Hoppa till innehåll
Nätfiske för problem –
IO Podcasten återvänder för säsong 2 Lyssna nu
ISMS.online

A.5.17 Autentiseringsinformation – Förstärkning av MSP-autentiseringsuppgifter och hemligheter

MSP-inloggningsuppgifter öppnar dörren för varje kund du betjänar. ISO 27001 A.5.17 förväntar sig nu att varje lösenord, token och nyckel styrs med granskningsbara, förklarbara processer – inga genvägar eller delade hemligheter. Denna skärpning handlar inte bara om efterlevnad; det handlar om hur du skyddar ditt rykte och möter de ökande kraven från revisorer, försäkringsbolag och företagsköpare.

Författare
Mark Sharron
Uppdaterad mars 19, 2026
4/5 stjärnor

Varför är MSP-inloggningsuppgifter nu den primära attackvägen?

MSP-inloggningsuppgifter är nu en primär attackväg eftersom ett privilegierat konto kan låsa upp många kundmiljöer samtidigt. Varje teknikerinloggning, token eller API-nyckel koncentrerar risken över din portfölj, inte bara en klient. Angripare ser din MSP som ett nav, så om de fångar rätt identitet kan de snabbt växla mellan hyresgäster och omvandla din operativa räckvidd till sin hävstång i stor skala. Riktlinjer för identitets- och åtkomsthantering från nationella cybersäkerhetsorgan, såsom NCSC:s 10-stegsråd om identitets- och åtkomsthantering, belyser också att kompromettering av privilegierade identiteter är en av de vanligaste vägarna in i organisationer, vilket gör dessa identiteter särskilt kritiska i en MSP-modell med flera hyresgäster.

Denna information är allmän och utgör inte juridisk rådgivning eller rådgivning om regelefterlevnad. Du bör alltid söka professionell vägledning för din specifika situation.

De flesta organisationer i ISMS.online-undersökningen 2025 säger att de har påverkats av minst en säkerhetsincident hos tredje part eller leverantör under det senaste året.

Den MSP-breda sprängradien för en enda autentiseringsuppgift

Ett enda komprometterat teknikerkonto eller verktygsuppgifter kan ge en inkräktare nästan samma räckvidd som ditt team har. I en MSP-stack med flera hyresgäster kan det innebära åtkomst till fjärrhanteringskonsoler, molnportaler, säkerhetskopieringssystem och leverantörsdashboards som alla litar på samma identitet. Ett misstag kan därför orsaka samtidiga incidenter hos många kunder istället för ett enda isolerat intrång. Analyser av större intrång i leveranskedjor och tjänsteleverantörer visar upprepade gånger hur komprometterade incidenter av ett enda tjänstekonto, en integrationsnyckel eller en MSP-verktygsuppgifter kan spridas snabbt över många nedströmsorganisationer.

När en angripare har den identiteten kan de röra sig lateralt mellan hyresgäster, distribuera skadlig kod som om de vore en del av er personal och manipulera loggar eller säkerhetskopior för att dölja sina spår. Resultatet är inte bara driftstopp för en kund; det kan bli långsiktiga kundförluster, avtalsenliga påföljder och allvarliga ryktesskador som undergräver era tillväxtplaner.

Varför traditionella autentiseringsvanor misslyckas i miljöer med flera hyresgäster

Traditionella vanor som att dela administratörslösenord, spara inloggningsuppgifter i webbläsare eller förvara dem i ostrukturerade anteckningar var knappt tolererbara i ett nätverk med en enda organisation; de är oacceptabla i en MSP. Era ingenjörer växlar snabbt mellan hyresgäster, verktyg och supportuppgifter, och bekvämlighetsdrivna genvägar är oundvikliga när det inte finns något centralt sätt att arbeta säkert. I ett sammanhang med flera hyresgäster exponerar dessa genvägar många miljöer samtidigt.

Om du fortfarande förlitar dig på delade globala administratörskonton eller webbläsarsparade lösenord vet du redan hur obekväma granskningar och kundfrågor kan kännas. Dessa beteenden förstör också ansvarsskyldigheten. Om flera ingenjörer delar ett konto kan du inte se vem som gjorde vad, så du har svårt att svara på kundfrågor eller granskningsfrågor med tillförsikt. Tillsynsmyndigheter och företagsköpare förväntar sig nu att privilegierad åtkomst ska vara individuell, tidsbunden och övervakad, och de behandlar svaga metoder kring autentiseringsinformation som en direkt affärsrisk. Branschkommentarer beskriver alltmer identitet som det nya säkerhetsslagfältet, där försäkringsbolag och stora köpare fokuserar på om privilegierad åtkomst är knuten till namngivna användare, begränsad i tid och granskningsbar.

ISO 27001:2022 kontroll A.5.17 introducerades för att hantera den bredare uppsättningen moderna risker kring autentiseringsinformation och uppmuntrade organisationer – inklusive MSP:er – att gå ifrån informella metoder för hantering av hemligheter till hanterade, granskningsbara kontroller. Den förväntar sig att ni går från informella vanor till en hanterad process där allokering, användning, övervakning och återkallelse av autentiseringsinformation är avsiktligt, dokumenterat och granskningsbart i alla miljöer ni berör.

Boka demo


Vad förväntar sig ISO 27001 A.5.17 egentligen av en MSP?

ISO 27001:2022 A.5.17 förväntar sig att ni behandlar autentiseringsinformation som en hanterad tillgång med en tydlig livscykel. För en MSP innebär det att varje lösenord, token, nyckel, PIN-kod och återställningsfaktor som ni hanterar för interna system eller kundmiljöer måste skapas, lagras, användas, ändras och återkallas enligt regler som ni kan förklara och bevisa. Ägare, säkerhetsansvariga och verksamhetschefer måste alla kunna visa hur dessa regler fungerar i praktiken. Formuleringen i A.5.17 i ISO/IEC 27001:2022 tydliggör att autentiseringsinformation bör styras som en del av ert ISMS, med definierade aktiviteter för skapande, användning, ändring och återkallelse snarare än ad hoc-beslut.

