När en bedömare eller revisor frågar hur din organisation är skyddad finns en stor del av svaret redan i Microsoft 365. Kontrollerna finns, loggarna samlas in och inställningarna tillämpas. Klyftan handlar sällan om tekniken. Den handlar om att kunna peka på exakt den inställning som uppfyller en kontroll, och att kunna ta fram bevis för den utan en veckas manuellt arbete.

Den här guiden kartlägger vanliga inställningar i Microsoft 365, Microsoft Entra och Microsoft Intune mot Cyber Essentials-kontrollerna och mot ett urval av ISO 27001:2022 Annex A-kontroller. Kontrollformuleringarna följer NCSC:s Cyber Essentials-krav och ISO/IEC 27001:2022. Betrakta kartläggningen som vägledning för att avgränsa dina bevis, inte som en ersättning för ditt certifieringsorgans krav, eftersom hur en kontroll tillämpas alltid beror på ditt eget omfång och din egen konfiguration.

Varför revisorer efterfrågar bevis från Microsoft 365

Cyber Essentials och ISO 27001 är båda bevisdrivna. En kontroll på papper räknas för lite om du inte kan visa att den tillämpas och fungerar. För de flesta organisationer som kör Microsoft 365 är plattformen där identiteter, enheter, e-post och uppdateringar styrs, vilket gör den till den enskilt rikaste beviskällan i bedömningen. Den praktiska frågan är hur man tar fram det beviset tydligt, på begäran och i en form som en bedömare godtar.

Cyber Essentials: de fem kontrollerna i Microsoft 365

Cyber Essentials definierar fem tekniska kontroller. Var och en kartläggs mot konkret konfiguration i Microsoft 365, Entra eller Intune, och var och en genererar bevis som du kan exportera.

Cyber Essentials-kontrollVar den finns i Microsoft 365Bevis du kan exportera
BrandväggarMicrosoft Defender Firewall hanterad via Intunes brandväggspolicyer för slutpunktssäkerhet på registrerade enheter; tjänstegränsen ligger hos Microsoft för molnplattformenBrandväggspolicykonfiguration och enheters brandväggsstatus från Intune-administrationscentret
Säker konfigurationIntune-konfigurationsprofiler och Windows-säkerhetsbaslinjer, Microsoft Secure Score, samt blockering av äldre autentisering i EntraTilldelning av baslinjer och efterlevnadsrapporter, Secure Score-historik, inloggningsrapport för äldre autentisering
AnvändaråtkomstkontrollMicrosoft Entra-konton, Conditional Access, multifaktorautentisering, roller med lägsta behörighet, samt processer för anställning, byte av roll och avslutExport av Conditional Access-policyer, inloggningsloggar, listor över rolltilldelningar, register över kontogranskningar
Skydd mot skadlig kodMicrosoft Defender Antivirus och Defender for Endpoint hanterade via Intune, samt Defender for Office 365 Safe Attachments och Safe LinksKonfiguration av antivirus- och Defender-policyer, enheters skyddsstatus och inställningar för e-posthotpolicyer
Hantering av säkerhetsuppdateringarWindows Autopatch eller Windows Update for Business uppdateringsringar, Intunes policyer för kvalitetsuppdateringar och uppdateringskanalen för Microsoft 365 AppsKonfiguration av uppdateringsringar samt efterlevnadsrapporter från Windows Update eller Autopatch som visar patchnivåer

Två punkter är värda att lyfta fram. För det första är Cyber Essentials intresserad av klientens brandvägg och säkra konfiguration på de enheter du hanterar, inte bara molntjänsten, så Intune-delen av kartläggningen väger tyngst. För det andra kallades hantering av säkerhetsuppdateringar tidigare för patchhantering; avsikten är densamma, och Windows Autopatch är det tydligaste sättet att styrka den.

ISO 27001:2022 Annex A: utvalda kontroller och bevisskällor

ISO 27001 är bredare än Cyber Essentials och omfattar styrning, människor och process utöver teknik. Kontrollerna nedan är ett urval av de tekniska och organisatoriska kontrollerna i Annex A där Microsoft 365 är en primär beviskälla. De är en utgångspunkt för din Statement of Applicability, inte den fullständiga uppsättningen.

