Hvordan går håndtering af aktiver i henhold til NIS 2 artikel 12.2 og ISO 27001 ud over en simpel liste?
I dagens compliance-landskab handler "håndtering af aktiver" ikke længere om at sætte kryds på en liste over hardware. Det er det levende bindevæv i din organisations risikoprofil. I henhold til NIS 2 artikel 12.2 og ISO/IEC 27001:2022 (især A.5.9, A.5.10, A.7.10) defineres håndtering af aktiver som et samlet, opdateret regime, der spænder over hardware, data, SaaS, cloudplatforme, driftsteknologi og ældre systemer. Moderne regulatorer - ENISA, nationale myndigheder og certificeringsorganer - kræver nu dokumentation for, at hvert aktiv ikke bare er opført, men klassificeret, tildelt en ansvarlig ejer, knyttet til dets politiske miljø, sporet gennem hver livscyklushændelse og knyttet til realtidsdata. risikoregisters.
Risikoen er ikke, hvad du sporer, men hvad du ikke sporer. Synlighed er compliance; alt mindre er en belastning.
I modsætning til det gamle paradigme med statiske aktivlister, hvor registreringer blev opdateret kvartalsvis – ofte kun når revisionssæsonen nærmede sig. I dag afhænger compliance af et løbende opdateret register drevet af live-workflows. Hvert aktiv, uanset om det er fysisk eller virtuelt, er direkte knyttet til en ejer og operationelle kontroller, dets status er klar til eksport i realtid og kan filtreres af revisorer med et øjebliks varsel (ENISA-vejledning).
ISMS.online accelererer denne tilgang ved at omdanne håndtering af aktiver til en dynamisk rygrad - der automatisk forbinder indkøb, tildeling, overførsel og afhændelse med godkendelser af politikker, risikovurderingerog dokumentationslogge. Dette lukker blinde vinkler i forbindelse med compliance, reducerer træthed i revisionen og tilbyder en revisionsklar ansvarlighedskæde.
Hvad er de vigtigste huller, der er afsløret af NIS 2, og hvorfor fejler de fleste aktivregistre under revision?
De typiske mangler i arv aktivregisterbliver tydeligt synlige under granskning af NIS 2 og ISO 27001. De fleste afvigelser stammer fra tre vedvarende kilder: uregistrerede "skyggeaktiver", manglende sporbarhed af ejerskab og fragmenterede bevismaterialer.
De reelle risici ved skyggeaktiver og forældreløse aktiver
Uregistrerede SaaS-logins, midlertidige cloud-arbejdsbelastninger, mobile endpoints og forladte backups undgår ofte statiske lister. Moderne angrebsflader ændrer sig dagligt – hvis dit register halter, er du simpelthen ikke opmærksom på eksponeringspunkter. NIS 2 gør det klart: fuldstændighed og aktualitet er ikke "rart at have" – de er ikke til forhandling.
- Skyggeaktiver: Uovervågede SaaS-værktøjer, uafhentet cloud-lagring eller enheder, der udstedes i hast, bliver den "bløde underside" af brud eller mislykkede revisioner.
- Forældreløse poster: Forældet udstyr, glemte databaser eller udløbne virtuelle maskiner bliver ofte hængende i systemet og slører den reelle risiko.
Forskellen mellem en bestået revision og et brud på sikkerheden er ofte en enhed eller et login, som ingen vidste stadig var aktivt. (NCSC Asset Management)
Ejerskab uden tvetydighed
Revisorer og tilsynsmyndigheder insisterer nu på, at alle aktiver har en navngiven, ansvarlig ejer – ingen "fælles" eller generiske tilskrivninger. Manglende ejerskab betyder manglende ansvar; tvetydigheder finder magneter.
Beviser, der overlever granskning
Tjeklister forsvinder under live-forhør. Revisorer ønsker at se digitale underskrifter, rollebaserede godkendelser og tidsstemplede dokumenter. ændringslogge for enhver væsentlig livscyklushændelse – ikke efter kendsgerningen, men on-demand under en gennemgang. Uden disse er kontroller performative, ikke beskyttende.