Förvandla kompakt kontrollspråk till vanlig engelska

Kärnan i A.5.17 är att all hemlig identitetskontroll hanteras medvetet, inte utlämnas till personliga preferenser eller stamkunskaper. Enkelt uttryckt förväntar sig kontrollen att du definierar åtminstone:

  • Vem kan begära en legitimation.
  • Vem godkänner den begäran.
  • Hur stark referensen måste vara.
  • Hur det levereras till användaren eller systemet.
  • Där den förvaras och skyddas.
  • När det måste ses över eller ändras.
  • Hur missbruk eller kompromettering upptäcks.
  • Hur och när den återkallas.

Dessa beslut bör vara konsekventa i er interna miljö och ert kundarbete. Er egen servicedesk, fjärrövervakning och hantering (RMM) och plattformar för automatisering av professionella tjänster (PSA), dokumentationssystem, säkerhetskopieringskonsoler, källkontroll och identitetsleverantörer ingår helt klart. Detsamma gäller kundernas molnhyresgäster, lokala domäner, brandväggar, SaaS-konsoler och tredjepartsportaler där er personal använder eller lagrar inloggningsuppgifter för det dagliga arbetet.

Enligt ISMS.online-undersökningen från 2025 förväntar sig många kunder nu att deras leverantörer ska anpassa sig till formella ramverk som ISO 27001, ISO 27701 , GDPR, Cyber ​​Essentials och SOC 2.

Du kan inte bara säga ”det där är kundens inloggningsuppgifter” om dina anställda hanterar dem regelbundet. Om en hemlighet skapas, lagras, används eller stöds av ditt team, faller den under din A.5.17-process och måste omfattas av dina policyer, procedurer och bevis, även när systemet tekniskt sett tillhör kunden.

Omfattning av "autentiseringsinformation" så att du inte missar något

A.5.17 förväntar sig att du är exakt om vad "autentiseringsinformation" betyder i ditt sammanhang snarare än att bara fokusera på uppenbara lösenord. Stödjande vägledning i ISO/IEC 27002:2022 för kontroll A.5.17 breddar uttryckligen termen till att omfatta tokens, nycklar och andra hemligheter som används för att bevisa identitet, inte bara lösenord. I praktiken innebär det att inkludera mindre synliga hemligheter bredvid användaruppgifter så att de inte glöms bort i din kontrolldesign. När du börjar lista dem kan antalet olika hemlighetstyper i en MSP med flera hyresgäster vara överraskande.

Du behöver vanligtvis ta hänsyn till saker som:

  • API-nycklar, klienthemligheter och tokens som används i automatisering och integrationer.
  • SSH-nycklar, certifikat och fördelade VPN-nycklar som används av ingenjörer och verktyg.
  • Återställningskoder och hårdvarutoken-frön för flerfaktorsautentisering.
  • Biometriska mallar på enheter eller system som du konfigurerar eller administrerar.

En strukturerad avgränsningsövning identifierar var dessa objekt finns, vilka system de skyddar och vilka team som använder dem. Därifrån bestämmer du vilka policyer och rutiner som behöver uppdateras, vilka verktyg som måste införas i ditt informationssäkerhetshanteringssystem (ISMS) och var nya kontroller krävs. Målet är att när en revisor, kund eller försäkringsgivare frågar "hur hanterar ni autentiseringsinformation?", kan ni visa en tydlig helhetscykel snarare än en samling av sammanhängande metoder.

För att förstärka den förändringen är det bra att jämföra äldre vanor med metoder som är anpassade till A.5.17:

Area Gammal vana A.5.17-anpassad praxis
Skapande av autentiseringsuppgifter Skapande av ad hoc-konto Godkänd, loggförd och kopplad till en risk/kontroll
lagring Webbläsare, anteckningar eller delade kalkylblad Centralt valv med rollbaserad åtkomst
Rotation och återkallelse Först efter incidenter Schemalagda granskningar plus händelsestyrd återkallelse
Bevis Skärmdumpar i e-postkedjor Kontrollerade poster länkade till ISMS-kontroller

Att se skillnaderna framställda på detta sätt gör det lättare för team att förstå varför kontrollen är viktig och var det dagliga arbetet behöver förändras.



ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Ett försprång på 81 % från dag ett

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

Att börja


Var läcker och missbrukar MSP:er egentligen autentiseringsinformation idag?

MSP:er läcker och missbrukar ofta autentiseringsinformation på fler ställen än chefer förväntar sig eftersom hemligheter förekommer i många verktyg, arbetsflöden och genvägar. När man tittar noga på teknikers dagliga arbete är det vanligt att hitta inloggningsuppgifter utspridda över webbläsare, chattloggar, ärenden, personliga lösenordshanterare, dokumentationssystem och skript. A.5.17 uppmanar dig att erkänna dessa realiteter och bestämma hur de ska hanteras.

Dolda referenser spridda över verktyg och team

Den första överraskningen hos de flesta MSP:er är hur många icke-användarhemligheter som finns som ingen aktivt äger. Utöver namngivna användarkonton kommer du vanligtvis att upptäcka:

  • Delade administratörsinloggningar för RMM-, PSA-, säkerhetskopierings- och dokumentationsverktyg.
  • Servicekonton i kunddomäner för övervakning, säkerhetskopiering eller integrationer.
  • Långlivade API-nycklar för molntjänster, webhooks eller leverantörs-API:er.
  • Krypteringsnycklar och certifikat som lagras informellt på ingenjörers enheter.

Många av dessa hemligheter har ingen tydlig ägare, inget dokumenterat syfte och inget utgångsdatum. De kan ha skapats under en migrering, ett projekt eller en nödsituation och sedan lämnats orörda eftersom de "bara fungerar". Branschstudier om autentiseringsvanor rapporterar liknande mönster, med många högvärdiga konton som saknar tydligt ägarskap, dokumentation och definierat utgångsdatum i många organisationer, vilket framhävs i arbete som studien Security Credential Habits. Eftersom dessa hemligheter körs tyst i bakgrunden inkluderas de sällan i rutinmässiga åtkomstgranskningar eller riskbedömningar, men de är attraktiva mål: kraftfulla, förutsägbara och ofta dåligt övervakade.

I ISMS.online-undersökningen State of Information Security från 2025 angav cirka 41 % av organisationerna hantering av tredjepartsrisker och uppföljning av leverantörers efterlevnad som en av de största säkerhetsutmaningarna.

