SecureFirst — STAY AHEAD, STAY SECURE
SecureFirst — STAY AHEAD, STAY SECURE

CIS Control 2 - Inventory and Control of Software Assets

CIS Controls — 18. marts 2026

I dette afsnit gennemgår vi CIS Control 2: Inventory and Control of Software Assets.

Formålet med denne kontrol er at sikre, at virksomheden aktivt styrer alt software på netværket, så kun autoriseret software er installeret og kan eksekvere, og at uautoriseret og uhåndteret software identificeres og forhindres i installation eller eksekvering.

For at understøtte dette skal virksomheden etablere og vedligeholde en proces for software asset management.

Hvad omfatter software assets?

Software assets omfatter programmer og operativ information, der anvendes på enterprise assets.

Det inkluderer

• Operativsystemer • Applikationer

Applikationer kan være webapplikationer, databaseapplikationer, cloudbaserede applikationer og mobile applikationer.

Software omfatter også komponenter som services og libraries.

Der findes forskellige typer software, herunder

• Free software • Freeware • Open source • Commercial off the Shelf software • Internt udviklede applikationer • Shareware • Scripts

Uanset type skal softwaren håndteres systematisk.

Etablering og vedligeholdelse af et softwareinventar

Virksomheden skal etablere og vedligeholde et detaljeret og opdateret softwareinventar over al licenseret software installeret på enterprise assets.

For hver softwarepost skal følgende som minimum registreres

• Titel • Udvikler eller publisher • Dato for anskaffelse • Dato for installation • Varighed af brug • Forretningsmæssigt formål • App store • Version • URL • Deploymentsmekanisme • End-of-support dato, hvis kendt • End-of-life dato, hvis kendt • Relevant licensinformation • Decommission dato

Softwareinventaret skal verificeres mindst hver sjette måned eller oftere efter behov.

Da softwareinventaret kan indeholde følsomme oplysninger, skal det beskyttes mod uautoriseret adgang og ændringer.

Procurement og installation

Kun IT er godkendt til at anskaffe software.

IT skal vedligeholde en liste over godkendte softwareleverandører, og software må kun købes fra leverandører på denne liste.

Kun software, der er godkendt af IT, må installeres.

Kun godkendte cloud services må anvendes i virksomheden.

Mobile enheder må kun hente software fra IT godkendte kilder.

Ved installation skal softwaren registreres i softwareinventaret sammen med de relevante oplysninger.

Discovery og håndtering af uautoriseret software

IT skal månedligt gennemgå al software installeret på enterprise assets.

Al installeret software skal rapporteres til IT regelmæssigt.

Nyopdaget software skal kontrolleres mod listen over godkendt software i softwareinventaret.

Software, der ikke fremgår af inventaret, skal undersøges, da det kan være uautoriseret.

Hvis software er uautoriseret

• Enheder med uautoriseret software skal fjernes fra netværket, medmindre midlertidig adgang gives af IT • Tilstedeværelsen skal undersøges korrekt • Uautoriseret software skal fjernes fra brug eller have en dokumenteret undtagelse

Hvis software vurderes som skadelig, kan det være relevant at aktivere virksomhedens incident response proces.

Sikring af at software er understøttet

Kun aktuelt understøttet software må være autoriseret i softwareinventaret.

Hvis software er unsupported, men nødvendig for virksomhedens mission, skal der dokumenteres en undtagelse med beskrivelse af kompenserende kontroller og accept af rest risiko.

Unsupported software uden dokumenteret undtagelse skal betegnes som uautoriseret.

Listen over software skal gennemgås mindst månedligt for at verificere software support status.

Update, upgrade og removal

Alle updates og upgrades skal godkendes af IT før installation. Automatisk opdatering konfigureret af IT betragtes som godkendelse.

Updates er ændringer som patches og mindre opdateringer.

Upgrades er udskiftning med en nyere version med større ændringer eller nye funktioner.

Software, der skal udfases, skal fjernes fra alle enterprise assets.

Enheder med retired software skal beskyttes med yderligere defensive tiltag, såsom isolation eller fjernelse fra netværket.

IT skal kopiere brugerdata efter behov og sikre, at retired software ikke har lagret data på andre servere eller cloud infrastruktur, som virksomheden ikke ejer.

Afslutning

CIS Control 2 kræver, at virksomheden etablerer og vedligeholder et detaljeret og opdateret softwareinventar, sikrer at kun godkendt og understøttet software anvendes, samt identificerer og håndterer uautoriseret software systematisk.

Kontrollen dækker hele softwarelivscyklussen fra anskaffelse og installation til opdatering og fjernelse.

Tak fordi du lyttede med.