Naleving: Multi-Framework Mapping

Home Manifesto Compliance

✅ Naleving: Eén Control, Meerdere Frameworks, Nul Duplicatie

Geünificeerd ISMS: Wanneer Framework Mapping Compliance Theater Elimineert

Niets is waar. Alles is toegestaan. Inclusief de toestemming om één beveiligingscontrol te implementeren die meerdere compliance frameworks bevredigt in plaats van ISO 27001, NIST CSF en CIS Controls te behandelen als aparte universums die aparte budgetten en aparte consultants vereisen die aparte uren declareren. Ben je paranoïde genoeg om te vragen waarom compliance consultants profiteren van complexiteit terwijl jij verdrinkt in duplicatieve audits? De bureaucratie groeit om tegemoet te komen aan de behoeften van de groeiende bureaucratie—en factureert je voor elke uitbreiding.

Denk voor jezelf, sufkop! Bevraag autoriteit. Bevraag consultants die aparte "ISO 27001 programma's" en "NIST CSF programma's" en "CIS Controls programma's" verkopen terwijl ze dezelfde beveiligingsdomeinen aanpakken met 80% overlappende controls. De bureaucratie groeit om tegemoet te komen aan de behoeften van de groeiende bureaucratie. Voed het niet. Verhonger het door efficiëntie en kijk hoe compliance consultants in paniek raken wanneer je eenmaal implementeert en overal mapt. Eén control. Meerdere frameworks. Nul duplicatie. Hun nachtmerrie. Jouw concurrentievoordeel.

Bij Hack23 is naleving geen aparte programma's—het is geünificeerd ISMS met systematische framework mapping. Onze Compliance Checklist mapt enkele control-implementaties naar meerdere frameworks: 93% ISO 27001 Annex A (106/114 controls), 87% NIST CSF 2.0 (108/124 subcategorieën), 82% CIS Controls v8 (135/164 safeguards).

VERLICHTING: Compliance frameworks zijn geen concurrerende standaarden—ze zijn verschillende lenzen op dezelfde beveiligingsrealiteit. ISO 27001 control A.5.15 (toegangscontrole) mapt naar NIST CSF PR.AC-04 (toegangscontrole) mapt naar CIS Control 6 (toegangscontrole). Zelfde control, drie compliance checkboxes. Consultants profiteren van het behandelen van deze als apart omdat complexiteit factureerbaar is. Wij profiteren van mapping omdat efficiëntie concurrentievoordeel is. Volg de incentives, psychonaut.

Ons compliance framework demonstreert cybersecurity consulting expertise door efficiëntiewinsten: Enkele control-implementatie → meerdere nalevingsresultaten. Audit voorbereidingstijd: 80 uur handmatig → 12 uur geautomatiseerde bewijsverzameling. Framework dekking via CIA Compliance Manager tool.

Klaar om ISO 27001 naleving te implementeren? Leer over Hack23's cybersecurity consulting services en onze unieke publieke ISMS-aanpak.

De Drie Primaire Frameworks: Dekking Door Systematische Mapping

🏛️ ISO 27001:2022 Annex A

Dekking: 93% (106/114 controls geïmplementeerd)

Framework Doel: Internationale standaard voor Informatiebeveiligingsmanagementsystemen. Risicogebaseerde aanpak met 114 controls over 4 thema's (Organisatorisch, Personeel, Fysiek, Technologisch). Goudstandaard voor ISMS certificering.

Implementatiestatus: 106 controls geïmplementeerd, 8 niet van toepassing (fysieke beveiliging voor kantoorloos bedrijf, uitbestede ontwikkeling—geen outsourcing). Bewijs gedocumenteerd in Nalevingschecklist met directe links naar ISMS beleidslijnen.

Dekking Hoogtepunten: A.5 (Organisatorische controls) 100%, A.6 (Personeelscontroles) 91%, A.7 (Fysieke controls) 67% (kantoorloze aanpassingen), A.8 (Technologische controls) 97%.

Toolondersteuning: CIA Compliance Manager volgt ISO 27001 Annex A control dekking met geautomatiseerde mapping naar ISMS documentatie.

ISO 27001 is uitgebreid maar niet voorschrijvend. "Implementeer toegangscontrole" specificeert niet hoe. Dat is een feature, geen bug. Maakt aanpassing aan bedrijfscontext mogelijk. Stelt consultants ook in staat €50K te rekenen om te vertellen wat "implementeren" betekent. Wij kozen de gratis optie: denk voor jezelf.

