ISO 27001 är ett certifierbart ledningssystem för styrning av informationssäkerhet, medan CIS 18 är en praktisk implementationsguide med konkreta säkerhetskontroller.
Enkelt uttryckt: ISO 27001 svarar på "hur styr vi säkerhetsarbetet?", medan CIS 18 svarar på "vilka säkerhetskontroller ska vi implementera?". För dig som arbetar med cybersäkerhet och compliance är denna jämförelse avgörande för att välja rätt säkerhetsstandard för ditt företag.
I denna guide jämför vi CIS 18 och ISO 27001 gällande certifiering, kostnader, implementation och praktisk användning.
Vad är ISO 27001?
ISO 27001 är en internationell standard för informationssäkerhet som används av organisationer globalt för att etablera ett Information Security Management System (ISMS).
Under din ISO 27001-certifiering bygger du en styrd process genom riskanalys (risk assessment), riskbehandling (risk treatment) och kontinuerlig förbättring via PDCA-cykeln (Plan-Do-Check-Act). Du väljer sedan kontroller från Annex A baserat på identifierade risker. Standarden kräver omfattande dokumentation, policies och extern audit för certifiering.
Exempel: Ditt företag genomför en riskbedömning enligt ISO 27001 och identifierar att molnlagring och leverantörshantering utgör höga risker. Ni väljer relevanta kontroller från Annex A (t.ex. A.5.19 om molntjänster, A.5.21 om leverantörsövervakning), dokumenterar er riskbehandlingsplan och genomför intern audit inför certifieringsrevisionen.
Vad är CIS 18?
CIS 18 Controls (tidigare CIS Critical Security Controls) är en preskriptiv säkerhetsguide utvecklad av Center for Internet Security, baserad på analys av verkliga cyberattacker. Det är ett av de mest använda kontrollramverken för praktisk cybersäkerhet.
CIS 18 ger konkreta, åtgärdsbara säkerhetskontroller prioriterade efter effektivitet mot kända hot. Kontrollerna är uppdelade i implementationsgrupper (Implementation Groups) där IG1 innehåller basala hygien-kontroller (grundläggande cybersäkerhet), IG2 för medelstora organisationer och IG3 för företag med dedikerade säkerhetsteam. Ingen formell certifiering krävs, utan implementationen är självbedömd, vilket gör det mer kostnadseffektivt än ISO 27001-certifiering.
Exempel: Du implementerar CIS IG1 (grundläggande säkerhet) vilket inkluderar automatisk inventering av alla hårdvaru- och mjukvarutillgångar, automatiserad patchhantering inom 48 timmar för kritiska sårbarheter, centraliserad logginsamling från alla system, samt multifaktorautentisering för alla administrativa konton.
Jämförelse mellan CIS 18 och ISO 27001
När du jämför dessa två säkerhetsstandarder är det viktigt att förstå att de tjänar olika syften:
| Aspekt | ISO 27001 | CIS 18 |
|---|---|---|
| Typ | Ledningssystem (ISMS) | Teknisk implementationsguide |
| Fokus | Styrning och processtänk | Konkreta säkerhetskontroller |
| Flexibilitet | Riskbaserat - du väljer kontroller | Preskriptivt - definierade kontroller |
| Certifiering | Extern certifiering möjlig | Självbedömt |
| Dokumentation | Omfattande policies och processer | Fokus på implementation |
| Prioritering | Baserat på din riskanalys | Implementationsgrupper (IG1-IG3) |
| Tidsåtgång | 6-12 månader för certifiering | Beror på nivån/implementationsgruppen du väljer |
Att komma ihåg: ISO 27001 ger dig strukturen för att styra informationssäkerhet och compliance, medan CIS 18 ger dig de konkreta kontroller som stärker din cyberhygien.
Vanliga frågor
Vilken säkerhetsstandard ska jag välja - CIS 18 eller ISO 27001?
Båda ramverken kompletterar varandra. Välj ISO 27001 om du behöver certifiering för compliance, har krav från kunder/partners eller vill bygga ett formellt ledningssystem för informationssäkerhet. Välj CIS 18 om du vill ha konkret vägledning för teknisk implementation av säkerhetskontroller. Många organisationer använder dessutom CIS Controls som tekniskt ramverk för att faktiskt uppfylla flera av ISO 27001:s kontroller i Annex A.
Kan vi kombinera CIS 18 och ISO 27001 samtidigt?
Ja, och det är väldigt vanligt inom cybersäkerhet. ISO 27001 ger governance-strukturen för informationssäkerhetshantering medan CIS 18 ger praktiska implementationsåtgärder.
Hur mappar CIS 18 mot ISO 27001 i praktiken?
Center for Internet Security tillhandahåller officiella mappningar som visar hur varje CIS Control relaterar till ISO 27001 Annex A kontroller. Detta gör det enkelt att använda CIS som konkret implementationsguide när du arbetar mot ISO 27001-certifiering.
Vilken säkerhetsstandard är lättast att komma igång med?
CIS 18 är enklare att börja med för de flesta företag eftersom Implementation Group 1 innehåller konkreta, prioriterade säkerhetsåtgärder som kan implementeras direkt. ISO 27001 kräver mer omfattande förberedelse med gapanalys, avgränsning av omfattning, riskbedömning och policy-utveckling innan implementation kan börja - vanligtvis 3-6 månaders förarbete.
Vad kostar det att implementera och certifiera enligt ramverken?
CIS Controls är gratis att använda. Du kan ladda ner dokumentationen redan nu och börja implementera direkt utan licenskostnader. ISO 27001-standarden kostar någon tusen-lapp att köpa, plus betydande kostnader för konsulter (50 000-200 000 kr), utbildning och certifieringsaudit (ofta 100 000-500 000 kr totalt beroende på organisationsstorlek och komplexitet).
