STANDARD ISO/IEC 27001:2022 - LIS

Förbered er ISO 27001-certifiering
utan att förlora 6 månader

ISO/IEC 27001 är den internationella referensstandarden för ledningssystem för informationssäkerhet (LIS). Den efterfrågas alltmer av uppdragsgivare, i upphandlingar, av cyberförsäkringsbolag eller för tillträde till vissa exportmarknader. SYAGA stöttar er från gapanalysen fram till förberedelsen inför certifieringsrevisionen.

93
Åtgärder i bilaga A (utg. 2022)
4
Säkerhetsteman
7
Ledningsklausuler (4-10)
1
Levererad tillämplighetsförklaring

Bakgrunden

ISO 27001 är inget generellt lagkrav, men blir ett oundvikligt kommersiellt krav

📋

En frivillig certifiering, men alltmer efterfrågad

ISO/IEC 27001 förblir en frivillig process. Den efterfrågas dock alltmer i upphandlingar, av stora uppdragsgivare, av vissa cyberförsäkringsbolag, eller som förutsättning för tillträde till vissa exportmarknader.

🔒

Få mindre företag har formaliserat sitt LIS

De flesta små och medelstora företag har inte inlett något strukturerat arbete med ett ledningssystem för informationssäkerhet. Ämnet uppfattas som komplext, tekniskt och tidskrävande.

💰

Långa och kostsamma insatser

Klassiska certifieringsuppdrag binder upp era team i flera månader och innebär en betydande investering, ofta utom räckhåll för ett mindre företag.

Era IT-team är redan överbelastade

Att binda upp IT-chefen eller säkerhetsansvarig i månader för att bygga upp ett LIS är inte hållbart i ett mindre företag där var och en redan bär flera hattar.

Metoden ISO27001-Express

Ett strukturerat arbete i 3 faser, byggt på samma metodik som SYAGA redan har beprövat i PSSI-Express

1
Fas 1 - Gapanalys

Utvärdering av de 93 åtgärderna i bilaga A

Avgränsande intervju med ledningen och IT-ansvarig, följt av en systematisk utvärdering av var och en av de 93 säkerhetsåtgärderna i bilaga A (utgåva 2022), fördelade på de 4 temana organisatoriskt, personal, fysiskt och tekniskt. Överlämning av en saklig gap-rapport.

2
Fas 2 - Dokumentation av LIS

Säkerhetspolicy, tillämplighetsförklaring (SoA) och åtgärdsplan

Utformning eller uppdatering av säkerhetspolicyn (LIS), tillämplighetsförklaringen (SoA) som motiverar tillämpning eller uteslutning av var och en av de 93 åtgärderna, samt en prioriterad åtgärdsplan för att täppa till de brister som identifierades i fas 1.

3
Fas 3 - Stöd inför certifieringen

Förberedelse inför revisionen av certifieringsorganet

Uppföljning av genomförandet av åtgärdsplanen, dokumentgranskning, och förberedelse av ert team inför revisionen som utförs av ett oberoende ackrediterat certifieringsorgan. SYAGA förbereder er inför revisionen; själva certifieringen utfärdas av detta tredjepartsorgan.

Vad ni får

De grundläggande dokumenten i ISO 27001-certifieringsunderlaget

📊

Gapanalysrapport

Saklig utvärdering av er efterlevnadsnivå gentemot standarden.

  • Utvärdering av de 93 åtgärderna i bilaga A
  • Status per åtgärd: uppfylld/delvis/ej uppfylld
  • Sammanfattning per tema (organisatoriskt, personal, fysiskt, tekniskt)
  • Sakliga konstateranden, utan värdeomdömen
🔐

Tillämplighetsförklaring (SoA)

Det centrala normativa dokumentet i ISO 27001-certifieringsunderlaget.

  • Status tillämplig/utesluten för var och en av de 93 åtgärderna
  • Motivering av varje uteslutning
  • Hänvisning till LIS-dokumenten
  • Klart att presenteras för certifieringsorganet
📝

Säkerhetspolicy (LIS)

Det styrningsdokument som krävs enligt punkterna 4-10 i standarden.