Mestre NIS 2 uden regnearkkaos
Centraliser risici, hændelser, leverandører og bevismateriale på én ren platform.
Hvordan tester tilsynsmyndigheder og revisorer håndtering af aktiver – og hvilken dokumentation ønsker de?
Når en ekstern revisor eller regulator gennemgår dit ISMS, leder de ikke efter en statisk "opgørelse". De kræver en dynamisk, filtrerbar og fuldt sporbar strøm af aktivhændelser - fra anskaffelse over brug til udfasning. Guldstandarden er hurtig respons i realtid: Du skal kunne afdække ethvert aktivs aktuelle status, ejer, risikoklassificering, livscyklusfase og kontrolforbindelser inden for få sekunder, ikke timer eller dage.
Revisionsbordets indsatser
| Forventning | Operationalisering - Sådan beviser du det | ISO/IEC 27001 / Bilag A Reference |
|---|---|---|
| **Samlet aktivomfang** (hardware, SaaS, data, cloud) | Felter i aktivregisteret: type, klassificering, ejer, risiko | A.5.9, A.5.12, A.5.13 |
| **Ejerskabsforbindelse** | Navn + rolle, knyttet til brug/logfiler, digital signatur | A.5.10, A.5.15, A.7.10 |
| **Fuldstændig bevis** | Tidsstemplede logfiler, sporing af livscyklusændringer, godkendelse af elektroniske signaturer | 7.5.3, A.8.15, A.8.17, 10.1 |
Live “Walkthrough”-udfordringen
- Spor aktivernes status på ethvert tidspunkt i deres livscyklus, med alle policetildelinger, godkendelser og overdragelser digitalt dokumenteret.
- Filtrer efter afdeling, lokation, risikoniveau eller kontrol for at besvare revisorers spørgsmål på få øjeblikke.
- Fremhæv hvilke aktiver, der er forsinkede til gennemgang eller bortskaffelse – hvilket ikke kun viser compliance, men også proaktiv styring.
Hver af disse forventningslinjer skal let udføres under en revision på stedet eller eksternt. I ISMS.online er filtre og eksporter live, og revisionspakker genereres på få minutter - hvilket knytter hvert aktiv til dets kontrolreferencer, linkede beviser og ejerens digitale godkendelse.
Hvordan skal du knytte alle aktiver til kontroller, risiko og beviser – ikke bare spore en liste?
Passiv sporing er en dødvægt: dynamisk aktivstyring forbinder hvert aktiv med dets risikovurdering, gældende politikker, kontrolkrav og rollebaserede godkendelser inden for et samlet ISMS. Dette er afgørende ikke kun for succesfulde revisioner, men også for operationelt forsvar - fordi ufuldstændig kortlægning er lig med uhåndteret risiko.
Real-World Asset Kortlægning i praksis
- Onboarding af et endpoint (f.eks. ny bærbar computer): udløser registreringsdatabaseopdatering, ejertildeling og knytter det til politikker for brug, rettigheder og sikker bortskaffelse. Risikoniveauet indstilles, og ejeren underrettes med henblik på onboarding-træning eller politikgennemgang.
- Tilmelding til SaaS-system: Angiver tildeling af ejer og bruger, registrerer hvilke politikker der gælder, og logger alle eskaleringer eller deprovisioneringer af rettigheder.
- Bevismateriale følger automatisk med – hver redigering, overdragelse til ejer og politikhændelse logges og tidsstemplet, hvilket danner en forsvarlig sporbarhedskæde.
Sporbarhedstabel: Livscyklushændelser til bevis
| Hændelse (udløser) | Opdatering om risiko/kontrol | ISO-kontrol | Beviser registreret |
|---|---|---|---|
| Aktiverhvervelse | Slutpunktsrisiko, ejer | A.5.9, A.5.10 | Registrering + digital signatur |
| Ejerskifte | Adgangsgennemgang/revision | A.5.11, A.5.15, A.7.10 | Godkendergodkendelse, opdaterede adgangslogfiler |
| Sikker bortskaffelse | Risiko for datalækage | A.7.10 | Destruktionsjournal, underskrift |
Disse kortlægninger giver dig mulighed for at svare på "hvem gjorde hvad, hvornår, med hvilket aktiv - under hvilken kontrol og politik" med et øjebliks varsel. Revisorer og bestyrelser øger tilliden, når de ser dette niveau af klarhed.