A.5.17 ger er en anledning – och ett krav – att föra in dessa dolda tillgångar i en kontrollerad inventering. Implementeringskommentarer till A.5.17 betonar att organisationer bör identifiera och hantera alla former av autentiseringsinformation, vilket naturligtvis leder till att man upprätthåller en inventering av sådana hemligheter som en del av kontrollomfattningen. Den inventeringen är grunden för alla seriösa försök att minska attackytan och visa kontroll för kunder, revisorer och försäkringsbolag som vill förstå hur ni hanterar privilegierad åtkomst.

Vardagliga vanor som undergräver även stark teknologi

Även om man lanserar moderna verktyg kan vardagliga mänskliga vanor snabbt undergräva dem. Ingenjörer kan exportera lösenord från ett valv till ett kalkylblad så att de kan "arbeta offline", klistra in administratörslösenord i ärenden eller chatta för enkelhets skull eller återanvända personliga hemligheter när de skapar nya konton. Flerfaktorsautentisering kan tillämpas på flaggskeppssystem men tyst inaktiveras eller kringgås där det gör att användare saktar ner.

Om dina hemligheter fortfarande är utspridda över webbläsare, chatt och personliga verktyg, vet du redan hur svårt det är att resonera kring risker. Dessa beteenden är förståeliga under tidspress, men de står i direkt konflikt med A.5.17:s förväntan om kontrollerad allokering och hantering. De gör det också svårt att svara på grundläggande frågor efter en incident, till exempel "exakt vilka hemligheter kunde denna komprometterade bärbara dator ha avslöjat?" eller "vilka kundhyresgäster var i riskzonen från detta konto?". Utan dessa svar förlorar din incidentrespons och kundkommunikation snabbt trovärdighet.

Små designförändringar bidrar till att minska behovet av osäkra lösningar, till exempel kan du:

  • Inaktivera lagring av webbläsarlösenord för administratörskonton.
  • Blockera exporter från ditt centrala valv med hjälp av policyer och tekniska kontroller.
  • Kräv multifaktorautentisering för alla privilegierade roller, inte bara huvudsystem.

Dessa åtgärder eliminerar inte all mänsklig risk, men de minskar utrymmet där informella lösningar i tysthet kan urholka din kontrollmiljö och skapa svårspårbar exponering av autentiseringsuppgifter.



Hur bör man utforma en A.5.17-anpassad strategi för autentisering av flera hyresgäster?

En A.5.17-anpassad autentiseringsstrategi för MSP:er klassificerar autentiseringsuppgifter efter påverkan och anger minimiskydd per nivå. När du väl förstår ditt autentiseringsuppgifterlandskap kan du gå från individuella vanor till en definierad modell där olika typer av hemligheter har tydliga behandlingsregler. Målet är att kompromettering av en autentiseringsuppgifter inte automatiskt äventyrar alla kundklienter du stöder.

Definiera autentiseringsnivåer och minimiskydd

Ett praktiskt sätt att börja är att definiera nivåer av autentiseringsinformation baserat på påverkan och sedan koppla tydliga minimikontroller till varje nivå. Detta låter dig skala förnuftiga regler över hyresgäster istället för att förhandla om varje konto individuellt. Personalen lär sig också snabbt vilka hemligheter som kräver striktare hantering och varför vissa steg inte är förhandlingsbara.

Du kan definiera nivåer som:

  • Nivå 1 – Glaskrossar och plattformsägare: nödkonton, superadministratörer för identitetsleverantörer, kärn-RMM och PSA-ägare.
  • Nivå 2 – Hyresgäst och systemadministratörer: kundadministratörer för hyresgäster, domänadministratörer, brandväggsadministratörer, SaaS-roller med hög behörighet.
  • Nivå 3 – Ingenjörs- och supportroller: namngivna personalkonton med utökade men begränsade behörigheter i verktyg och hyresgäster.
  • Nivå 4 – Tjänst- och automatiseringsidentiteter: servicekonton, skript, schemaläggare och API-integrationer.
  • Nivå 5 – Standardanvändarkonton och hemligheter med låg risk:

För varje nivå definierar du minimikontroller som multifaktorautentisering, lagringskrav, rotationsfrekvens, övervakningsförväntningar och godkännandeprocesser. Det omvandlar vaga riktlinjer till konkreta regler som "Hemligheter på nivå 1 och 2 finns endast i valvet, nås via ett privilegierat arbetsflöde och roteras automatiskt var nittionde dag eller efter en incident".

Värdet med den här modellen är att den skalbar. När du lägger till hyresgäster, verktyg eller regioner klassificerar du nya autentiseringsuppgifter till rätt nivå och tillämpar samma grundläggande skydd, snarare än att uppfinna nya regler varje gång. Med tiden tänker personalen i nivåer och förstår varför vissa hemligheter har strängare hanteringsförväntningar.

Balans mellan ambition, traditionella begränsningar och affärsmål

Det är frestande att designa en perfekt modell där inget privilegierat konto existerar utan just-in-time-höjning och varje hemlighet roteras dagligen. I verkligheten måste du balansera ambitionen med begränsningarna i äldre system, kundernas budgetar och din egen kapacitet. Vissa system kan ännu inte stödja moderna modeller, och vissa kunder kommer bara att röra sig i en viss takt.

Du kanske bestämmer dig för att "ingen permanent behörighet" är möjlig för molnbaserade hyresgästadministratörsroller med hjälp av inbyggda funktioner för hantering av privilegierade identiteter, men att vissa lokala system för närvarande kommer att förlita sig på traditionella konton. Du dokumenterar detta, specificerar kompenserande kontroller som strängare övervakning eller strängare fysisk säkerhet och schemalägger regelbunden omvärdering för att undvika obestämda undantag.

Det är också viktigt att ha affärsmålen i sikte. Er strategi bör stödja snabb kundintroduktion, smidig integration av förvärv och efterlevnad av sektorspecifika förväntningar, såsom finansiella eller hälsovårdsregler. Använd på detta sätt blir A.5.17 mindre av en kryssruta för efterlevnad och mer ett sätt att minska risken för att en uppsättning referenser kan undergräva hela er tjänsteportfölj.



klättring

Befria dig från ett berg av kalkylblad

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo


Vilka arkitekturer fungerar egentligen för valv, PAM, KMS och JIT i en MSP-stack?

MSP:er drar nytta av en enkel referensarkitektur som kombinerar identitet, hemlighetsvalv, hantering av privilegierad åtkomst och nyckelhantering i en sammanhängande design. Målet är att minska hur ofta personal behöver se eller hantera råa hemligheter samtidigt som de stöder verkliga arbetsflöden. När dessa byggstenar fungerar tillsammans får du den insyn och kontroll som A.5.17 förväntar sig utan att förlama dina ingenjörer.

