ISO 27001 certifiering — steg för steg-guide för svenska företag

Kort svar

ISO 27001-certifiering är en formell verifiering att din organisation uppfyller kraven i ISO 27001:2022 för informationssäkerhetsledning. Hela processen tar typiskt 9-18 månader och kostar mellan 150 000 och 600 000 kr för en svensk SMF beroende på storlek och komplexitet.

Vad ISO 27001 är (och inte är)

ISO 27001:2022 är en internationell standard som specificerar krav för ett ISMS (Information Security Management System). Standarden består av två delar:

• Huvuddel (klausul 4-10) — generella krav på ledningssystemet (riskbedömning, ledningens roll, kontinuerlig förbättring)
• Annex A — 93 säkerhetskontroller grupperade i 4 kategorier (organisatoriska, personal, fysisk, teknisk)

Certifieringen är inte ett lagkrav i sig, men många upphandlingar (särskilt offentliga) kräver eller starkt föredrar leverantörer som är certifierade.

Steg 1: Bestäm scope och få ledningens engagemang

Innan något projekt startar måste två frågor besvaras:

• Vad ska certifieras? Hela organisationen, en specifik tjänst, ett affärsområde?
• Vem tar ledningsansvar? ISO 27001 kräver att högsta ledningen är aktivt involverad. Utan VD-stöd faller projektet.

Smalare scope är ofta klokare för en första certifiering — det går att utöka senare.

Steg 2: Genomför riskbedömning

Identifiera tillgångar, hot, sårbarheter och konsekvenser. Räkna fram risk = sannolikhet × konsekvens. Detta blir grunden för vilka kontroller ni faktiskt behöver.

Det är här många organisationer fastnar — antingen för att de identifierar för få risker, eller för att de hamnar i en lista på 500 risker som ingen orkar förvalta. En tumregel: 30-80 risker för en typisk SMF.

Steg 3: Statement of Applicability (SoA)

SoA är det dokument där ni för varje kontroll i Annex A motiverar om kontrollen är tillämplig och hur ni implementerar den (eller varför ni inte gör det). Detta är ett av de mest granskade dokumenten av revisorn.

Steg 4: Implementera kontroller

Här går teori till praktik. Typiska kontroller som behöver dokumenteras och implementeras:

• Åtkomstkontroll och behörighetsstyrning
• Kryptering av data (i vila och i transit)
• Backup- och återställningsrutiner
• Incidenthantering
• Leverantörshantering och avtal
• Personalsäkerhet (utbildning, sekretessavtal)
• Fysisk säkerhet i lokaler

Steg 5: Skriv policyer och rutiner

Minimum är en informationssäkerhetspolicy godkänd av högsta ledningen. Därutöver typiskt 8-15 underliggande policyer (åtkomst, leverantör, incident, BCM, etc.).

Steg 6: Utbilda personalen

All personal med åtkomst till informationstillgångar måste utbildas i policyer och säkra arbetssätt. Dokumentera vem som fått vilken utbildning när — revisorn frågar.

Steg 7: Genomför internrevision

Innan extern revision måste organisationen ha genomfört en intern revision av sitt eget ISMS. Många använder en konsult för internrevisionen för att få ett extern perspektiv.

Steg 8: Ledningsgranskning

Högsta ledningen måste formellt granska ISMS-ets effektivitet och fatta beslut om förbättringar. Granskningen ska protokollföras.

Steg 9: Extern certifieringsrevision

Genomförs av ett ackrediterat certifieringsorgan i två steg:

1. Steg 1 (dokumentationsgranskning) — revisorn går igenom dokumentation. Typiskt 1-2 dagar.
2. Steg 2 (operativ revision) — revisorn intervjuar personal och verifierar att kontroller fungerar i praktiken. Typiskt 3-5 dagar.

Vid godkänd revision utfärdas ett certifikat som gäller i 3 år, med årliga uppföljningsrevisioner.

Tidsåtgång

• Liten SMF (10-50 anställda): 6-9 månader om allt går smidigt
• Mellanstor (50-250 anställda): 9-12 månader
• Stor (250+): 12-18 månader för första certifieringen

Kostnader

Total budget för en svensk SMF:

• Konsultstöd (om använt): 80 000-300 000 kr
• Verktyg/ISMS-plattform: 30 000-100 000 kr/år
• Internrevisor: 40 000-80 000 kr
• Certifieringsorgan (steg 1+2): 60 000-150 000 kr
• Internt arbete: ofta största posten, 0,3-0,8 heltid under 9-12 månader

Vanliga fel som försenar projektet

• För brett scope — börja smalare, utöka senare
• Excel-baserat ISMS — fungerar tills första riktiga revisionen, sen är spårbarheten ett problem
• Otydligt ansvar — utan tydlig CISO/säkerhetsansvarig ramlar projekt mellan stolarna
• Frikopplat säkerhetsarbete — om säkerhet inte integreras i utvecklingsflödet blir det bara dokumentation

Hur ett ISMS-verktyg snabbar på processen

Med ett bra ISMS-verktyg går flera steg flera gånger snabbare:

• Förmappade kontroller mot ISO 27001 Annex A — ingen tid förlorad på "vilka kontroller finns det?"
• Riskmatris och beräkningar inbyggda
• Statement of Applicability genereras automatiskt från SoA-data
• Audit log och versionshantering uppfyller revisorernas krav på spårbarhet
• Rapportgenerering för ledningsgranskningar i ett klick

Sammanfattning

ISO 27001-certifiering är en gångbar väg för svenska SMF som vill bevisa systematiskt säkerhetsarbete. Räkna med 9-12 månader och 200 000-400 000 kr i totalkostnad. Det viktigaste för att lyckas är ledningsstöd, smalt scope och rätt verktyg.

WF ISMS är byggd specifikt för att stödja ISO 27001:2022-certifiering med förmappade kontroller, automatisk SoA-generering och svensk drift. Se hur WF ISMS gör certifieringsresan enklare.