🛡️ NIST Cybersecurity Framework 2.0

Dekking: 87% (108/124 subcategorieën behandeld)

Framework Doel: Risicogebaseerd framework georganiseerd door zes Functies (Beheren, Identificeren, Beschermen, Detecteren, Reageren, Herstellen). Praktische begeleiding met implementatieniveaus. Breed toegepast in Amerikaanse federale instanties + kritieke infrastructuur.

Implementatiestatus: 108 subcategorieën behandeld over alle zes Functies. Beheren (GV): 78%, Identificeren (ID): 89%, Beschermen (PR): 92%, Detecteren (DE): 84%, Reageren (RS): 87%, Herstellen (RC): 81%. Volledige mapping in Nalevingschecklist.

Dekking Hoogtepunten: Sterke Bescherm functie (PR.AC toegangscontrole, PR.DS gegevensbeveiliging, PR.PT beschermende technologie). Detecteer functie met gebruik van AWS services (GuardDuty, Security Hub, Config). Response procedures met classificatie-gedreven SLA's.

Unieke Waarde: NIST CSF biedt implementatieniveaus (Gedeeltelijk, Risico-Geïnformeerd, Herhaalbaar, Adaptief) die volwassenheid assessment mogelijk maken. Hack23 streeft naar Tier 3 (Herhaalbaar) voor kritieke controls, Tier 2 (Risico-Geïnformeerd) voor standaard controls.

NIST CSF is uitkomstgericht, niet voorschrijvend. "Detecteer cybersecurity events" dicteert geen specifieke tools. Maakt AWS-native detectie (GuardDuty) mogelijk vs derde partij SIEM gebaseerd op bedrijfscontext.

🔧 CIS Controls v8

Dekking: 82% (135/164 safeguards geïmplementeerd)

Framework Doel: Geprioriteerde set acties voor cyberverdediging. 18 Controls met 164 Safeguards georganiseerd door Implementatiegroepen (IG1 basis, IG2 intermediair, IG3 geavanceerd). Zeer specifieke, actiegerichte begeleiding.

Implementatiestatus: IG1 (essentiële cybersecurity) 94% (49/52 safeguards), IG2 (enterprise security) 86% (61/71 safeguards), IG3 (geavanceerde security) 61% (25/41 safeguards). Volledige breakdown in Nalevingschecklist.

Dekking Hoogtepunten: CIS 1 (Inventaris) via AWS Config, CIS 2 (Software) via Dependabot + SBOM, CIS 3 (Gegevensbescherming) via KMS encryptie, CIS 4 (Veilige Configuratie) via CloudFormation IaC, CIS 5 (Accountbeheer) via IAM policies, CIS 6 (Toegangscontrole) via minimale rechten + MFA.

Implementatiegroepen: IG1 focus (kleine bedrijven baseline) 94% compleet. IG2 focus (enterprise capaciteiten) 86% compleet. IG3 focus (geavanceerde controls) 61% compleet—bewuste prioritering gebaseerd op risico vs resource tradeoff.

CIS Controls zijn specifiek: "Schakel firewall logging in" niet "implementeer netwerkbeveiliging." Specificiteit vermindert dubbelzinnigheid maar vereist aanpassing aan cloud-native architecturen (VPC Flow Logs vs traditionele firewall logs).