  • LIS:ets omfattning och sammanhang
  • Säkerhetsroller och ansvar
  • Riskhanteringsprocess
  • Cykel för ständig förbättring (PDCA)
🎯

Prioriterad åtgärdsplan

Färdplanen för att täppa till identifierade brister.

  • Åtgärder rangordnade efter prioritet
  • Organisatoriska och tekniska åtgärder
  • Uppföljning av framsteg
  • Stegvis förberedelse inför revisionen
📄

Operativa rutiner

Dokument som era team direkt kan tillämpa.

  • Hantering av säkerhetsincidenter
  • Hantering av åtkomst och identiteter
  • Ändringshantering
  • IT-policy
💻

Redigerbara filer

Alla dokument i format som ni kan vidareutveckla.

  • Fristående HTML (kan öppnas i vilken webbläsare som helst)
  • Högkvalitativ PDF (A4-utskrift)
  • Redigerbar DOCX (Microsoft Word)
  • Uppdateras vid varje årlig översyn

En dokumentationsgrund som kan återanvändas

ISO 27001-LIS:et överlappar naturligt flera ramverk

ISO

ISO/IEC 27001:2022

Centralt ramverk: punkterna 4-10 (ledningskrav) och bilaga A (93 säkerhetsåtgärder fördelade på 4 teman).

N2

Koppling till NIS2

De åtgärder för cyberriskhantering som krävs enligt NIS2-direktivet överlappar till stor del åtgärderna i bilaga A i ISO 27001. Ett ISO 27001-LIS underlättar NIS2-efterlevnaden för berörda enheter.

AN

ANSSI-guide - IT-hygien

Åtgärderna i ANSSI:s (den franska myndighetens) guide för IT-hygien överlappar en betydande del av åtgärderna i bilaga A i ISO 27001. Kopplingen dokumenteras i åtgärdsplanen.

RG

GDPR (Art. 32)

De lämpliga tekniska och organisatoriska åtgärder som krävs enligt artikel 32 i GDPR bygger på samma goda praxis som bilaga A i ISO 27001 (åtkomstkontroll, kryptering, incidenthantering).

Erbjudanden anpassade efter er situation

Varje ISO 27001-uppdrag dimensioneras utifrån er omfattning och nuvarande mognadsgrad. Alltid en personlig offert.

Gapanalys

Inledande kartläggning av era brister

Enligt offert
beroende på omfattning och antal anställda
  • Utvärdering av de 93 åtgärderna i bilaga A
  • Saklig konstaterandrapport
  • Sammanfattning per säkerhetstema
  • Presentation för ledningen
  • Format HTML + PDF + DOCX
Begär en offert

Årligt underhåll

Efter certifiering eller löpande

Enligt offert
beroende på omfattning och antal anställda
  • Årlig översyn av LIS
  • Uppdatering av SoA
  • Uppdatering av åtgärdsplanen
  • Förberedelse inför uppföljningsrevisioner
Begär en offert

