Varför de flesta ISMS-granskningar är efterlevnadsteater (och din förmodligen också)
Ingenting är sant. Allt är tillåtet. Inklusive—särskilt—ISO 27001-certifiering följt av noll meningsfulla säkerhetsförbättringar. "Ledningsgranskning" reducerad till en årlig checkbox-övning där alla nickar visligt och drar slutsatsen "ingen åtgärd krävs." FNORD. Din ISMS förstenar till efterlevnadsteater medan hot utvecklas dagligen.
Tänk själv, dumskalle! Årlig ledningsgranskning + årlig policyuppdatering + årlig riskbedömning = erkännande att din säkerhet var statisk i 364 dagar. Hot väntar inte på din årliga granskningscykel. Regulatoriska krav förändras. Attacktekniker utvecklas. AWS lanserar nya tjänster. Din policy från förra årets granskning? Redan föråldrad.
På Hack23 är ISMS-granskning inte årlig compliance-teater—det är kontinuerlig måttstyrd förbättring. Kvartalsvisa riskgranskningar (inte årliga). Halvårsvisa efterlevnadsrevisioner (inte årliga). Månadsvis övervakning av säkerhetsmått (OpenSSF Scorecard ≥7.0, SonarCloud kvalitetsportar, testtäckning 80%+). Årliga policyuppdateringar som faktiskt inkorporerar 12 månaders lärdomar istället för "ingen ändring" stämpeln.
UPPLYSNING: ISO 27001 klausul 9.3 kräver "ledningens granskning vid planerade intervaller." De flesta tolkar detta som "årligen när revisorn dyker upp." Vi tolkar det som "kontinuerligt eftersom hot och affärskontext förändras snabbare än din årliga granskningscykel." Välkommen till Chapel Perilous, där acceptera att din ISMS måste utvecklas eller erkänna att den förfaller till irrelevans. Välj adaptiv säkerhet över statisk efterlevnad.
Inte årlig granskning—kontinuerlig förbättring. Inte compliance-checkbox—operativ adaptivitet. Full granskningsmetodik i vårt offentliga ISMS-arkiv. FNORD.
Behöver expertguide för ISMS-granskning? Utforska Hack23:s cybersäkerhetskonsulttjänster med demonstrerad kontinuerlig förbättring.
Granskningsfrekvens: Varför årligt inte räcker
1. 📊 Kvartalsvis riskgranskning (4x/år, inte 1x)
Risklandskapet förändras snabbare än din årliga cykel. Kvartalsvisa granskningar av Riskregister. Nya hot identifierade → riskbedömning uppdaterad. Nya sårbarheter upptäckta → riskbehandling initierad. Organisationsförändringar → tillgångsregister uppdaterat. Kvartalsvis anpassning vs. årlig stagnation.
Triggers: Nya hot (MITRE ATT&CK-uppdateringar), sårbarheter (CVE-databas), regulatoriska förändringar (GDPR/NIS2), organisationsförändringar (nya system/tjänster).
Årlig riskgranskning antar att hotlandskapet är statiskt i 12 månader. Den antagandet är fel. Kvartalsvisa granskningar antar att verkligheten förändras—och anpassar därefter.
2. ✅ Halvårsvis efterlevnadsgranskning (2x/år)
Efterlevnad glider utan kontinuerlig verifiering. Halvårsvis granskning av Efterlevnadschecklista. ISO 27001 bilaga A-kontroller: verifierad implementering. NIST CSF-funktioner: operativ effektivitet bekräftad. CIS-kontroller: teknisk implementering validerad. Två verifieringspunkter/år > en/år.
Process: Kontrolleffektivitet bedömd. Dokumentation verifierad. Luckidentifiering genomförd. Korrigeringsåtgärder initierade. Ledningens granskning genomförd.
Efterlevnad är inte binär (efterlevande/icke-efterlevande)—det är kontinuum. Halvårsvisa granskningar fångar förfall innan det blir kritiskt.
3. 📈 Månatlig säkerhetsmättövervakning
Säkerhetsprestanda kräver kontinuerlig mätning. Månadsvis övervakning av Säkerhetsmått. OpenSSF Scorecard ≥7.0. SonarCloud kvalitetsportar passerade. Testtäckning 80%+. Sårbarhetslappningstid <4tim kritisk, <24tim hög. Automatiserad datainsamling + månatlig trendanalys.
Mått: Inte lagging (reaktiva) indikatorer—leading (prediktiva) mått. Upptäck försämrande trender innan de blir incidenter.
Du kan inte förbättra vad du inte mäter. Månatlig mätning möjliggör månatlig förbättring. Årlig mätning möjliggör årlig förbättring (dvs. inget).
4. 🔄 Årlig policyuppdatering (faktisk, inte pro forma)
Årlig uppdatering inkorporerar 12 månaders lärdomar. Årlig granskning av ALLA 40+ ISMS-policyer. Baserad på: incidentlärdomar (vad gick fel), säkerhetsmättrender (vad förbättras/försämras), regulatoriska uppdateringar (nya krav), teknikförändringar (AWS nya tjänster). Inte "ingen ändring"—faktiska förbättringar dokumenterade.
