Implementeringsgrupper (CIS IG)

CIS Controls er opdelt i tre implementeringsgrupper (IG1, IG2 og IG3), der gør det muligt for organisationer at prioritere og skalere implementeringen af CIS-kontrollerne baseret på deres størrelse, ressourcer og risikoniveau. IG1 er minimum for alle organisationer; IG3 er for de mest komplekse og risikoudsatte.

Tilbage til ordbog

Hvad er implementeringsgrupper?

Implementeringsgrupper (Implementation Groups, IG) er en prioriteringsmekanisme i CIS Controls v8. Hver af de 153 safeguards (konkrete kontrolkrav) er tildelt en implementeringsgruppe, og organisationen behøver kun implementere safeguards op til det niveau, der svarer til dens IG-klassificering.

Konceptet er CIS' svar på behovet for en skalerbar tilgang: Ikke alle organisationer kan eller bør investere de samme ressourcer i cybersikkerhed. IG'erne sikrer, at indsatsen proportioneres til risikoen.

IG1 – Grundlæggende cyber-hygiejne

IG1 er målrettet mindre virksomheder og organisationer med begrænsede IT- og sikkerhedsressourcer. Det er de 56 safeguards, som CIS anser for et minimum for enhver organisation, uanset størrelse.

IG1-organisationen har typisk: begrænset IT-stab, data af begrænset følsomhed og lave branchespecifikke risici. Implementering af IG1 giver beskyttelse mod de mest udbredte angrebstyper.

IG2 – Mellemliggende sikkerhed

IG2 tilføjer 74 yderligere safeguards (samlet 130) og er målrettet mellemstore organisationer med dedikerede IT-medarbejdere og systemer, der understøtter kritiske forretningsprocesser. IG2-organisationen håndterer typisk følsomme data og er underlagt regulatoriske krav.

IG3 – Avanceret sikkerhed

IG3 inkluderer alle 153 safeguards og er for store og komplekse organisationer med specialiserede sikkerhedsteams. IG3-organisationen behandler kritisk information eller betjener kritisk infrastruktur og er mål for sofistikerede, vedvarende trusler (APT).

IG1 er ikke valgfrit: CIS betegner IG1-safeguards som "essential cyber hygiene" – grundlæggende sikkerhed, som alle organisationer bør have på plads. Det er ikke et ambitionsniveau, men et minimum.

Hvilken IG passer til din organisation?

Valget af IG afhænger af faktorer som: antal medarbejdere, mængden og følsomheden af data, kritikaliteten af forretningsprocesser, branchespecifikke risici og regulatoriske krav. Mange danske SMV'er vil starte med IG1 og gradvist bevæge sig mod IG2.

Ofte stillede spørgsmål om implementeringsgrupper (cis ig)

Hvad er CIS-implementeringsgrupper?

Implementeringsgrupper (IG1, IG2, IG3) er en prioriteringsmekanisme i CIS Controls v8, der giver organisationer mulighed for at skalere deres cybersikkerhedsimplementering efter størrelse, ressourcer og risikoprofil. IG1 er baseline for alle organisationer.

Hvor mange safeguards er der i hver implementeringsgruppe?

IG1 indeholder 56 safeguards, IG2 tilføjer 74 (130 i alt), og IG3 inkluderer alle 153 safeguards. Hver højere gruppe bygger kumulativt på den foregående.

Er IG1 tilstrækkeligt til regulatorisk overholdelse?

IG1 giver grundlæggende cyber-hygiejne og kan opfylde basale sikkerhedskrav. Organisationer underlagt specifikke reguleringsrammer (som NIS2 eller ISO 27001) kan dog have brug for at implementere kontroller på IG2- eller IG3-niveau for fuld compliance.

Kan en organisation implementere kontroller fra en højere IG uden at have fuldført en lavere?

CIS anbefaler at fuldføre alle safeguards i den aktuelle IG, før man går videre til den næste. Organisationer kan dog vælge at implementere specifikke kontroller på højere niveau, hvis en risikovurdering identificerer et særligt behov.

Hvordan forholder CIS-implementeringsgrupper sig til ISO 27001?

CIS-implementeringsgrupper og ISO 27001-kontroller adresserer lignende sikkerhedsdomæner, men bruger forskellige strukturer. IG2 og IG3 svarer bredt til det sikkerhedsmodenhedsniveau, der forventes under ISO 27001, men en formel mapping er nødvendig til compliance-formål.