CIS Controls

CIS Controls (Center for Internet Security Controls) er en prioriteret liste af konkrete, handlingsorienterede sikkerhedsforanstaltninger designet til at beskytte mod de mest udbredte og farlige cyberangreb. Version 8 indeholder 18 kontroller med 153 safeguards.

Implementeringsgrupper (IG)

CIS Controls er inddelt i tre implementeringsgrupper baseret på organisationens størrelse og ressourcer:

IG1 (Essential Cyber Hygiene) - 56 safeguards for små organisationer med begrænsede ressourcer. Disse dækker det absolutte minimum for cybersikkerhed.

IG2 (Moderate) - 130 safeguards for mellemstore organisationer med dedikeret IT-personale.

IG3 (Advanced) - Alle 153 safeguards for store organisationer med specialiserede sikkerhedsteams.

De 18 kontroller

1. Inventar og kontrol af enterprise-aktiver
2. Inventar og kontrol af software-aktiver
3. Databeskyttelse
4. Sikker konfiguration af enterprise-aktiver og software
5. Kontostyring
6. Adgangskontrolstyring
7. Kontinuerlig sårbarhedshåndtering
8. Audit-logsstyring
9. E-mail og webbrowser-beskyttelse
10. Malwarebeskyttelse
11. Datagendannelse
12. Netværksinfrastrukturstyring
13. Netværksovervågning og -forsvar
14. Sikkerhedsbevidsthedstræning
15. Serviceudbyderadministration
16. Applikationssoftwaresikkerhed
17. Hændelsesresponsstyring
18. Penetrationstest

Styrken ved CIS Controls

I modsætning til mere generelle rammeværk som NIST CSF er CIS Controls ekstremt praktiske og specifikke. Hver kontrol angiver præcist hvad der skal gøres, og prioriteringen sikrer, at organisationer fokuserer på de mest effektive foranstaltninger først.

CIS Controls i Danmark

Danske organisationer kan bruge CIS Controls som en praktisk implementeringsguide til at opfylde kravene i NIS2-direktivet og ISO 27001. IG1 (Essential Cyber Hygiene) er et godt udgangspunkt for SMV'er, der skal styrke deres cybersikkerhed, og Center for Cybersikkerhed anbefaler mange af de samme foranstaltninger i deres vejledninger.