Et aktiv, der ikke er synkroniseret med sine kontroller, er ikke bare en compliance-risiko – det er en potentiel hændelse, der venter på at ske. (ENISA, 2023)
Vær NIS 2-klar fra dag ét
Start med et gennemprøvet arbejdsområde og skabeloner – bare skræddersy, tildel og gå i gang.
Livscyklusdrevet aktivstyring: Hvilke trin er nødvendige for vugge-til-grav-kontrol?
Livscyklusbaseret aktivstyring er der, hvor aktivhåndtering gør sit til genstand under NIS 2. Hver fase, fra indkøb til endelig afvikling, kræver udløsbare arbejdsgange, rollebaserede tildelinger og loggede godkendelser.
Fra vugge til grav: Hvad der kræves i hvert trin
- Erhvervelse: Aktivet registreres øjeblikkeligt, mærkes med ejer og klassificering, før operationel brug.
- Aktiv brug: Hver overdragelse, eskalering/reduktion af rettigheder eller konfigurationsændring logges. Automatiserede påmindelser sikrer regelmæssig gennemgang.
- Overførsel/tildeling: Ændringer i ejerskabet (herunder afgang af personale eller rolleskift) medfører digitale godkendelser og opdateringer af tilhørende risiko-/anvendelsesfelter.
- Bortskaffelse/pensionering: Logfiler for sikker destruktion eller nedlukning skal vise dobbelt godkendelse og linke til tilsvarende poster for datasletning og tilbagekaldelse af rettigheder.
Med ISMS.online udløser hver livscyklushændelse en tildeling, notifikation og rolleverificeret godkendelse – hvilket efterlader et uudsletteligt, eksporterbart revisionsspor. Aktiver kan aldrig glide ud af systemet uden eksplicit, logget handling.
Livscyklusbevisbro-tabel
| Stage | Obligatorisk trin | Beviser skabt |
|---|---|---|
| udseende | Ejertildeling, klassificering | Brugerregister, købslog, ejerens e-signatur |
| Brug | Politik/hændelseslog, periodisk gennemgang | Gennemgå logfiler, ejeranerkendelser |
| Pensionér/bortskaffe | Dobbelt godkendelse, destruktion underskrevet | Destruktionsregister, sporbarhedsfil |
Hvordan består EU-virksomheder med høj ydeevne stikprøvekontrol fra myndighedernes side for håndtering af aktiver?
Erfarne organisationer bruger deres ISMS til at demonstrere den levende status for aktivforvaltning. Her er hvordan succesfulde EU-virksomheder klarer sig bedre under tilsyn fra myndigheder:
- Live-register med fuld livscykluskortlægning.: Alle aktiver, inklusive cloud og SaaS, er inden for et enkelt, filtrerbart system, der er knyttet til politikker, risikoniveauer og kontroller.
- Chain-of-custody-logfiler kan eksporteres efter behov.: Digitale revisioner forkorter gennemgangstiden; tilsynsmyndigheder ser historik, ikke kun den nuværende tilstand.
- Ledelsesdashboards viser fuldstændigheden af personale, aktiver og kontroller.: Mangler og forsinkelser markeres proaktivt – ikke som overraskelser under revisionen.
Det nemmeste revisionsspørgsmål er det, du kan besvare lige nu – med beviserne ved hånden og knyttet til kontroller.
ISMS.online-superbrugere genererer revisionspakker efter aktivtype, ejer eller kritisk funktion – batch-eksporteret med signaturer og tidslinjer. Disse pakker danner grundlag for at demonstrere overholdelse af regler eller reagere på anmodninger fra registrerede og undersøgelser af brud på lovgivningen.
