Lansering!
•Test User
Svar till Anzr angående säkerhetsgranskning
1. Regulatorisk mappning
Vi behöver att slutrapporten innehåller en mappning mot följande regelverk:
| Förordning | Artikel | Innehåll |
|---|---|---|
| DORA (EU 2022/2554) | Art. 24 | Allmänna krav för testning, inkl. oberoende |
| DORA (EU 2022/2554) | Art. 25 | Testning av IKT-verktyg och IKT-system |
| CDR 2024/1774 | Art. 35 | Data-, system- och nätverkssäkerhet |
| CDR 2024/1774 | Art. 36 | IKT-säkerhetstestning |
Detta för att uppfylla dokumentationskraven i det förenklade IKT-riskhanteringsramverket enligt DORA artikel 16.
2. Kompletterande testområden
Utöver "Bare Minimum 10" behöver vi att följande M365-specifika områden inkluderas:
| Område | Kravgrund (CDR 2024/1774) |
|---|---|
| Conditional Access-policyer (utöver MFA) – device compliance, platsbaserade regler | Art. 35 c) |
| Distansarbete och BYOD – Intune enrollment restrictions, app protection policies | Art. 35 g) |
| Extern delning – SharePoint/OneDrive sharing settings | Art. 35 a), d) |
| OAuth-appar och samtyckesinställningar | Art. 35 b) |
3. Frågor
- Kan ovanstående områden inkluderas inom befintlig tidsram, eller behöver scopet justeras?
- Är ni bekanta med DORA-kraven för finansiella entiteter under det förenklade ramverket?