Vanliga frågor

Vad är standarden ISO/IEC 27001?
ISO/IEC 27001 är den internationella referensstandarden för att införa ett ledningssystem för informationssäkerhet (LIS). I 2022 års utgåva är den strukturerad i punkterna 4-10 (ledningskrav: sammanhang, ledarskap, planering, stöd, verksamhet, utvärdering, förbättring) samt en bilaga A med 93 säkerhetsåtgärder fördelade på 4 teman: organisatoriskt, personal, fysiskt och tekniskt.
Är ISO 27001 obligatorisk för mitt företag?
Nej, ISO 27001 är en frivillig certifiering, till skillnad från regelverk som NIS2. Den efterfrågas dock alltmer i praktiken: upphandlingar, krav från stora uppdragsgivare, villkor för cyberförsäkring, eller tillträde till vissa exportmarknader. Det är ett strategiskt val snarare än ett generellt lagkrav.
Utfärdar SYAGA certifieringen?
Nej. ISO 27001-certifieringen utfärdas uteslutande av ett oberoende ackrediterat certifieringsorgan, efter en extern revision. SYAGA stöttar er i förberedelserna (gapanalys, LIS-dokumentation, åtgärdsplan, förberedelse av era team), men utfärdar inte själva certifikatet.
Vad är tillämplighetsförklaringen (SoA)?
SoA är ett obligatoriskt normativt dokument i certifieringsunderlaget. Den listar var och en av de 93 åtgärderna i bilaga A och anger om den tillämpas eller utesluts, med motsvarande motivering. Det är ett av de dokument som granskas mest noggrant vid certifieringsrevisionen.
Hur mycket tid måste jag avsätta från mina team?
Merparten av arbetet (utvärdering, dokumentation, åtgärdsplan) utförs av våra revisorer. Era team involveras huvudsakligen vid den inledande avgränsande intervjun och vid presentationstillfällena. Den totala tiden för en certifieringsprocess beror till stor del på er omfattning och utgångsmognad; den uppskattas från fall till fall i offerten.
Vad ger SYAGA legitimitet att stötta mig?
SYAGA Consulting har genomfört IT-säkerhetsrevisioner sedan 2009. Våra revisorer arbetar med kunder av olika storlek inom flera branscher. Metodiken för gapanalys och dokumentgenerering som används i ISO27001-Express bygger på samma motor som redan används i våra andra efterlevnadstjänster (PSSI-Express).
SYAGA stöttar er i förberedelsen av ert LIS och ert certifieringsunderlag. Själva ISO/IEC 27001-certifieringen utfärdas av ett oberoende ackrediterat certifieringsorgan, ej anknutet till SYAGA. Detta innehåll är ett stödverktyg och utgör inte juridisk rådgivning.

Redo att strukturera ert ISO 27001-arbete?

Kontakta oss för en personlig offert utifrån er omfattning och nuvarande mognadsgrad.

Regelbevakning - officiella källor

Vad ISO/IEC 27001 faktiskt säger, förklarat enkelt. Varje punkt länkar till sin officiella källa (ISO, AFNOR, COFRAC, ANSSI), uppdaterad 2026-07-17.

Vad är det, konkret?

ISO/IEC 27001 är en erkänd metod för att identifiera de hot som vilar på era data, hantera riskerna och införa rätt skydd, så att er information förblir konfidentiell, tillgänglig och tillförlitlig. Det är inte en programvara, utan en organisation som ska införas i företaget.

Källa: AFNOR Certification

Det är ett val, inte en lag

Till skillnad från andra processer (som den säkerhetsgodkännande process som krävs för vissa statliga system) är ISO 27001 frivillig: det är en certifierande standard, inte ett generellt lagkrav. Ni väljer den för att trygga kunder, partner och försäkringsbolag.

Källa: ANSSI (den franska myndigheten, metodblad)

Vem utfärdar certifikatet?

Aldrig företaget självt eller en konsult: endast ett oberoende och ackrediterat certifieringsorgan kan utfärda det (COFRAC är den enda franska ackrediteringsinstansen, grundad 1994). Det erhållna certifikatet är giltigt i 3 år.

Källa: COFRAC (den franska ackrediteringsmyndigheten)

Processen, i 6 steg

Förhandsutvärdering (valfri), förberedelse, dokumentgranskning, revision på plats för att kontrollera vad som verkligen finns infört, utfärdande av certifikatet (3 år), följt av ett årligt uppföljningsbesök och en fullständig förnyelserevision efter 3 år. Inget är låst en gång för alla.

Källa: AFNOR Certification

Ger det verkligen resultat?

Enligt en AFNOR-studie bland certifierade företag: 89 % noterade färre säkerhetsincidenter, 83 % har mer robusta interna säkerhetsprocesser, och 88 % behöll kunder som annars kunde ha lämnat utan certifieringen.

Källa: AFNOR-studie 2019

Erkänd överallt, inte bara i Frankrike

Det är den mest använda informationssäkerhetsstandarden i världen enligt ISO självt. Och den ackreditering som kontrollerar certifieringsorganen (som COFRAC i Frankrike) är internationellt erkänd genom avtal mellan länder, vilket underlättar tillträde till marknader i Europa och på andra håll.

Källa: ISO (kommitté JTC1/SC27)