Alle dine NIS 2, samlet ét sted
Fra artikel 20-23 til revisionsplaner – kør og bevis overholdelse af regler fra ende til anden.
Hvorfor manuelle registre er forældede - og hvordan ISMS.online automatiserer revisionsklar håndtering af aktiver
Skiftet går fra manuelt, regnearksdrevet slid til automatiseret, konstant evidensopbygning. ISMS.online erstatter usammenhængende lister, e-mail-overdragelser og mundtlige godkendelser med en integreret compliance-platform.
Vores automatiseringstilgang
- Importer aktiver fra eksisterende lister eller via API; øjeblikkelig tildeling og nødvendige godkendelser udløses for hver ny post.
- Vigtige livscyklusovergange (problem, rolleændring, bortskaffelse) fremskynder politikgennemgang og opdatering af evidenslog.
- Ejerskab og historik kortlægges fremadrettet for hvert aktiv, hvilket sikrer, at der ikke er skyggeposter, forældreløse data eller datarester.
- Eksportfiltre giver dig mulighed for at pakke bevismateriale til revisorer efter aktivtype, ejer, livscyklusfase eller kontroltilknytning.
Angst for aktivstyring forsvinder, når dit ISMS afdækker alle hændelser, ejere og politikker – ikke flere oversete trin eller besvær under revisionen. (ENISA, 2023)
Personaletimer, der tidligere blev brugt på retrospektiv "oprydning" af aktivregisteret, bliver overskydende til reelle risikoforbedringer – øget driftssikkerhed og beståelsesprocenter for revisioner.
Den revisionsklare compliance-løkke: Gør håndtering af aktiver til dit compliance-fundament
Når din forvaltningsplan passer til regulatorers og revisorers forventninger fra starten – hver enhed, system, SaaS-login og cloudplatform dokumenteres, kortlægges og overholdes som standard. ISMS.online leverer ikke blot et levende register over aktiver, men et kortlagt miljø, hvor kontroller, politikker og digital dokumentation bevæger sig med forretningshastighed.
Moderne compliance betyder at have et live, kortlagt og eksportklart aktivmiljø, der forbinder kontroller, reducerer risiko og lader revisioner blive en formalitet, ikke en brandøvelse.
Forvandl håndtering af aktiver til en tillidsaccelerator: Benchmark din nuværende tilstand, testkør live-eksporter, og se, hvordan ISMS.online lukker huller fra dag ét.
Opret forbindelse nu for en gennemgang af den virkelige verden eller downloadbare skabeloner, der er klar til revision – se din håndtering af aktiver forvandlet til en konkurrencedygtig, varig og revisionsbevist fordel i forbindelse med overholdelse af regler.
Ofte stillede spørgsmål
Hvem fastsætter reglerne for håndtering af aktiver i henhold til NIS 2 artikel 12.2 og ISO 27001, og hvad betyder det i praksis?
Håndtering af aktiver er ikke overladt til fortolkning - det defineres i fællesskab af din regulator under NIS 2 (oftest en national cybersikkerhedsmyndighed) og af det globalt anerkendte ISO/IEC 27001:2022-rammeværk. Denne dobbelte myndighed gør håndtering af aktiver til en obligatorisk, auditerbar disciplin for organisationer på tværs af regulerede sektorer i EU og alle ISO 27001-certificeret virksomhed på verdensplan. Standarden kræver, at du registrerer, klassificerer, tildeler, overvåger og i sidste ende bortskaffer alle informationsaktiver: ikke kun IT-hardware, men også cloud- og SaaS-konti, tredjepartsenheder, proprietær software, forretningskritiske data, medier og endda fysiske dokumenter.
Ægte compliance betyder, at hvert aktiv er synligt, hver ejer ansvarlig, og hver aktivitet - fra onboarding til bortskaffelse - skaber et sporbart, digitalt bevisspor.
