iso 27001

ISO 27001 certifiering — steg för steg-guide för svenska företag

Av Webbfabriken

ISO 27001 certifiering — steg för steg-guide för svenska företag

Kort svar

ISO 27001-certifiering är en formell verifiering att din organisation uppfyller kraven i ISO 27001:2022 för informationssäkerhetsledning. Hela processen tar typiskt 9-18 månader och kostar mellan 150 000 och 600 000 kr för en svensk SMF beroende på storlek och komplexitet.

Vad ISO 27001 är (och inte är)

ISO 27001:2022 är en internationell standard som specificerar krav för ett ISMS (Information Security Management System). Standarden består av två delar:

  • Huvuddel (klausul 4-10) — generella krav på ledningssystemet (riskbedömning, ledningens roll, kontinuerlig förbättring)
  • Annex A — 93 säkerhetskontroller grupperade i 4 kategorier (organisatoriska, personal, fysisk, teknisk)

Certifieringen är inte ett lagkrav i sig, men många upphandlingar (särskilt offentliga) kräver eller starkt föredrar leverantörer som är certifierade.

Steg 1: Bestäm scope och få ledningens engagemang

Innan något projekt startar måste två frågor besvaras:

  • Vad ska certifieras? Hela organisationen, en specifik tjänst, ett affärsområde?
  • Vem tar ledningsansvar? ISO 27001 kräver att högsta ledningen är aktivt involverad. Utan VD-stöd faller projektet.

Smalare scope är ofta klokare för en första certifiering — det går att utöka senare.

Steg 2: Genomför riskbedömning

Identifiera tillgångar, hot, sårbarheter och konsekvenser. Räkna fram risk = sannolikhet × konsekvens. Detta blir grunden för vilka kontroller ni faktiskt behöver.

Det är här många organisationer fastnar — antingen för att de identifierar för få risker, eller för att de hamnar i en lista på 500 risker som ingen orkar förvalta. En tumregel: 30-80 risker för en typisk SMF.

Steg 3: Statement of Applicability (SoA)

SoA är det dokument där ni för varje kontroll i Annex A motiverar om kontrollen är tillämplig och hur ni implementerar den (eller varför ni inte gör det). Detta är ett av de mest granskade dokumenten av revisorn.

Steg 4: Implementera kontroller

Här går teori till praktik. Typiska kontroller som behöver dokumenteras och implementeras:

  • Åtkomstkontroll och behörighetsstyrning
  • Kryptering av data (i vila och i transit)
  • Backup- och återställningsrutiner
  • Incidenthantering
  • Leverantörshantering och avtal
  • Personalsäkerhet (utbildning, sekretessavtal)
  • Fysisk säkerhet i lokaler

Steg 5: Skriv policyer och rutiner

Minimum är en informationssäkerhetspolicy godkänd av högsta ledningen. Därutöver typiskt 8-15 underliggande policyer (åtkomst, leverantör, incident, BCM, etc.).

Steg 6: Utbilda personalen

All personal med åtkomst till informationstillgångar måste utbildas i policyer och säkra arbetssätt. Dokumentera vem som fått vilken utbildning när — revisorn frågar.

Steg 7: Genomför internrevision

Innan extern revision måste organisationen ha genomfört en intern revision av sitt eget ISMS. Många använder en konsult för internrevisionen för att få ett extern perspektiv.

Steg 8: Ledningsgranskning

Högsta ledningen måste formellt granska ISMS-ets effektivitet och fatta beslut om förbättringar. Granskningen ska protokollföras.

Steg 9: Extern certifieringsrevision

Genomförs av ett ackrediterat certifieringsorgan i två steg:

  1. Steg 1 (dokumentationsgranskning) — revisorn går igenom dokumentation. Typiskt 1-2 dagar.
  2. Steg 2 (operativ revision) — revisorn intervjuar personal och verifierar att kontroller fungerar i praktiken. Typiskt 3-5 dagar.

Vid godkänd revision utfärdas ett certifikat som gäller i 3 år, med årliga uppföljningsrevisioner.

Tidsåtgång

  • Liten SMF (10-50 anställda): 6-9 månader om allt går smidigt
  • Mellanstor (50-250 anställda): 9-12 månader
  • Stor (250+): 12-18 månader för första certifieringen

Kostnader

Total budget för en svensk SMF:

  • Konsultstöd (om använt): 80 000-300 000 kr
  • Verktyg/ISMS-plattform: 30 000-100 000 kr/år
  • Internrevisor: 40 000-80 000 kr
  • Certifieringsorgan (steg 1+2): 60 000-150 000 kr
  • Internt arbete: ofta största posten, 0,3-0,8 heltid under 9-12 månader

Vanliga fel som försenar projektet

  • För brett scope — börja smalare, utöka senare
  • Excel-baserat ISMS — fungerar tills första riktiga revisionen, sen är spårbarheten ett problem
  • Otydligt ansvar — utan tydlig CISO/säkerhetsansvarig ramlar projekt mellan stolarna
  • Frikopplat säkerhetsarbete — om säkerhet inte integreras i utvecklingsflödet blir det bara dokumentation

Hur ett ISMS-verktyg snabbar på processen

Med ett bra ISMS-verktyg går flera steg flera gånger snabbare:

  • Förmappade kontroller mot ISO 27001 Annex A — ingen tid förlorad på "vilka kontroller finns det?"
  • Riskmatris och beräkningar inbyggda
  • Statement of Applicability genereras automatiskt från SoA-data
  • Audit log och versionshantering uppfyller revisorernas krav på spårbarhet
  • Rapportgenerering för ledningsgranskningar i ett klick

Sammanfattning

ISO 27001-certifiering är en gångbar väg för svenska SMF som vill bevisa systematiskt säkerhetsarbete. Räkna med 9-12 månader och 200 000-400 000 kr i totalkostnad. Det viktigaste för att lyckas är ledningsstöd, smalt scope och rätt verktyg.

WF ISMS är byggd specifikt för att stödja ISO 27001:2022-certifiering med förmappade kontroller, automatisk SoA-generering och svensk drift. Se hur WF ISMS gör certifieringsresan enklare.

Vill du omsätta innehållet i konkreta affärsresultat? Utforska våra tjänster inom Webbdesign, Webbutveckling och SEO, se våra Kundcase, läs vår FAQ eller prenumerera på vårt Nyhetsbrev.

Taggar:

iso 27001 certifiering isms compliance informationssakerhet
← Tillbaka till alla inlägg

Relaterade inlägg

Fortsätt inom det här ämnet

Gå vidare från insikt till relevanta tjänster, bevis och mer läsning i samma ämneskluster.