En praktisk referensarkitektur använder en central identitetsleverantör, ett delat valv, ett lager för hantering av privilegierad åtkomst och strukturerad nyckelhantering som alla förstärker varandra. Personal autentiserar sig en gång, får rätt åtkomstnivå och hanterar sällan råa hemligheter direkt. Detta minskar attackytan och gör det enklare att bevisa för kunder och granskare att ni hanterar autentiseringsinformation konsekvent.

Ett typiskt mönster för en MSP ser ut så här:

  • Identitetsleverantör i centrum: All personal autentiserar sig via en central identitetsplattform som tillämpar stark flerfaktorsautentisering och villkorlig åtkomst.
  • Hemlighetsvalv för mänskligt använda inloggningsuppgifter: administratörer undviker webbläsare eller anteckningar och använder ett centralt valv för att hämta privilegierade lösenord vid behov.
  • PAM-arbetsflöden för högriskoperationer: tekniker begär godkänd, tidsbunden höjning istället för att använda delade administratörsinloggningar för hyresgästadministration.
  • Nyckelhantering för kryptografiskt material: Krypteringsnycklar och certifikat hanteras i ett dedikerat system som tillämpar rotation och registrerar användning.

I den här designen integreras valvet, PAM och nyckelhanteringssystemet med din identitetsleverantör så att åtkomst till dem styrs centralt. Personalidentiteter mappas till roller, och dessa roller avgör vilka hemligheter de kan använda och under vilka omständigheter. Detta stöder direkt A.5.17:s betoning på kontrollerad allokering, säker användning, övervakning och återkallelse av autentiseringsinformation.

Utforma för hyresgästseparation, motståndskraft och verkliga arbetsflöden

En MSP-specifik design måste också ta hänsyn till hyresgästseparation och motståndskraft så att du kan hålla tjänsterna igång på ett säkert sätt. Du måste kunna svara på frågor som:

  • Hur säkerställer man att en ingenjör med tillgång till många hyresgäster inte enkelt kan korsa gränser när de använder privilegierade verktyg?
  • Kommer ni att använda ett enda centralt valv för alla kunder, eller separata logiska eller fysiska valv för olika segment eller högriskkunder?
  • Vad händer om valvet, identitetsleverantören eller PAM-tjänsten inte är tillgänglig under en incident eller ett större avbrott?

Svaren beror på er storlek och riskaptit, men de bör vara explicita snarare än antagna. Många MSP:er använder mönster som roller per hyresgäst i RMM och molnplattformar, loggning per hyresgäst där det är möjligt och tydlig arbetsuppdelning mellan ingenjörer som utformar åtkomst och de som godkänner eller granskar den.

Även den dagliga verkligheten behöver uppmärksammas. Fjärrsupport, skript, felsökning utanför arbetstid och projektarbete skapar press för genvägar om arkitekturen är för stel. Att involvera operativa ledare i arkitekturdiskussionen tidigt hjälper dig att utforma mönster som är både säkra och fungerande för dina tekniker.

En plattform som ISMS.online kan hjälpa dig att dokumentera och spåra denna arkitektur tillsammans med de policyer, risker och kontroller som stöder den, så att du kan utveckla designen utan att glömma varför den ser ut som den gör eller hur den stöder A.5.17.



Hur kör man livscykelåtgärder för MSP-hemligheter i praktiken?

Livscykeloperationer omvandlar din strategi och arkitektur till dagligt beteende genom att definiera hur hemligheter begärs, skapas, används, roteras och återkallas. A.5.17 förväntar sig att hemligheter inte bara skapas säkert utan också ändras, tas bort och granskas på ett disciplinerat sätt. För MSP:er måste denna livscykel omfatta personalförflyttningar, kundintroduktion och -offboarding, verktygsändringar och incidenthantering för många hyresgäster. Vägledningen för A.5.17 i ISO/IEC 27002:2022 förstärker detta genom att beskriva livscykelaktiviteter som registrering, hantering, återkallelse och utbyte av autentiserare.

Definiera standardarbetsflöden för skapande, rotation och återkallelse

En robust livscykelmodell täcker hela resan för varje autentiseringsuppgifter eller nyckel, från begäran till pensionering. Den omvandlar ad hoc-reaktioner till en repeterbar sekvens av steg så att olika autentiseringsuppgifter följer konsekventa vägar med lämpliga godkännanden, kontroller och bevis i varje steg. Det är den konsekvensen som gör livscykelhanteringen synlig och granskningsbar.

Du kan uttrycka livscykeln som fem enkla steg.

Steg 1 – Skapa med syfte och godkännande

Skapandet begärs genom en definierad process, motiveras med en affärsmässig anledning och godkänns där risken är hög. Hemligheter genereras med hjälp av säkra standardvärden som stark slumpmässighet och unika värden, inte återanvända mönster.

Steg 2 – Förvara och distribuera säkert

Nya hemligheter hamnar direkt i rätt valv eller system och levereras till personal eller system med hjälp av krypterade kanaler. De kopieras aldrig till okontrollerade platser som e-post, chatt eller personliga anteckningar, inte ens tillfälligt.

Steg 3 – Använd med minsta möjliga behörighet och loggning

Användningen medieras av verktyg som tillämpar lägsta möjliga behörighet, tillämpar flerfaktorkontroller där så är lämpligt och loggar vem som använde vilka inloggningsuppgifter, för vilket ändamål och när. Personalen använder namngivna konton istället för delade inloggningar där det är möjligt.

Steg 4 – Granska och rotera regelbundet

Hemligheter granskas på nytt enligt ett definierat schema för att bekräfta behov, justera behörigheter och rotera värden. Ytterligare rotation utlöses av händelser som rollbyten, misstänkt kompromettering, leverantörsmeddelanden eller betydande arkitekturuppdateringar.

Steg 5 – Återkalla och förstöra på ett korrekt sätt

När en hemlighet inte längre behövs återkallas den omedelbart och tas bort från valv, system och dokumentation. Cachade kopior rensas så att inloggningsuppgifterna inte av misstag kan återanvändas i skript, anteckningar eller gamla spelböcker.