Ansvaret deles. Direktører og bestyrelsesmedlemmer (dataejere, IT-chefer) fastsætter styring og politik, men IT/sikkerheds- og forretningsprocesejere skal holde registre opdaterede, hændelser logget og kontroller kortlagt i alle livscyklusfaser. Det betyder, at tilsynsmyndigheder og revisorer forventer, at din organisation demonstrerer en levende system-ikke en statisk liste, men et opdateret, rolletilknyttet register knyttet til politikker og kontroller, klar til eksport og detaljeanalyse i realtid.
Vigtige livscykluskontrolpunkter, der tilsynsmyndighederne forventer:
- Erhvervelse: Intet aktiv sættes i drift uden registrering og navngiven ejer.
- Aktiv brug: Tildeling, adgang og politikbekræftelse logges digitalt.
- Overførsel/bortskaffelse: Enhver bevægelse eller ødelæggelse efterlader en kontrollerbar underskrift med udtrykkelig godkendelse.
- Forældreløse/undtagelser: Ikke-tildelte aktiver opdages hurtigt og risikobehandles – ignoreres aldrig.
Udforsk ENISA's officielle NIS 2-vejledning.
Hvilke aktivtyper er inkluderet, og hvordan opbygger man en kompatibel, evidensklar proces til aktivforvaltning?
Både NIS 2 og ISO 27001 kræver medtagelse af alle aktiver, der kan påvirke informationssikkerhed, uanset format eller teknologi. Det betyder, at din proces rækker langt ud over bærbare computere eller servere – den dækker SaaS, cloud-konti, eksterne/brugerenheder, tredjepartsaktiver, kodebaser, driftsdata, papir og flytbare medier.
Typiske aktivkategorier og deres dokumentationskrav
| Boligtype | Eksempler | Nødvendige beviser |
|---|---|---|
| Hardware | Bærbare computere, servere, telefoner | Registrering, ejerlogfiler, tildelingsregistre |
| Cloud/SaaS | CRM, produktivitetspakker | Konto-/klargøringslogfiler, politikkort |
| Papir/medier | Kontrakter, USB, rapporter | Håndtering af logfiler, destruktionscertifikater |
| Tredjepart/BYOD | Leverandørbærbare computere, hjemme-pc'er | Leverandørregister, samtykkelogfiler, adgangsspor |
| Proprietær software | Brugerdefineret kode, værktøjer | Kildekontrol, bruger-/anmeldelseslogfiler |
Fem essentielle ting til revisionssikker håndtering af aktiver
- Registrer alt: Intet aktiv anvendes, før det er registreret og overdraget.
- Bindende politik: Alle opgaver inkluderer en bekræftelse af digital politik.
- Hændelseslog-udløsere: Enhver ændring (ejerskab, privilegium, placering, bortskaffelse) opretter en systemlog.
- Bevis for bortskaffelse: Ødelæggelse eller overførsel logges og underskrives altid; papirbaserede hændelser består ikke revision.
- Løbende gennemgang: Regelmæssige, automatiserede påmindelser sikrer, at aktiver og bevismateriale aldrig falder uden for rækkevidde.
En kompatibel proces tilpasses, når nye risici, kontroller eller aktivtyper dukker op – aldrig et engangsregneark.
Hvor dumper de fleste organisationer i NIS 2- og ISO 27001-revisioner af håndtering af aktiver, og hvad er de skjulte fælder?
Revisionsfejl skyldes sjældent dramatiske forsømmelser – de skyldes rutinemæssige mangler, der ophobes. Eksterne revisorer og tilsynsmyndigheder ser disse hver måned:
- Skyggeaktiver: SaaS-værktøjer, BYOD eller ældre konti, der opererer uden for det officielle register eller uden tilknyttede ejere.
- Forældreløse/ikke-tildelte aktiver: Enheder eller brugerkonti, der efterlades efter medarbejderfratrædelse, sjældent opdateres og uden for de regelmæssige gennemgangscyklusser.
- Manuelle stier: Bortskaffelse, adgang eller overdragelse håndteret via e-mail eller papir - mangler i det digitale register eller er ikke underskrevet ved handlingspunktet.
- Brudt politikkæde: Vigtige livscyklushandlinger (overførsel, destruktion) er ikke knyttet til kontroller eller godkendelse, hvilket fører til brud på revisionskæden.
