle, men at alle nødvendige kontroller er operationelle og dokumenterede:
| kontrol | Hvad der skal ske i virkeligheden | Tilfredsstillende revisionsbeviser |
|---|---|---|
| **A.5.15 Adgangspolitik** | Gennemgået, opdateret, aktivt godkendt | Signeret politik, versionskontrol, SoA-tilknytning |
| **A.5.16 Identitetsstyring** | Al adgang knyttet til HR/leverandørhandlinger | Logfiler for oprettelse/lukning af konto, onboarding-optegnelser |
| **A.5.18 Adgangsrettigheder** | Gennemgang mindst kvartalsvis, med godkendelse | Anmelderlogge, tilbagekaldelses- og undtagelseslogge |
| **A.8.2 Privilegeret adgang** | Intet privilegium forbliver uejet eller uigennemgået | Opgavebeviser, lukninghistorik |
| **A.8.5 MFA** | MFA håndhævet, undtagelser sporet/afhjulpet | MFA-statuslogfiler, spor til afhjælpning af undtagelser |
| **A.5.20/21 Leverandørstyring** | Leverandøradgang tidsbegrænset og kontraktbundet | Leverandørregister, links til kontraktudløb |
Revisorer vil kræve:
- Godkendelseskæder, der viser, hvem der ejer hver adgang og leverandørrelation
- Workflow-eksporter, der viser onboarding, ændringer, offboarding og lukning, der er knyttet til SoA
- Logfiler over undtagelser (f.eks. ældre MFA) og dokumentation for afhjælpning eller risikoaccept
ISMS.online samler disse i evidenspakker – hvilket eliminerer manuelle søgninger i sidste øjeblik og risikoen for "headless regneark".
Overblik: Kontrolsporingstabel
| Aktivitet | Nødvendige beviser | Bilag A-reference |
|---|---|---|
| Leverandørkonto oprettet | Underskrevet godkendelse, udløbsdato indstillet | A.5.20/21 |
| Ændring af privilegier | Anmeldergodkendelse, afslutningslog | A.8.2, A.5.18 |
| Konto fjernet | Offboarding-beviser, SoA-link | A.5.16, A.5.18 |
| MFA konfigureret | MFA-håndhævelse og undtagelser | A.8.5 |
Hvor opstår der typisk huller i MFA og privilegiestyring – og hvad gør kontrol beviselig?
Almindelige fejltrin – og udløsere for revision – omfatter nu:
- Huller i ældre/MFA-aftaler: Gamle systemer, hvor MFA eller logføring ikke håndhæves. Revisorer vil kigge efter undtagelseslogfiler, kompenserende kontrollerog bevis for afhjælpning - ikke blot en fraskrivelse af politikken.
- Privilegeret forældreløshed: Midlertidige konti eller konti med høje privilegier (oprettet til tredjepartssupport eller efter hastehændelser) overlever ofte deres behov, medmindre deres udløb, gennemgang og lukning håndhæves og dokumenteres.
- Forsinkede anmeldelser: Årlig er ikke længere nok. Kvartalsvise eller begivenhedsbaserede evalueringscyklusser med eskalering og dokumenterede resultater forventes nu – selv en enkelt misset evaluering kan blive en konklusion.
ISMS.online centraliserer og automatiserer undtagelses- og afhjælpningslogfiler for MFA og privilegieskift. Alle privilegier, leverandører eller administratorkontoer er synlige efter ejer, udløb og gennemgangsstatus med handlingshistorik. revisionsspor.
Privilegier uden ejer-, udløbs- og lukningsbevis er et brud på ventetiden - revisorer ønsker bevis i realtid, ellers eskalerer de risikoen.
Tabel: Typiske fejl og ISMS.online-afhjælpning
| Mellemrum opdaget | Påkrævet svar | ISMS.online Bevisudgang |
|---|---|---|
| Hul i den ældre MFA | Undtagelse med reparationsplan | Undtagelseslog, tidsstempel for afhjælpning |
| Forældreløse privilegier | Håndhæv lukning/tilbagekaldelse | Offboarding-rapport, godkendelse af lukning |
| Leverandørens overskridelse | Synkronisering af kontraktudløb | Registreringsindtastning, dokumentation for lukning |
| Gennemgang af forfaldne privilegier | Automatiseret eskalering | Advarselslog, korrekturlæsergodkendelse |
Hvordan genererer du sporbarhed fra hver adgangsudløser til risici og kontroller, der forbinder lukninger?
Regulatorer, revisorer og ledelse forventer i stigende grad sporbarhed i realtid, ikke statiske artefaktbundter. ISMS.online muliggør end-to-end-kortlægning fra hver udløser (f.eks. ansættelses- eller kontraktafslutning, planlagt gennemgang, MFA-drift) gennem identificeret risiko og kontrol til bevis for afslutning:
| Udløser/hændelse | Risiko opdaget | SoA / ISO-reference | Bevis eksporteret |
|---|---|---|---|
| Medarbejder, der forlader personalet | Konto til forældreløs leverandør | A.5.18, A.5.21 | Lukningsdokument, udløbslog |
| Kvartalsvis gennemgang | Mistet privilegietjek | A.8.2, A.5.18 | Anmeldergodkendelse, tidsstempler |
| MFA-undtagelse | Politikforskydning | A.8.5 | Undtagelses-/gennemgangslogfiler |
| Leverandørkontrakt udløber | Ubundet adgang | A.5.20, A.5.21 | Registerforbindelse, tilbagekaldelse |
Dashboards giver ledere, revisorer eller bestyrelsen mulighed for at følge ethvert problem fra åben risiko til godkendelse, lukning og SoA-kortlægning – ofte med et enkelt klik. Det, der engang var et artefakt-samarbejde, bliver nu til kontinuerlig, levende compliance ((https://da.isms.online/iso-27001/checklist/annex-a-5-18-checklist)).
Hvilke næste skridt garanterer modstandsdygtighed, revisionsberedskab og fortsat tillid i bestyrelsen?
- Planlæg en gennemgang: Se, hvordan hver kontrol, gennemgang og afslutning er direkte knyttet til både ISO 27001 Anneks A og NIS 2-krav in beviser i realtid eksport
- Tildel navngivne korrekturlæsere til hvert adgangspunkt, privilegium og leverandørkonto, og håndhæv kvartalsvise evalueringer med indbygget eskalering.
- Tilpas din SoA og politikkortlægning, så hver ny kontrakt, onboarding eller undtagelse automatisk linkes til dens underliggende evidensbase.
- Brug dashboards til at overvåge åben adgang, privilegier eller leverandørelementer – udbedr før revision, ikke efter
- Skift fra årlig compliance med "afkrydsningsfelter" til en levende, transparent løkke - hvor din organisation beviser sin modstandsdygtighed og bestyrelsestillid hver dag, ikke kun under revisionen
En robust organisation er klar til den næste revision når som helst – og beviser sit værd over for bestyrelsen med beviser, ikke anekdoter.
ISMS.online er betroet af førende organisationer i hele Europa til at overholde reglerne. Dine leverandør-, adgangs- og privilegiekontroller er dokumenterede, lukkede og altid klar til at sikre tillid og robusthed, som altid er i drift.