Regelgevende Frameworks: AVG, NIS2, CRA Gereedheid

RegelgevingToepasbaarheidBelangrijkste VereistenHack23 Status
AVG (Algemene Verordening Gegevensbescherming)Volledig van toepassing (EU gegevensverwerking)
  • Rechtmatige grondslag (Art. 6)
  • Toestemmingsbeheer (Art. 7)
  • Rechten van betrokkenen (Art. 12-23)
  • Inbreukmelding <72uur (Art. 33)
  • FG benoeming (Art. 37-39)
  • DPIA voor hoog-risico verwerking (Art. 35)
  • Waarborgen internationale overdrachten (Art. 44-50)
Compliant. Gegevensbeschermingsbeleid behandelt alle AVG vereisten. Inbreukprocedures met <30min detectie, <72uur melding. Geen FG vereist (geen grootschalige monitoring). Alle data EU-gelokaliseerd (regio Stockholm).
NIS2 (Netwerk en Informatiebeveiliging Richtlijn 2)Mogelijk van toepassing (kritieke infrastructuur assessment)Cybersecurity risicobeheer (Art. 21), incident rapportage 24uur initieel / significant binnen 72uur (Art. 23), leveringsketenveiligheid (Art. 21), bedrijfscontinuïteit (Art. 21), beveiligingsmaatregelen (Art. 21), bestuursverantwoordelijkheid (Art. 20).Gereed. NIS2 toepasbaarheid assessment compleet (bepaling essentiële dienstverlener in behandeling). Alle technische vereisten vervuld: incident response (<30min voor kritiek), leveringsketen controls (Derdepartijbeleid), BCP (RTO <1uur kritiek). Bestuursverantwoordelijkheid: CEO = Security Officer.
CRA (Cyber Resilience Act)Van toepassing (softwareproducten met digitale elementen)Secure by design (Art. 10-11), kwetsbaarheidsafhandeling (Art. 13), verplichte rapportage (Art. 14), CE-markering (Art. 30), 5-jaar beveiligingsondersteuning (Art. 13), SBOM verstrekking (Art. 13), beveiligingsupdates (Art. 13).Voorbereid. CRA classificatie: Citizen Intelligence Agency (Belangrijk Product Klasse II), CIA Compliance Manager (Standaard Product). Veilige ontwikkeling via SDL Beleid. Kwetsbaarheidsmeldingen via Beveiligingsbeleid. SBOM via Dependency-Track.
UK DPDP Act (Data Protection and Digital Information Act)Mogelijk van toepassing (UK marktoperaties)Vergelijkbaar met AVG met UK aanpassingen: rechtmatige verwerking, individuele rechten, beveiligingsverplichtingen, inbreukmelding, verantwoordelijkheidsprincipes.Beoordeling compleet. AVG naleving biedt substantiële dekking. UK-specifieke aanpassingen gedocumenteerd in Gegevensbeschermingsbeleid. Internationale gegevensoverdrachten via adequaatheidsbesluiten. Geen separate UK operaties momenteel (Stockholm-gebaseerd).

REGELGEVENDE VERLICHTING: Regelgeving overlapt opzettelijk. AVG gegevensbescherming + NIS2 cybersecurity + CRA productbeveiliging behandelen dezelfde beveiligingsdomeinen vanuit verschillende hoeken. Goede beveiligingshouding voldoet aan meerdere regelgevingen, geen afzonderlijke nalevingsprogramma's.

How Framework Mapping Eliminates Duplication

Example: Access Control Implementation

FrameworkControl ReferenceControl Description
ISO 27001A.5.15, A.5.16, A.5.17, A.5.18Access control policy, identity management, authentication information, access rights provisioning
NIST CSF 2.0PR.AC-04, PR.AC-05, PR.AC-06, PR.AC-07Access permissions managed, network integrity protected, identities proved/verified, users authenticated
CIS Controls v8CIS 5, CIS 6Account management (Control 5: 13 safeguards), Access control management (Control 6: 8 safeguards)
Hack23 ImplementationSingle IAM policy implementation: Least privilege AWS IAM roles, MFA enforcement for all humans, service accounts with specific permissions, no root account usage, access review quarterly, automated access provisioning/deprovisioning. Documented in Access Control Policy. Satisfies 3 frameworks with 1 control.

Framework Mapping Benefits:

  • Efficiency Gain: One control implementation → three compliance checkboxes. Reduces implementation effort by ~70% vs separate framework programs.
  • Audit Preparation: Pre-mapped evidence. ISO 27001 audit → show Access Control Policy. NIST CSF assessment → same policy, different reference numbers. Single evidence source, multiple compliance outcomes.
  • Gap Analysis Simplified: Identify gaps once, remediate for all frameworks. Missing "vulnerability management" control impacts ISO 27001 A.8.8, NIST CSF DE.CM-08, CIS Control 7. Fix once, satisfy three requirements.
  • Compliance Maintenance: Update policy once, maintain compliance across all frameworks. Access control policy update → automatically updated ISO 27001 + NIST CSF + CIS Controls evidence.