- Ubesvarede anmeldelser: Aktiver sprunget over i rutinemæssige kontroller, især efter organisationsændringer eller nye regler.
Revisorer kræver nu øjeblikkelig, filtrerbar registereksport, der dækker aktiver, ejer, tilknyttet kontrol, politiktilknytning og signerede hændelseslogfiler.
Den afgørende forskel mellem revisionsklar og mislykket er at bevise, at alle overdragelser, ændringer i rettigheder eller bortskaffelser blev logget og autoriseret – uden forsinkelser eller smuthuller.
Klassiske revisionsudløsere, der afslører svagheder:
- Bærbare computere tildelt eller fjernet "i nødsituationer" fra bøgerne.
- SaaS- eller cloud-værktøjer udviklet af forretningsenheder, kun fundet ved uventet fakturering eller hændelse.
- Ødelæggelse af aktiver bekræftet via chat/e-mail, ikke i registreringsdatabasen.
- Forældreløse efter brugerafslutning, efterlades uden gennemgang.
- Alt bevismateriale i papirform eller ad hoc-filer, umuligt at filtrere eller eksportere.
Reference:
Hvilken dokumentation vil revisorer og tilsynsmyndigheder kræve inden 2025, og hvad kvalificerer som "revisionsklar"?
Inden 2025 skal du producere eksportklar digital dokumentation for hvert aktiv og hver livscyklushændelse – øjeblikkeligt, filtrerbart og sporbart fra anskaffelse til destruktion.
Krav til primære beviser
| Begivenhed | Registreret i registeret | Klar til skærmvisning/eksport? |
|---|---|---|
| Overdragelse/ejerskab | Ja | Ja |
| Politikbekræftelse | Ja | Ja |
| Ændring af adgang eller privilegier | Ja | Ja |
| Overførsel/bortskaffelse/destruktion | Ja (dobbelt godkendelse) | Ja |
| Hændelse, gennemgang eller advarsel | Ja | Ja |
Beviser er ikke fuldstændige, medmindre de er:
- Digitalt bevaret: E-mail eller papir er ikke tilstrækkeligt som primært bevis.
- Kortlagt ende-til-ende: Aktiv → Ejer → Handling → Kontrol/Politik → Signatur/Tidsstempel.
- Omfattende: Omfatter nye, overførte, gennemgåede, omfordelte eller udgåede aktiver.
- Filtrerbar/eksporterbar: Bestyrelse, revisor eller tilsynsmyndighed kan scanne efter aktiv, begivenhed eller ejer efter behov.
Papirtjeklister kan supplere, men kan ikke erstatte, systemlogfiler som revisionsberettiget bevismateriale.
Hvordan forbinder de bedste organisationer aktiver, kontroller, risici og bevismateriale for at skabe robusthed, revisionsberedskab og tillid?
De bedste teams behandler ikke aktivforvaltning som en silo – de forbinder hvert aktiv med politikker. kortlagte kontroller, risikoregistreringer, brugerhændelser og hændelsesgennemgange. Hvert nyt aktiv eller enhver ny ændring udløser ikke blot en log, men en dominoeffekt på tværs af alle sikkerhedsdomæner.
| Eksempel på aktiv | Ejer | Anvendte kontroller | Livscyklusstatus | Bevis/beviser |
|---|---|---|---|---|
| Bærbar computer #3481 | J. Smith | A.5.9, A.5.10 | Registreret, i brug | Registrering, opgavelog |
| Google Suite | Juridisk Team | A.5.9, A.8.13 | Klargjort, gennemgået | Registrering, kontolog, gennemgang |
| Leverandør-pc | Marketing | A.5.9, A.7.7 | Sporet, under gennemgang | Leverandørregister, dokumentation |
Hvordan sporbarhed håndhæves i en kompatibel arbejdsgang
| Udløser | Risikoindgang | Kontrolreference | Nødvendige beviser |
|---|---|---|---|
| Onboarding af nye aktiver | Registret er opdateret | A.5.9 | Tildeling, kontrolkort |
| Ændring af privilegier | Adgangsgennemgang | A.5.10 | Signeret log, eksport |
| Ødelæggelse af aktiver | Risiko for sjældne lægemidler markeret | A.5.11, A.7.10 | Certifikat, godkendelse |
| Mistet gennemgang/påmindelse | Manglende overholdelse | A.5.10, A.5.11 | Systemlog, optagelse |
Automatiserede ISMS-platforme, ligesom ISMS.online, samler disse links som standard: hver registreringshændelse, politiktildeling, gennemgang eller fjernelse er knyttet til kontroller og kan hentes med det samme.