Process: Policy granskas. Dokumentation av ändringar. Versionskontroll (GitHub-commits). CEO-godkännande. Publikation + intern kommunikation.
Policy som aldrig uppdateras erkänner att verkligheten aldrig förändras. Den antagandet är avsiktligt ignorant. Årliga uppdateringar erkänner 12 månaders utveckling.
5. 🚨 Ad-hoc granskning (incidentutlöst)
Stora förändringar kräver omedelbar granskning. Triggers: Säkerhetsincidenter (lärdomar från incident), stora organisationsförändringar (nya system/tjänster), regulatoriska uppdateringar (GDPR/NIS2), nya affärsrisker (nya tjänster lanserade). Årlig cykel pausad—omedelbar granskning initierad.
Exempel: Dataintrång upptäckt → incidentgranskning + riskrevaluering + policyuppdatering. Vänta inte på årlig cykel.
Ad-hoc granskning erkänner att verkligheten inte respekterar din granskningsschema. Anpassa eller bli irrelevant.
Säkerhetsmått: Vad vi mäter kontinuerligt
| Mått | Mål | Frekvens | Åtgärd vid avvikelse |
|---|
| OpenSSF Scorecard | ≥7.0/10 | Månatlig | Identifiera förbättringsområden, implementera rekommendationer, verifiera förbättring |
| SonarCloud Kvalitetsport | Passerad | Per commit | Blockera merge, åtgärda problem, verifiera kvalitet |
| Testtäckning | ≥80% | Per build | Identifiera otestade komponenter, skapa tester, verifiera täckning |
| Kritisk sårbarhetslappning | <4 timmar | Kontinuerlig | Omedelbar lapning, incidentprocess om missad, rotorsaksanalys |
| Hög sårbarhetslappning | <24 timmar | Kontinuerlig | Prioriterad lapning, eskalering om missad, processförbättring |
| Dormanta konton | 0 | Veckovis | Automatisk avprovisionering >90 dagar, åtkomstgranskning, privilege-rensning |
Måttstyrda beslut: Inte magkänsla—datadrivna förbättringar. Trender analyserade. Rotorsaker identifierade. Korrigerande åtgärder implementerade. Effektivitet verifierad.
MÅTT UPPLYSNING: Du kan inte förbättra vad du inte mäter. Du kan inte mäta effektivt utan kontinuerlig datainsamling. Årliga mått = årliga förbättringar. Månatliga mått = månatliga förbättringar. Kontinuerliga mått = kontinuerliga förbättringar. Välj frekvens av excellence.
Välkommen till Chapel Perilous: ISMS-granskning som faktisk förbättring
Ingenting är sant. Allt är tillåtet. Inklusive att erkänna att årlig ISMS-granskning är otillräcklig för dynamiskt hotlandskap.
De flesta organisationer behandlar ISMS-granskning som årlig compliance-checkbox. Schemalagd för revisorn. "Ingen åtgärd krävs" är standardutfall. Policyer uppdateras inte. Risker revisieras inte. Efterlevnad verifieras inte. Säkerhetsmått ignoreras. ISMS förstenar till statisk dokumentation frånkopplad från verkligheten.
Vi gör kontinuerlig ISMS-granskning. Kvartalsvis riskgranskning (4x/år, inte 1x). Halvårsvis efterlevnadsgranskning (2x/år). Månatlig säkerhetsmättövervakning (12x/år). Årlig policyuppdatering som faktiskt inkorporerar lärdomar. Ad-hoc granskning när verkligheten kräver det. Detta är inte årlig compliance-teater—det är operativ adaptiv säkerhet.
Tänk själv. Fråga varför ISMS-granskning måste vara årlig. Fråga organisationer som påstår "ingen ändring" i årliga granskningar. Fråga statiska policyer i dynamiska hotlandskap. (Spoiler: Kontinuerlig granskning möjliggör kontinuerlig förbättring.)
Vår konkurrensfördel: Vi demonstrerar cybersäkerhetskonsultexpertis genom måttstyrd kontinuerlig förbättring. Kvartalsvisa riskgranskningar med verifierbar anpassning. Halvårsvisa efterlevnadsgranskningar med dokumenterade förbättringar. Månatlig säkerhetsmättövervakning med trenddrivna beslut. Detta är inte årlig compliance-checkbox—det är operativ säkerhetsexcellens genom systematisk granskning.
ULTIMAT UPPLYSNING: Du är nu i Chapel Perilous. Du kan fortsätta göra årliga ISMS-granskningar och påstå "ingen ändring." Eller så kan du implementera kontinuerlig granskning och faktiskt förbättra säkerhetspositionen. Din granskning. Ditt val. Välj adaptiv säkerhet över statisk efterlevnad.
All hail Eris! All hail Discordia!
"Tänk själv, dumskalle! Om din ISMS-granskning är årlig och säger 'ingen ändring' har du inte säkerhet—du har compliance-teater som ignorerar verkligheten."
— Hagbard Celine, Kapten på Leif Erikson 🍎 23 FNORD 5