Vissa av dessa steg kan automatiseras; andra är beroende av mänsklig disciplin. Den viktiga punkten för A.5.17 är att varje kategori av behörighet har en tydlig livscykelväg och att du kan visa revisorer och kunder var du följer den och hur du hanterar undantag.

Hantering av undantag, nödåtkomst och mänskliga faktorer

Ingen livscykel är komplett utan tydliga regler för undantag och nödsituationer. Det kommer att finnas system som inte kan stödja modern autentisering, och det kommer att finnas tillfällen då normala åtkomstvägar misslyckas och du behöver alternativ för att bryta glaset. A.5.17 förbjuder inte detta; det förväntar sig att du kontrollerar det synligt och eftertänksamt.

För undantag kan du tilldela en riskägare, dokumentera varför undantaget finns, definiera kompenserande kontroller som extra övervakning eller strängare fysisk säkerhet och ge ett utgångsdatum för omvärdering. Det förvandlar det som kan vara en permanent svaghet till en hanterad, tidsbunden risk som du kan diskutera öppet med kunder och revisorer.

För nödåtkomst kan du definiera hur specialkonton skapas, var inloggningsuppgifterna lagras, vem som kan använda dem, hur användningen loggas och hur inloggningsuppgifterna roteras eller återkallas efter användning. På så sätt bevarar du både tillgänglighet under kriser och ansvarsskyldighet efteråt.

Ni måste också planera för mänskliga realiteter: personal som lämnar oväntat, entreprenörer som slutför uppdrag, fusioner och förvärv som ändrar vem som äger vilka system eller hyresgäster. Att integrera processer för nyanställda, flyttare och lämnare inom HR, kundrelationssystem och identitetsplattformar minskar dramatiskt risken för att privilegierade konton lämnas föräldralösa. När dessa livscykelprocesser registreras som arbetsflöden i ert ISMS, med tydliga ägare och bevis, blir det mycket lättare att visa revisorer och kunder att A.5.17 inte bara är en policy på papper.



ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Hantera all din efterlevnad, allt på ett ställe

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo


Hur styr, dokumenterar och håller ni er redo för revisioner inför A.5.17?

Styrning är där kontrollspråk, arkitektur, arbetsflöden och dagliga beteenden sammanförs till en våning som utomstående kan förstå. När revisorer eller företagskunder utvärderar dig vill de inte bara se att du har bra verktyg utan också att du styr autentiseringsinformation på ett sammanhängande sätt och kan bevisa det. Styrning hjälper dig att visa att dina kontroller är verkliga snarare än ambitiösa.

Styrning gör det sätt ni redan arbetar synligt, avsiktligt och lättare att förbättra.

Bygga en bevissamling som är meningsfull för utomstående

A.5.17-relaterad bevishantering faller vanligtvis inom flera kategorier som tillsammans beskriver hur du hanterar autentiseringsinformation i din MSP. Att tänka inom dessa kategorier hjälper dig att samla in bevis som är meningsfulla för granskare och kunder snarare än en hög med osammanhängande artefakter. Implementeringsvägledning för bästa praxis för A.5.17 och bredare ISMS-drift organiserar ofta bevis på detta sätt, så att policyer, konfigurationer, loggar och utbildningsregister tillsammans illustrerar hur autentiseringsinformation styrs i praktiken.

Typiska bevisuppsättningar inkluderar:

  • Policyer och standarder: som definierar hur autentiseringsinformation begärs, godkänns, skapas, lagras, används, roteras och återkallas.
  • Procedurer och runbooks: som förklarar hur du hanterar scenarier som onboarding, skapande av hyresgästadministratörer eller misstänkt komprometterad autentiseringsuppgifter.
  • Konfigurationsposter: från valv, system för privilegierad åtkomst, identitetsplattformar och nyckelhanteringsverktyg som visar hur designen matchar policyn.
  • Loggar och rapporter: som visar hur hemligheter faktiskt används, inklusive privilegierade sessionsposter, åtkomstgranskningar och rotationshändelser.
  • Utbildnings- och medvetenhetsrapporter: som bevisar att personalen har informerats om och har erkänt sitt huvudansvar för att hantera autentiseringsinformation.

De starkaste bevisuppsättningarna knyter samman dessa punkter till konkreta exempel som är relevanta. Du kan till exempel visa en standard för att hantera API-nycklar kopplade till en riskregisterpost för tredjepartsintegrationer, en runbook för att regenerera nycklar och tillhörande loggar som visar de senaste rotationerna. Den typen av spårbarhet försäkrar revisorer och kunder om att din praxis är avsiktlig och övervakad, inte improviserad.

Du kan tänka på detta som att berätta en tydlig berättelse: ”Här är vår regel, så här implementerar vi den, så här kontrollerar vi den och här är bevis på att det verkligen händer.” När den berättelsen är konsekvent mellan olika hyresgäster och verktyg känns din styrningsställning trovärdig snarare än kosmetisk.

Integrera A.5.17 i er styrningsrytm

Styrning fungerar bäst när den är en del av din vanliga rytm, inte ett stridsspel inför en extern revision. Du kan integrera A.5.17 i den rytmen genom att:

  • Schemalägg regelbundna granskningar av högriskuppgifter och nycklar, där ägare bekräftar nödvändighet, justerar behörigheter och verifierar att lagring och rotation uppfyller kraven.
  • Granska loggar och aviseringar relaterade till privilegierad åtkomst och hemlig användning, och behandla avvikelser som utlösare för både incidentrespons och processförfining.
  • Inkorporera lärdomar från incidenter, tillbud och penetrationstester i uppdaterade policyer, standarder och arkitekturer.
  • Inkludera A.5.17-status i ledningens granskningar och uppdateringar av riskkommittén, i linje med ISO 27001:s förväntan att den högsta ledningen regelbundet ska beakta statusen för kontroller och kvarvarande risker i ert ISMS.

Ungefär två tredjedelar av respondenterna i ISMS.online-undersökningen 2025 säger att hastigheten och volymen av regelförändringar gör det svårare att upprätthålla efterlevnaden.

Om du fortfarande förbereder bevis i delade mappar och e-postmeddelanden några veckor före varje revision, vet du hur stressigt det kan vara. En ISMS-plattform som ISMS.online kan göra detta enklare genom att fungera som den enda plats där du definierar A.5.17-kontroller, kopplar dem till risker, tilldelar ägare, samlar in bevis och schemalägger granskningar. Istället för att förlita dig på ad hoc-dokument och kalkylblad får du ett levande system som återspeglar hur autentiseringsinformation faktiskt hanteras och var förbättringar fortfarande behövs.

