CIS18-kontroller (CIS Controls)

CIS Controls (tidligere kendt som CIS Critical Security Controls eller CIS18) er et sæt af 18 prioriterede sikkerhedskontroller udviklet af Center for Internet Security. De giver en praktisk, konsensusbaseret ramme for organisationer til at forsvare sig mod de mest almindelige cybertrusler.

Tilbage til ordbog

Hvad er CIS Controls?

CIS Controls er et sæt af 18 handlingsorienterede sikkerhedskontroller designet til at hjælpe organisationer af alle størrelser med at forbedre deres cybersikkerhed. De er udviklet og vedligeholdt af Center for Internet Security (CIS), en non-profit organisation, og er baseret på data om reelle trusler og input fra et globalt fællesskab af sikkerhedseksperter.

Kontrollerne er nummereret i prioriteret rækkefølge, hvor de første kontroller giver den største risikoreduktion. Hver kontrol indeholder en række safeguards — specifikke handlinger, som organisationer bør tage. Rammeværket er designet til at supplere andre standarder som ISO 27001 Annex A og NIS2.

De 18 CIS Controls

Den nuværende version (CIS Controls v8.1) omfatter følgende 18 kontroller:

1. Inventory and Control of Enterprise Assets
2. Inventory and Control of Software Assets
3. Data Protection
4. Secure Configuration of Enterprise Assets and Software
5. Account Management
6. Access Control Management
7. Continuous Vulnerability Management
8. Audit Log Management
9. Email and Web Browser Protections
10. Malware Defences
11. Data Recovery
12. Network Infrastructure Management
13. Network Monitoring and Defence
14. Security Awareness and Skills Training
15. Service Provider Management
16. Application Software Security
17. Incident Response Management
18. Penetration Testing

Implementeringsgrupper (IG1–IG3)

CIS Controls er organiseret i tre Implementation Groups (IG'er) for at hjælpe organisationer med at prioritere implementering baseret på deres størrelse, ressourcer og risikoprofil:

IG1 — Essential Cyber Hygiene: Det minimale sæt safeguards, som enhver organisation bør implementere. IG1 er designet til små og mellemstore organisationer med begrænsede IT-ressourcer og repræsenterer udgangspunktet for alle organisationer.
IG2 — Expanded Controls: Bygger oven på IG1 med yderligere safeguards for organisationer med mere komplekse IT-miljøer eller følsomme data. Velegnet til organisationer med dedikeret IT-personale.
IG3 — Comprehensive Security: Det fulde sæt CIS safeguards, beregnet til organisationer med modne sikkerhedsprogrammer og ressourcer til at håndtere sofistikerede trusler.

Start med IG1: CIS anbefaler, at alle organisationer — uanset størrelse — starter med at implementere IG1-safeguards. Disse 56 safeguards adresserer de mest almindelige angrebsvektorer og giver betydelig risikoreduktion for en relativt beskeden investering.

CIS Controls vs ISO 27001

CIS Controls og ISO 27001 er komplementære frem for konkurrerende rammeværker. ISO 27001 giver en ledelsessystemtilgang med fokus på governance, risikovurdering og løbende forbedring. CIS Controls tilbyder et mere præskriptivt, teknisk fokuseret sæt handlinger. Mange organisationer bruger CIS Controls som en praktisk implementeringsguide sammen med deres ISO 27001 anvendelseserklæring.

Ofte stillede spørgsmål om cis18-kontroller (cis controls)

Hvad er CIS Controls?

CIS Controls (CIS18) er et sæt af 18 prioriterede sikkerhedskontroller udviklet af Center for Internet Security. De giver handlingsorienterede, konsensusbaserede best practices for at forsvare sig mod de mest almindelige cybertrusler.

Hvad er Implementation Groups (IG'er)?

Implementation Groups er tre niveauer (IG1, IG2, IG3), der hjælper organisationer med at prioritere CIS Controls baseret på deres størrelse, ressourcer og risikoprofil. IG1 repræsenterer essentiel cyberhygiejne for alle organisationer, IG2 tilføjer kontroller for mere komplekse miljøer, og IG3 dækker det fulde sæt safeguards.

Hvor mange safeguards er der i IG1?

IG1 indeholder 56 safeguards fordelt på de 18 CIS Controls. De repræsenterer det minimale sæt handlinger, som enhver organisation bør implementere for at forsvare sig mod de mest almindelige cyberangreb.

Kan CIS Controls bruges sammen med ISO 27001?

Ja. CIS Controls og ISO 27001 er komplementære. ISO 27001 giver governance- og ledelsessystemrammen, mens CIS Controls tilbyder præskriptiv teknisk vejledning. Mange organisationer mapper CIS Controls til deres ISO 27001 Annex A-kontroller.

Er CIS Controls gratis at bruge?

Ja. CIS Controls-rammeværket er frit tilgængeligt fra Center for Internet Security. CIS stiller også gratis ledsagende ressourcer til rådighed som f.eks. mappings til andre rammeværker, implementeringsguider og selvevalueringsværktøjer.