Annex A-kontrollVad den kräverBevisskälla i Microsoft 365
A.5.15 ÅtkomstkontrollRegler för att styra fysisk och logisk åtkomst utifrån verksamhetens och säkerhetens kravConditional Access-policyer, Entra-rolltilldelningar samt register över åtkomstpaket eller åtkomstgranskningar
A.8.2 Privilegierade åtkomsträttigheterTilldelning och användning av privilegierad åtkomst begränsas och hanterasBehöriga roller i Microsoft Entra Privileged Identity Management, aktiveringsgodkännanden och nedladdningsbar granskningshistorik
A.8.7 Skydd mot skadlig kodSkydd mot skadlig kod med stöd av användarmedvetenhetPolicykonfiguration för Defender for Endpoint och Defender for Office 365 samt incident- och identifieringsrapporter
A.8.8 Hantering av tekniska sårbarheterInformation om tekniska sårbarheter tas fram, och exponeringen utvärderas och åtgärdasExponeringsrapporter från Microsoft Defender Vulnerability Management samt patchefterlevnad från Autopatch eller uppdateringsringar
A.8.13 Säkerhetskopiering av informationSäkerhetskopior upprätthålls och testas enligt en överenskommen policyKonfiguration av bevarandepolicyer i Microsoft Purview, samt dina egna register för konfigurations- och datasäkerhetskopiering

A.8.13 kräver särskild omsorg. Microsoft 365 tillhandahåller tjänsteredundans och bevarandekontroller som Purview-bevarandepolicyer, men det är inte en säkerhetskopieringsprodukt, och modellen för delat ansvar lämnar skyddet av din data och konfiguration hos dig. För en ISO 27001-säkerhetskopieringskontroll, styrk din bevarandekonfiguration och ditt separata tillvägagångssätt för att säkerhetskopiera data och klientkonfiguration, i stället för att antyda att plattformen säkerhetskopierar sig själv.

Så samlar du in bevis utan skärmdumpsmaraton

Skärmdumpar är långsamma, blir snabbt inaktuella, och en bedömare kan inte verifiera dem. Varje källa i tabellerna ovan kan i stället exporteras.

  • Microsoft Purview Audit loggsökning exporterar aktivitet i hela klienten till CSV, så att du kan visa vad som hände och när, över Exchange, SharePoint och administratörsåtgärder.
  • Microsoft Entra inloggnings- och granskningsloggar kan laddas ned direkt som CSV eller JSON, vilket styrker åtkomstkontroll, MFA och katalogändringar.
  • Microsoft Intune rapportexporter och vyer för enhetsefterlevnad styrker säker konfiguration, brandvägg, antivirus och uppdateringsstatus på hanterade enheter.
  • Microsoft Entra Privileged Identity Management tillhandahåller nedladdningsbar granskningshistorik för aktivering och godkännande av privilegierad åtkomst.
  • Microsoft Secure Score-exporter visar hur den säkra konfigurationen förbättras över tid.
  • Microsoft Purview Compliance Manager samlar förbättringsåtgärder och låter dig bifoga bevisfiler mot kontroller, vilket ger dig en enda plats att sammanställa ett bevispaket på.

För bevis från hanterade enheter kan ett Intune-rapporteringsverktyg omvandla compliance-, app-, update- och konfigurationssignaler till upprepningsbara revisionspaket.

För allt du upprepar, föredra en schemalagd export eller en Microsoft Graph- eller PowerShell-fråga framför manuell klickning genom gränssnittet. Upprepningsbara exporter håller bevisen aktuella mellan granskningscykler och tar bort den årliga stressen.

Var EtherAssist och EtherInsights passar in

Att veta vilken inställning som kartläggs mot vilken kontroll är halva jobbet. Den andra halvan är att organisera arbetsflödet, ta fram de policyer och rutiner som ligger över inställningarna, och sammanställa bevis som en bedömare godtar.

EtherAssist stödjer det efterlevnadsarbetsflödet. Det hjälper team att kartlägga kontroller mot bevis i Microsoft 365, ta fram och underhålla policyer och rutiner, strukturera bedömningar och förbereda ett bevispaket för ramverk som ISO 27001, ISO 9001, ISO 42001 och Cyber Essentials. Det är kontrollerad efterlevnad och bevisförberedelse med en människa i loopen; det organiserar och påskyndar arbetet, och det ersätter varken ditt certifieringsorgan eller garanterar ett certifieringsresultat.

EtherInsights täcker säkerhetsläget. Det ger dig en överblick över säkerhetskonfigurationen i Microsoft 365, en baslinje för klienten och avvikelseidentifiering, så att en kontroll du styrkte vid granskningen inte tyst ändras efteråt. Konfigurationssäkerhetskopiering, avvikelser och återställning håller miljön stabil mellan bedömningar, vilket är precis det som gör att bevisen förblir pålitliga över tid.

Att kartlägga inställningar mot kontroller är det snabbaste sättet att omvandla en Microsoft 365-klient du redan kör till granskningsklara bevis. Börja med de fem Cyber Essentials-kontrollerna, utöka till de Annex A-kontroller som är relevanta för ditt omfång, och ersätt skärmdumpar med exporter du kan upprepa.

Utforska ISO-efterlevnad och granskningsberedskap för att se hur ett kontrollerat efterlevnadsarbetsflöde och bevisförberedelse hänger ihop.