När styrning är synlig på detta sätt driver A.5.17 bättre beslut. Du gissar inte längre vilka hemligheter som är viktigast eller hoppas att goda vanor håller; du använder bevis för att styra din MSP mot färre överraskningar och mer motståndskraftiga kundrelationer.



Boka en demo med ISMS.online idag

ISMS.online hjälper dig att förverkliga A.5.17 genom att koppla samman dina policyer, risker, arkitekturer och bevis i ett strukturerat system så att du kan visa revisorer och kunder att du behandlar autentiseringsinformation som en kritisk tillgång. För MSP-ledare och säkerhetsteam innebär det att dina inloggningsuppgifter och hemligheter blir en källa till förtroende snarare än oro, även när din kundbas växer.

Se din A.5.17-våningsplan från änd till änd

När du utforskar ISMS.online kan du se hur det hjälper dig att förvandla en teknisk kontroll till en tydlig, granskningsbar berättelse. Istället för att jaga skärmdumpar och kalkylblad före varje revision arbetar du i en miljö som kopplar samman risker, kontroller, åtgärder och bevis allt eftersom. Den förändringen gör det enklare att informera intressenter och bevisa för krävande kunder att du driver en disciplinerad verksamhet.

I ISMS.online-undersökningen från 2025 listade nästan alla organisationer att uppnå eller bibehålla säkerhetscertifieringar som ISO 27001 eller SOC 2 som högsta prioritet.

Du kan använda ISMS.online för att:

  • Sammanfatta A.5.17-policyer och standarder på ett tydligt språk som icke-specialister kan förstå och följa.
  • Kartlägg hemligheter och risker för privilegierad åtkomst över interna system och kundmiljöer i en vy.
  • Koppla specifika kontrollaktiviteter – såsom rotation av behörighetsuppgifter eller åtkomstgranskningar – till riskregisterposter och revisionskrav.
  • Lagra och referera till bevis som konfigurationsskärmdumpar, exportfiler och mötesanteckningar utan att behöva leta igenom e-post och fildelningar.

Den här typen av helhetsvy förvandlar kontroll A.5.17 från en rad i en standard till en berättelse som du kan stå bakom när kunder eller revisorer ställer svåra frågor. Det ger dig en enda, sammanhängande plats att spåra hur din MSP allokerar, använder och återkallar autentiseringsinformation över många hyresgäster och verktyg.

Planera dina kommande nittio dagar med tillförsikt

En kort, fokuserad implementeringsplan är ofta mer värdefull än en avlägsen storslagen vision. Tillsammans med ditt team och en ISMS.online-specialist kan ni forma de kommande tre månaderna kring några konkreta åtgärder som stärker A.5.17 på praktiska sätt utan att överbelasta personalen eller störa kundtjänsten. I praktiken finner många upptagna MSP-team att det är mer hanterbart att arbeta efter en fokuserad nittiodagarsplan än att försöka ta itu med allt på en gång.

Steg 1 – Bygg en realistisk inventering av referenser

Identifiera dina högriskuppgifter, servicekonton, API-nycklar och nyckellagrar och registrera var de finns, vilka system de skyddar och vem som äger dem.

Steg 2 – Fastställ grundläggande policyer och standarder

Definiera praktiska policyer och standarder för autentiseringsinformation som återspeglar din MSP:s storlek, verktyg och befintliga processer, och tilldela tydliga ägare för varje dokument.

Steg 3 – Skapa viktiga livscykelarbetsflöden

Implementera en minimal uppsättning arbetsflöden för skapande, rotation, granskning och återkallelse av privilegierade konton och nycklar, inklusive tydliga utlösare och ansvarsområden för varje steg.

Steg 4 – Sammanställ ett startpaket med bevis

Samla in preliminära bevis som visar meningsfulla framsteg mot A.5.17 så att du med tillförsikt kan informera intressenter, försäkringsgivare och revisorer och planera ytterligare förbättringar.

Därifrån kan du iterera och öka sofistikeringen allt eftersom dina anställda, processer och arkitekturer mognar, utan att tappa bort de grunder du redan har infört. Små, konsekventa steg bygger en mycket starkare hållning än enstaka stora påtryckningar inför revisioner, och en nittiodagarsplan känns som en realistisk horisont för de flesta MSP-team.

Om du vill att dina meriter och hemligheter ska stödja din tillväxt istället för att tyst undergräva den, är det ett praktiskt nästa steg att välja ISMS.online som hem för ditt ISMS. Det ger dig ett ramverk, innehåll och arbetsflöden formade av verklig ISO 27001-erfarenhet, så att du inte börjar från ett tomt blad eller försöker limma ihop spridda dokument. Det gör det mycket enklare att leverera en A.5.17-implementering som skyddar dina kunder, stödjer dina tekniker och stärker din verksamhet.

Boka demo


Vanliga frågor om partihandel med mat och dryck

Hur förändrar ISO 27001:2022 A.5.17 egentligen autentiseringen för en MSP?

ISO 27001:2022 A.5.17 omvandlar effektivt varje lösenord, token och nyckel som din MSP berör till en styrd tillgång med tydliga regler, ägarskap och bevis, inte bara "saker som folk kommer ihåg eller lagrar någonstans". Du förväntas definiera hur autentiseringsinformation skapas, skyddas, används, roteras och återkallas, och att bevisa detta konsekvent över din egen stack och för varje kundklient du hanterar.

Var når A.5.17 egentligen i en MSP-miljö?

För en typisk MSP sträcker sig A.5.17 långt bortom personalinloggningar eller en enda lösenordshanterare. Den omformar hur ni hanterar autentisering i:

  • RMM- och PSA-plattformar: som kan nå hundratals slutpunkter och kundhyresgäster.
  • Dokumentation och kunskapssystem: där "instruktioner"-steg och lösenord ofta blandas ihop.
  • Säkerhetskopierings-, övervaknings- och DR-konsoler: som i tysthet har bred, ihållande tillgång.
  • Molnhyresgäster och identitetsleverantörer: där några få roller kan förändra allt.
  • Leverantörsportaler och licenssystem: används för att hantera rättigheter mellan kunder.

