SecureFirst — STAY AHEAD, STAY SECURE
SecureFirst — STAY AHEAD, STAY SECURE

CIS Control 7 - Continuous Vulnerability Management

CIS Controls — 18. marts 2026

I dette afsnit gennemgår vi CIS Control 7: Continuous Vulnerability Management.

Formålet med denne kontrol er at etablere og vedligeholde en dokumenteret proces for at identificere, prioritere, afhjælpe og overvåge sårbarheder i enterprise assets og software.

Sårbarheder findes i alle typer enterprise assets, herunder end-user devices, netværksenheder, non-computing og IoT devices samt servere i fysiske, virtuelle og cloudbaserede miljøer. Alle enterprise assets vil indeholde sårbarheder på et tidspunkt i deres livscyklus. Derfor skal håndteringen være en kontinuerlig proces.

Hvad kræver Control 7?

Control 7 består af to centrale krav

• Der skal etableres og vedligeholdes en dokumenteret vulnerability management proces • Der skal etableres og vedligeholdes en risikobaseret remediation proces

Begge processer skal gennemgås og opdateres mindst årligt eller ved væsentlige ændringer i virksomheden. Remediation processen skal gennemgås månedligt eller oftere.

Vulnerability Management Lifecycle

Vulnerability management følger en livscyklus med fire trin

• Assess • Prioritize • Remediate • Monitor

Assess – Identifikation af sårbarheder

Virksomheden skal etablere en dokumenteret proces for at identificere sårbarheder.

Alle systemer, der er forbundet til virksomhedens netværk, skal scannes for sårbarheder.

IT skal overvåge sårbarhedsmeddelelser og nye trusler, som er relevante for virksomhedens asset inventory.

Identifikation kan ske gennem

• Automatiserede scanninger • Manuel analyse • Brug af trusselsinformation

Det anbefales at anvende værktøjer, der kan mappe sårbarheder til industristandarder som CVE, CPE og CVSS for at sikre ensartet klassifikation og vurdering.

Der skal være en skriftlig plan, som beskriver scanning, prioritering og remediation samt roller og ansvar i processen.

Prioritize – Prioritering af sårbarheder

Identificerede sårbarheder skal prioriteres.

Mere kritiske sårbarheder skal adresseres først.

Virksomheden kan anvende en risikobaseret tilgang, hvor CVSS score suppleres med vurdering af:

• Sandsynligheden for udnyttelse • Potentiel forretningsmæssig påvirkning

Trusselsinformation skal opdateres løbende, så prioriteringen justeres ved nye exploits eller aktiv udnyttelse.

Vulnerability data kan kobles til ticket systemer for at følge status og fremdrift i afhjælpning.

Remediate – Afhjælpning og patching

Der skal etableres og dokumenteres en remediation proces.

Denne proces skal gennemgås mindst årligt eller ved væsentlige ændringer.

High severity sårbarheder skal adresseres som en prioritet.

Operating systems skal konfigureres til automatisk opdatering, medmindre en alternativ godkendt patchproces anvendes.

Applikationer skal konfigureres til automatisk opdatering, medmindre en alternativ godkendt patchproces anvendes.

Automatiseret patch management for operativsystemer og applikationer skal udføres månedligt eller oftere.

Alle brugere har pligt til at installere opdateringer rettidigt og sikre, at nødvendige genstarter gennemføres inden for rimelig tid.

Hvis en sårbarhed ikke kan afhjælpes, skal den behandles gennem en dokumenteret vulnerability exception proces.

Monitor – Kontrol og opfølgning

Der skal være en kvalitetskontrol, som verificerer, at patches og opdateringer er implementeret korrekt på alle relevante enterprise assets.

Overvågning skal sikre, at sårbarheder er fjernet, og at afhjælpning ikke har introduceret nye problemer.

IT skal abonnere på en trusselsinformationsservice for at modtage meddelelser om nye patches og opdateringer.

Hver måned skal IT udarbejde en rapport over status på alle kendte sårbarheder i virksomheden.

Hvis sårbarheder ikke afhjælpes rettidigt, skal den relevante beslutningstager informeres.

Processen er kontinuerlig og fører tilbage til ny vurdering og scanning af enterprise assets.

Afslutning

CIS Control 7 kræver en dokumenteret og løbende proces for at identificere, prioritere, afhjælpe og overvåge sårbarheder i alle enterprise assets.

Sårbarhedshåndtering er en kontinuerlig aktivitet, som omfatter scanning, risikobaseret prioritering, systematisk patching og løbende rapportering.

Tak fordi du lyttede med.