Security Checklist — ISO 27001 & SOC 2 Type 1 Readiness
Document type: Readiness checklist Frameworks: ISO/IEC 27001:2022 (Annex A), SOC 2 Type 1 (Trust Service Criteria), grounded in ABN handbook ch. 28–29. Primary language: English. Swedish translation follows below.
English
1. How to read this
Status legend: ✅ enforced by architecture · �capability present, needs documented evidence · ⛔ not yet. SOC 2 Type 1 assesses design of controls at a point in time; Type 2 (operating effectiveness over time) is a later step.
2. SOC 2 — Trust Service Criteria
| TSC | Control | Status |
|---|---|---|
| CC6.1 | Logical access — mTLS between services, RBAC on the dashboard, dropped container capabilities | ✅ |
| CC6.6 | Encryption — TLS in transit, DB encrypted at rest, secrets in a vault | ✅ |
| CC6.7 | Data in transit restricted — services bind to the internal network; only abn-core exposes a port | ✅ |
| CC7.1 | Vulnerability detection — dependency scanning in CI | 🟡 |
| CC7.2 | Monitoring — supervisor health checks, audit log, kill-switch alerting | ✅ |
| CC7.3 | Anomaly detection — behaviour anomaly detector in abn-security | ✅ |
| CC7.4 | Incident response — see INCIDENT_RESPONSE.md | ✅ |
| CC8.1 | Change management — GitOps; all changes via reviewed PR; CI gate | ✅ |
| A1.2 | Capacity — auto-scaling sandboxes, Go resource governor | ✅ |
| C1.1 | Confidentiality — No-Data Guarantee; data never leaves the Node | ✅ |
| P-series | Privacy — DPA, Record of Processing, DPIA | ✅ |
3. ISO/IEC 27001:2022 — Annex A mapping
| Annex A | Theme | ABN control | Status |
|---|---|---|---|
| A.5 | Organisational | Policies, DPA, roles defined | 🟡 |
| A.5.7 | Threat intelligence | STRIDE threat model (handbook §28.1) | ✅ |
| A.8.9 | Configuration mgmt | Policy YAML/JSON per system; GitOps | ✅ |
| A.8.16 | Monitoring | Audit log + attestations + supervisor | ✅ |
| A.8.24 | Cryptography | mTLS, signed images, HMAC-signed blueprints | ✅ |
| A.8.25 | Secure development | Reviewed PRs, CI tests, sandboxed builds | ✅ |
| A.8.28 | Secure coding | Pydantic schema validation, write-guard | ✅ |
| A.5.23 | Cloud services | Local execution — minimal cloud surface | ✅ |
| A.5.30 | ICT continuity | Stateless engines, GitOps rollback | ✅ |
| A.5.24–.28 | Incident management | INCIDENT_RESPONSE.md, kill-switch, runbooks | ✅ |
| A.8.2 | Privileged access | No service runs as root; per-service UID | ✅ |
| A.8.7 | Malware protection | importlib sandbox + seccomp; Firecracker | ✅ |
| A.8.15 | Logging | Customer-owned transparency tables | ✅ |
| A.5.34 | Privacy / PII | No-Data Gateway, PII Guardian, minimiser | ✅ |
| A.8.32 | Change management | GitOps, required reviews | ✅ |
4. Pre-audit task list
- Publish the Information Security Policy and assign an owner.
- Complete the asset & data-flow inventory.
- Risk assessment + risk treatment plan; produce the Statement of Applicability (SoA).
- Formalise access reviews (quarterly) and joiner/mover/leaver.
- Enable dependency & container image scanning in CI (CC7.1).
- Run a tabletop exercise of
INCIDENT_RESPONSE.md. - Confirm sub-processor Art. 28 agreements (see DPA Annex A).
- Verify backup/restore and the GitOps rollback runbook.
- Collect evidence: mTLS cert rotation logs, audit-table samples, signed-blueprint verification logs, CI run history.
- Internal audit + management review before the external audit.
5. ABN's structural advantage
Many controls are enforced by architecture, not policy — local execution, the No-Data LLM Gateway, Firecracker isolation, the Go write-guard, HMAC-signed attestations. A control that is architecturally enforced cannot be bypassed by a misconfiguration, which materially strengthens both the ISO 27001 SoA and the SOC 2 design assessment.
Svenska
1. Så läser du checklistan
Statuslegend: ✅ upprätthålls av arkitekturen · 🟡 förmåga finns, behöver dokumenterat bevis · ⛔ ej ännu. SOC 2 Typ 1 bedömer kontrollernas utformning vid en tidpunkt; Typ 2 (effektivitet över tid) är ett senare steg.
2. SOC 2 — Trust Service Criteria
Se tabellen i den engelska delen (§2). Sammanfattning: logisk åtkomst (mTLS, RBAC), kryptering, övervakning, anomalidetektering, incidenthantering, ändringshantering (GitOps) och konfidentialitet (No-Data-garantin) är på plats; sårbarhetsskanning i CI är under införande.
3. ISO/IEC 27001:2022 — Bilaga A
Se tabellen i §3 ovan. ABN:s kontroller i bilaga A — kryptografi, loggning, säker utveckling, incidenthantering, integritet/PII, ändringshantering — är till övervägande del på plats; organisatoriska policyer (A.5) behöver färdigställas och dokumenteras.
4. Uppgiftslista före revision
- Publicera informationssäkerhetspolicy och utse ägare.
- Färdigställ tillgångs- och dataflödesinventering.
- Riskbedömning + riskbehandlingsplan; ta fram tillämplighets- förklaring (SoA).
- Formalisera åtkomstgranskningar (kvartalsvis) och anställd-/roll-/avslutsprocess.
- Aktivera beroende- och image-skanning i CI.
- Genomför skrivbordsövning av
INCIDENT_RESPONSE.md. - Bekräfta underbiträdens art. 28-avtal (se DPA bilaga A).
- Verifiera säkerhetskopiering/återställning och GitOps-rollback.
- Samla bevis: certifikatrotationsloggar, revisionstabellprover, verifiering av signerade ritningar, CI-historik.
- Internrevision + ledningens genomgång före extern revision.
5. ABN:s strukturella fördel
Många kontroller upprätthålls av arkitekturen, inte av policy — lokal exekvering, No-Data LLM-gateway, Firecracker-isolering, Go-write-guard, HMAC-signerade attesteringar. En arkitektoniskt upprätthållen kontroll kan inte kringgås av felkonfiguration, vilket stärker både ISO 27001-SoA och SOC 2-bedömningen påtagligt.
Last updated: May 2026 · ABN AB · Questions: legal@abnai.se Senast uppdaterad: maj 2026 · ABN AB · Frågor: legal@abnai.se