Istället för att förlita dig på stamkunskap eller spridda anteckningar förväntas du:

  • Behåll en pålitlig syn på vem kan nå vad över interna system och kundsystem.
  • Tillämpa enkla, repeterbara regler för utfärdande, skydd, rotation och återkallelse varje typ av legitimation.
  • Se till att ansluten-flyttande-avgångsperson ändras faktiskt ta bort åtkomsten och utlösa rotationer där det behövs.
  • Ha tillräckligt med strukturerade bevis så att du lugnt kan förklara din strategi för revisorer och företagsköpare.

När du samlar in dessa regler, ansvarsområden och arbetsflöden i ett strukturerat informationssäkerhetshanteringssystem (ISMS) som ISMS.online, går du från "vi tror att det är under kontroll" till att kunna visa exakt hur autentiseringsinformation styrs i en MSP-värld med flera hyresgäster och verktyg.

Den verkliga förändringen är inte strängare lösenord; det handlar om att behandla varje hemlighet som en tillgång med en livscykel som du kan förklara och bevisa.

Hur kan en MSP minska effekten när en kraftfull autentiseringsuppgift oundvikligen blir stulen?

Du minskar påverkan genom att anta att minst en värdefull autentiseringsuppgift kommer att äventyras och utforma din miljö så att den låser upp så lite som möjligt, under kortast möjliga realistiska tid, med tydliga spår när den används. A.5.17 uppmuntrar dig att konstruera för en mindre, mer synlig "explosionsradie" istället för att satsa allt på att aldrig förlora en nyckel.

Hur ser en mindre sprängradie ut i den dagliga MSP-praktiken?

I de flesta MSP:er ser en praktisk mönsteruppsättning ut så här:

  • Endast namngivna administratörsidentiteter: inaktivera delade "globala administratörs"-konton och koppla utökade roller till enskilda användare i din identitetsleverantör med stark flerfaktorsautentisering.
  • Rollbaserad åtkomst över kärnverktyg: anpassa RMM, PSA, molnplattformar och dokumentationssystem till "minst behörighet för roll, kundgrupp och geografi", inte "alla kan göra allt överallt".
  • Just-in-time-höjd: ge fullständiga administratörsrättigheter endast för en specifik uppgift och tidsfönster, och återgå sedan automatiskt till lägre behörigheter.
  • Kontrollerade administratörsingångar: tvinga privilegierat arbete genom härdade sökvägar (till exempel hantering av privilegierad åtkomst, bastionvärdar eller noggrant kontrollerade hoppboxar), snarare än någon bärbar dator i något nätverk.
  • Centraliserad loggning och varningar: skicka privilegierade aktivitetsloggar till en gemensam plats så att ovanliga handlingar sticker ut och kan kopplas till riktiga personer, ärenden och tidsramar.

Utformad på detta sätt förblir ett stulet teknikerlösenord allvarligt men slutar att vara en grundläggande nyckel för "varje kund på en gång". När du registrerar dessa designval i ditt ISMS och länkar dem till A.5.17 kan du visa revisorer, försäkringsbolag och krävande kunder att du medvetet har konstruerat ner explosionsradien istället för att hoppas att kompromettering aldrig sker.

Vad hör hemma i en handbok med förankrade inloggningsuppgifter och hemligheter för en MSP?

En förskärpad handbok förklarar hur du grupperar inloggningsuppgifter i nivåer, de lägsta skyddsåtgärder som varje nivå måste ha och hur du kör och förbättrar dessa skyddsåtgärder över tid. Den ersätter "alla vet att man ska vara försiktig" med "vi följer den här modellen varje dag, och dessa register visar det".

Vilka element är mest viktiga för en MSP med flera hyresgäster?

För de flesta leverantörer av hanterade tjänster innehåller en användbar handbok:

  • Tydliga behörighetsnivåer: till exempel glasbrytarkonton, plattformsomfattande administratör i RMM och molnet, administratör på hyresgästnivå, ingenjörskonton, servicekonton och automatiseringshemligheter.
  • Grundläggande skyddsåtgärder per nivå: förväntningar på flerfaktorsautentisering, var hemligheter lagras (valv kontra plattform), maximal livslängd, rotationskadens, loggningsdjup och granskningsfrekvens.
  • Standardverktygskombinationer: hur du använder din identitetsleverantör, lösenords- eller hemlighetsvalv, fjärråtkomststack och loggverktyg tillsammans så att reglerna tillämpas utan att ingenjörerna saktar ner alltför snabbt.
  • Undantags- och äldre hantering: hur du dokumenterar och begränsar äldre plattformar, nischleverantörer eller ärvda miljöer som ännu inte kan uppfylla din idealstandard.
  • En enkel förändringsplan: vilka skyddsåtgärder ni kommer att skärpa i detta kvartal, i år och inför större kontraktsförnyelser eller plattformsförändringar.

När du modellerar denna handbok i ISMS.online som policyer, standarder, länkade tillgångar, risker och kontroller, slutar den att finnas kvar i en enda senior ingenjörs anteckningsbok. Den blir något du kan lära ut till ny personal, granska med ledningen och presentera för revisorer eller riskteam som din tydliga, stabila strategi för referenser och hemligheter.

Hur bör en MSP hantera tjänstkonton, API-nycklar och automatiseringshemligheter annorlunda?

Tjänstkonton och automatiseringsnycklar måste behandlas som kraftfulla identiteter med ägare, omfattningar och utgångsdatum, inte tysta konfigurationsdetaljer som ligger orörda tills något går sönder. De har ofta bred, långvarig åtkomst och ingen namngiven mänsklig identitet, vilket gör dem attraktiva för angripare och lätta att förbise om man inte hanterar dem med flit.

Vad innebär god styrning av icke-mänskliga identiteter för en MSP?

Effektiv styrning vilar vanligtvis på några vanor:

  • Att hålla ett aktivt lager: av servicekonton, API-nycklar och automatiseringshemligheter över RMM, säkerhetskopiering, övervakning, molnplattformar, leverantörsportaler och interna verktyg.
  • Tilldela en ansvarig ägare och syfte: för varje icke-mänsklig identitet, med dokumenterade omfattningar av lägsta privilegier och en tydlig registrering av var den används.
  • Centralisera hemlig lagring: i ett kontrollerat valv eller en kontrollerad plattform, istället för att sprida värden över skript, ärenden, delade mappar, wikis eller lokala konfigurationsfiler.
  • Definiera och tillämpa rotationsutlösare: schemalagda rotationer plus ändringar efter personalavgångar, leverantörsincidenter, plattformsintrång eller större konfigurationsändringar.
  • Inkludering av icke-mänskliga identiteter i granskningar och incidenter: Rutinmässiga åtkomstgranskningar, incidentprioritering och analys efter incident bör alltid fråga sig "vilka automatiseringar och integrationer kan påverkas eller missbrukas här?"