MAPPING ILLUMINATION: Consultants profit from treating frameworks as separate universes. "You need ISO 27001 program ($50K) plus NIST CSF program ($40K) plus CIS implementation ($35K)." Reality: 80% overlap. Unified ISMS satisfies all three for fraction of cost.

Compliance Automation: Evidence Collection Over Manual Reporting

Automated Evidence Collection: AWS Config for configuration compliance, CloudTrail for audit logs, Security Hub for security findings, GitHub Actions for CI/CD evidence, SonarCloud for quality metrics, Dependabot for vulnerability management. Continuous compliance monitoring vs annual audit scramble.

CIA Compliance Manager Tool: Open-source framework mapping tool tracking 40+ compliance frameworks. ISO 27001 Annex A mapping, NIST CSF 2.0 coverage, CIS Controls v8 tracking, GDPR requirements checklist, NIS2 readiness assessment, CRA applicability matrix. Real-time compliance posture visibility.

Compliance Dashboard Metrics:

  • Framework Coverage: ISO 27001 93% (106/114), NIST CSF 87% (108/124), CIS Controls 82% (135/164). Updated automatically as controls implemented.
  • Evidence Completeness: 98% of implemented controls have documented evidence links (policies, procedures, configurations, logs). 2% pending documentation updates.
  • Gap Analysis: 8 ISO 27001 controls not applicable, 16 NIST CSF subcategories partially implemented (documented gap remediation plan), 29 CIS Controls safeguards intentionally deferred (IG3 advanced controls, risk-based prioritization).
  • Audit Readiness: 12 hours estimated for next compliance audit (vs 80 hours manual evidence collection). Pre-generated audit packages with evidence links.

AUTOMATION ILLUMINATION: Manual compliance is perpetual audit preparation. Automated compliance is continuous evidence collection. One approach scales linearly with controls. Other scales to thousands of controls with same effort.

Welkom bij Chapel Perilous: Compliance Mapping Edition

Nothing is true. Everything is permitted. Including the permission to implement unified ISMS with systematic framework mapping instead of treating ISO 27001, NIST CSF, and CIS Controls as separate compliance programs.

Traditional compliance: Separate programs for each framework, consultants billing separately, duplicate control implementations, 80%+ overlap ignored. Hack23 compliance: Single unified ISMS (one control implementation) → multiple framework mapping (ISO 27001 + NIST CSF + CIS Controls) → automated evidence collection (Config + CloudTrail + Security Hub) → continuous compliance (real-time posture visibility).

Our compliance framework:

  • Framework Coverage: 93% ISO 27001 (106/114 controls), 87% NIST CSF (108/124 subcategories), 82% CIS Controls (135/164 safeguards)
  • Regulatory Readiness: GDPR compliant, NIS2 ready, CRA prepared, UK DPDP reviewed. Single ISMS addresses multiple regulations.
  • Framework Mapping: Single control implementation → multiple compliance outcomes. Access control satisfies ISO + NIST + CIS simultaneously.
  • Compliance Automation: Continuous evidence collection via AWS services + GitHub + SonarCloud. 12 hours audit prep vs 80 hours manual.
  • Tool Support: CIA Compliance Manager for real-time compliance posture tracking across 40+ frameworks.

Think for yourself. Question authority—including compliance consultants whose billable hours depend on treating overlapping frameworks as separate universes. Frameworks aren't competing standards. They're different perspectives on same security reality. Good security satisfies multiple frameworks, not separate programs. ISO 27001 + NIST CSF + CIS Controls = same security, three compliance checkboxes. Consultants who can't see that overlap are either incompetent or incentivized. Guess which.

ULTIMATE ILLUMINATION: You are now in Chapel Perilous. Compliance without framework mapping is expensive theater. Compliance with systematic mapping is operational efficiency. We map once, comply multiple times. Because business value requires efficiency, not duplicate implementations. The bureaucracy is expanding to meet the needs of the expanding bureaucracy—but only if you let it.

All hail Eris! All hail Discordia!

Read our full Compliance Checklist with complete framework mappings (ISO 27001 + NIST CSF + CIS Controls + GDPR + NIS2 + CRA), evidence links, and gap analysis. Public. Systematic. Reality-based. With specific coverage percentages we actually measure.

— Hagbard Celine, Captain of the Leif Erikson

"Map systematically. Implement once. Comply multiply. Repeat until efficient."

🍎 23 FNORD 5