Hvordan kan du måle din overholdelse af reglerne for håndtering af aktiver – og hvad beviser, at du virkelig er "revisionsklar"?
An revisionsklar aktiv ledelsessystemet sikrer, at:
- Intet aktiv – hardware, SaaS, leverandør, data, kode – er usynligt eller forældreløst.
- Enhver hændelse (tildeling, brug, overdragelse, gennemgang, tilbagetrækning) logges, signeres og kortlægges med systempåmindelser, der udløser gennemgange.
- Enhver kontrol eller politik, der er knyttet til et aktiv, bekræftes digitalt og udløses af en gennemgang, aldrig bare arkiveres.
- Registerstatus, rapporter og bevismateriale kan eksporteres øjeblikkeligt, sorteret efter aktiv, ejer, livscyklushændelse eller tilknyttet kontrol, for at imødekomme enhver revisions- eller bestyrelsesforespørgsel.
Hurtig selvtjek: Er du klar til revision?
- Er dit aktivregister komplet og aktivt, med alle aktiver tildelt og kategoriseret – inklusive tredjeparts-, SaaS- og BYOD-aktiver?
- Skaber hver væsentlig begivenhed (ejerskab, gennemgang, ødelæggelse) en digitalt underskrevet, tilgængelig optegnelse?
- Bliver anmeldelser og påmindelser logget og eksporterbare, og bliver de aldrig gemt i e-mail eller hukommelse?
Teams, der går fra brandøvelser i revisioner til tillid i bestyrelseslokaler, er dem, hvis aktivregistre er skærmklare, fuldt kortlagte og integrerede – ikke regnearksskygger, der venter på at blive fanget.
Med ISMS.online kan du importere aktiver i store mængder, automatisere påmindelser og gennemgange og udløse eksport af revisioner – så din revisionsprofil bliver en kanal for tillid, ikke angst.
ISO 27001:2022 revisionsbro mellem forventning og operationel dokumentation
| Revisionsforventning | Operationalisering | ISO 27001 / Bilag A Ref. |
|---|---|---|
| Alle registrerede/ejede aktiver | Registrer + navngiven ejer | A.5.9, A.5.10 |
| Alle arrangementer digitale, sporbare | Systemlogfiler + eksporterbare rapporter | A.7.10, A.5.11 |
| Kontroller/politikker krydsforbundet | Tilknyttet register, politikpakker | Alle kortlagte annekser |
| Aktiv gennemgangs-/påmindelsesløkke | Automatiserede logfiler, godkendelser | A.5.9, A.5.10 |
Eksempel på sporbarhed
| Udløser | Risikoindgang | Kontrol/SoA | Beviser registreret |
|---|---|---|---|
| Aktiv onboardet | Registrer | A.5.9 | Tildeling, politik ACK |
| Ændring af ejer | Privat opdatering | A.5.10, A.7.10 | Signeret begivenhed, log |
| Ødelæggelse | Risiko for sjældne lægemidler | A.5.11, A.7.10 | Certificering, godkendelse, log |
| Mistet anmeldelse | Manglende overholdelse | A.5.10, A.5.11 | Påmindelse, gennemgangslog |
Klar til at se en live, revisionsklar beviskæde?
Importer dine aktivdata, kør en registereksport, og oplev forskellen mellem nervøs compliance og tillid på bestyrelsesniveau. Din næste succesfulde revision starter med at gøre aktivhåndtering til et system, ikke et kludetæppe.