När ni hanterar icke-mänskliga identiteter via era ISMS, med konsekventa policyer, risker, kontroller och bevis, kan ni visa att A.5.17 täcker det tysta automatiseringslagret i er stack lika grundligt som mänskliga administratörer. Det lugnar större kunder som oroar sig mest för integrationer och skript som kan ge bred, osynlig åtkomst om de hanteras fel.

Hur kan en MSP visa att A.5.17 fungerar i verkligheten, inte bara på pappret?

Ni visar att A.5.17 är verklig genom att knyta ihop vad ni säger i policyer, hur ni har utformat er miljö och vad som faktiskt händer dagligen. Revisorer och företagskunder letar efter en plattform de kan följa: ”detta är vår policy, det här är kontrollerna och verktygen vi använder, det här är hur vi testar dem, och dessa exempel visar den senaste aktiviteten”.

Vilka typer av bevis övertygar vanligtvis revisorer och företagsköpare?

Bevis som vanligtvis passar in på A.5.17 inkluderar:

  • Policyer och detaljerade standarder: som beskriver hur du utfärdar, skyddar, roterar och återkallar inloggningsuppgifter och hemligheter i interna system och kundsystem, på språk som ingenjörer kan följa.
  • Konfigurationsexporter eller skärmdumpar: från identitetsleverantörer, valv, verktyg för privilegierad åtkomst och nyckelhanteringstjänster som demonstrerar att dessa standarder tillämpas i verkliga miljöer.
  • Aktivitetsloggar och rapporter: visar privilegierade åtgärder, hemliga rotationer, åtkomstgranskningar och incidenthantering över tid, inte bara för en enda vecka.
  • Utbildnings- och bekräftelseregister: för personal som hanterar autentiseringsinformation med stor inverkan, särskilt de med åtkomst till flera hyresgäster.
  • Resultat från internrevisioner och ledningsgranskningar: där du har utmanat ditt eget tillvägagångssätt, samlat in resultat och dokumenterat specifika förbättringar.

Om du länkar allt detta inuti ISMS.online som kontroller med kartlagda risker, ägare, åtgärder och bifogade bevis, undviker du sista minuten-jakt bland gamla ärenden och skärmdumpar. Istället upprätthåller du en stabil "A.5.17-våning" som du kan visa styrelser, försäkringsbolag och kundriskteam när de frågar hur du hanterar åtkomst till dina egna och dina kunders tillgångar.

När du kan visa förändringar, inte bara policyer, slutar folk oroa sig för att din säkerhet finns i bilder snarare än i system.

Hur kan ISMS.online hjälpa en MSP att implementera A.5.17 utan att överbelasta ingenjörerna?

ISMS.online hjälper dig att utforma, driva och bevisa din A.5.17-metod i en strukturerad miljö istället för att sprida policyer över mappar och bevis över e-posttrådar och chatthistorik. Det låter dig först fokusera på de mest effektiva inloggningsuppgifterna och hemligheterna, snabbt demonstrera framsteg och sedan utöka täckningen i en takt som ditt team realistiskt kan stödja.

Vilka är förnuftiga steg med låg friktion för de kommande nittio dagarna?

Många MSP:er gör synliga framsteg på kort tid genom att:

  • Bygga ett fokuserat lager: av deras mest kraftfulla administratörskonton, servicekonton och API-nycklar över kärnplattformar som RMM, PSA, molnidentitet, säkerhetskopiering och fjärråtkomst.
  • Att komma överens om ärliga grundläggande policyer och standarder: för autentiseringsinformation som återspeglar hur de fungerar idag, och sedan lagrar dem i ISMS.online med namngivna ägare, granskningsdatum och länkade kontroller.
  • Sammanfattar ett antal viktiga arbetsflöden: -till exempel etablering av administratörskonton, ändringar av behörigheter, återkallelse och användning av genombrott - inuti ISMS.online och koppling till tillhörande risker och bevis.
  • Att sätta ihop ett startpaket med bevis: som visar verklig utveckling mot A.5.17, inklusive minst en åtkomstgranskning, en rotationshändelse och en intern kontroll, redo att instruera ledningen och besvara svårare kundfrågor.

Därifrån kan du bredda täckningen över fler hyresgäster och verktyg, förfina din arkitektur allt eftersom mognaden ökar och integrera regelbundna granskningar utan att förvandla varje förbättring till ett större projekt. Om du vill ha meriter och hemligheter som stödjer tillväxt istället för att tyst utöka din exponering, är det ett bra sätt att börja med att använda ett ISMS som ISMS.online för att göra din första nittiodagarsplan synlig, ägd och uppnåelig.

Mark Sharron

Mark Sharron leder sök- och generativ AI-strategi på ISMS.online. Hans fokus är att kommunicera hur ISO 27001, ISO 42001 och SOC 2 fungerar i praktiken – genom att koppla risker till kontroller, policyer och bevis med revisionsklar spårbarhet. Mark samarbetar med produkt- och kundteam så att denna logik är inbäddad i arbetsflöden och webbinnehåll – vilket hjälper organisationer att förstå, bevisa säkerhet, integritet och AI-styrning med tillförsikt.

Twitter

Ta en virtuell rundtur

Starta din kostnadsfria 2-minuters interaktiva demo nu och se
ISMS.online i aktion!

Prova det nu
plattformsinstrumentpanelen är helt nyskicklig

Vi är ledande inom vårt område

4/5 stjärnor
Användare älskar oss
Ledare - Sommaren 2026
Högpresterande - Sommaren 2026 Small Business UK
Regional ledare - Sommaren 2026 EU
Regional ledare - Sommaren 2026 EMEA
Regional ledare - Sommaren 2026 Storbritannien
Högpresterande - Sommaren 2026 Mellanmarknad EMEA

"ISMS.Online, enastående verktyg för regelefterlevnad"

— Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

— Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

— Ben H.