ISO/IEC 27001 är den internationella referensstandarden för ledningssystem för informationssäkerhet (LIS). Den efterfrågas alltmer av uppdragsgivare, i upphandlingar, av cyberförsäkringsbolag eller för tillträde till vissa exportmarknader. SYAGA stöttar er från gapanalysen fram till förberedelsen inför certifieringsrevisionen.
ISO 27001 är inget generellt lagkrav, men blir ett oundvikligt kommersiellt krav
ISO/IEC 27001 förblir en frivillig process. Den efterfrågas dock alltmer i upphandlingar, av stora uppdragsgivare, av vissa cyberförsäkringsbolag, eller som förutsättning för tillträde till vissa exportmarknader.
De flesta små och medelstora företag har inte inlett något strukturerat arbete med ett ledningssystem för informationssäkerhet. Ämnet uppfattas som komplext, tekniskt och tidskrävande.
Klassiska certifieringsuppdrag binder upp era team i flera månader och innebär en betydande investering, ofta utom räckhåll för ett mindre företag.
Att binda upp IT-chefen eller säkerhetsansvarig i månader för att bygga upp ett LIS är inte hållbart i ett mindre företag där var och en redan bär flera hattar.
Ett strukturerat arbete i 3 faser, byggt på samma metodik som SYAGA redan har beprövat i PSSI-Express
Avgränsande intervju med ledningen och IT-ansvarig, följt av en systematisk utvärdering av var och en av de 93 säkerhetsåtgärderna i bilaga A (utgåva 2022), fördelade på de 4 temana organisatoriskt, personal, fysiskt och tekniskt. Överlämning av en saklig gap-rapport.
Utformning eller uppdatering av säkerhetspolicyn (LIS), tillämplighetsförklaringen (SoA) som motiverar tillämpning eller uteslutning av var och en av de 93 åtgärderna, samt en prioriterad åtgärdsplan för att täppa till de brister som identifierades i fas 1.
Uppföljning av genomförandet av åtgärdsplanen, dokumentgranskning, och förberedelse av ert team inför revisionen som utförs av ett oberoende ackrediterat certifieringsorgan. SYAGA förbereder er inför revisionen; själva certifieringen utfärdas av detta tredjepartsorgan.
De grundläggande dokumenten i ISO 27001-certifieringsunderlaget
Saklig utvärdering av er efterlevnadsnivå gentemot standarden.
Det centrala normativa dokumentet i ISO 27001-certifieringsunderlaget.
Det styrningsdokument som krävs enligt punkterna 4-10 i standarden.
Färdplanen för att täppa till identifierade brister.
Dokument som era team direkt kan tillämpa.
Alla dokument i format som ni kan vidareutveckla.
ISO 27001-LIS:et överlappar naturligt flera ramverk
Centralt ramverk: punkterna 4-10 (ledningskrav) och bilaga A (93 säkerhetsåtgärder fördelade på 4 teman).
De åtgärder för cyberriskhantering som krävs enligt NIS2-direktivet överlappar till stor del åtgärderna i bilaga A i ISO 27001. Ett ISO 27001-LIS underlättar NIS2-efterlevnaden för berörda enheter.
Åtgärderna i ANSSI:s (den franska myndighetens) guide för IT-hygien överlappar en betydande del av åtgärderna i bilaga A i ISO 27001. Kopplingen dokumenteras i åtgärdsplanen.
De lämpliga tekniska och organisatoriska åtgärder som krävs enligt artikel 32 i GDPR bygger på samma goda praxis som bilaga A i ISO 27001 (åtkomstkontroll, kryptering, incidenthantering).
Varje ISO 27001-uppdrag dimensioneras utifrån er omfattning och nuvarande mognadsgrad. Alltid en personlig offert.
Inledande kartläggning av era brister
Från gapanalys till förberedelse inför revisionen
Efter certifiering eller löpande
Kontakta oss för en personlig offert utifrån er omfattning och nuvarande mognadsgrad.
Vad ISO/IEC 27001 faktiskt säger, förklarat enkelt. Varje punkt länkar till sin officiella källa (ISO, AFNOR, COFRAC, ANSSI), uppdaterad 2026-07-17.
ISO/IEC 27001 är en erkänd metod för att identifiera de hot som vilar på era data, hantera riskerna och införa rätt skydd, så att er information förblir konfidentiell, tillgänglig och tillförlitlig. Det är inte en programvara, utan en organisation som ska införas i företaget.
Källa: AFNOR CertificationTill skillnad från andra processer (som den säkerhetsgodkännande process som krävs för vissa statliga system) är ISO 27001 frivillig: det är en certifierande standard, inte ett generellt lagkrav. Ni väljer den för att trygga kunder, partner och försäkringsbolag.
Källa: ANSSI (den franska myndigheten, metodblad)Aldrig företaget självt eller en konsult: endast ett oberoende och ackrediterat certifieringsorgan kan utfärda det (COFRAC är den enda franska ackrediteringsinstansen, grundad 1994). Det erhållna certifikatet är giltigt i 3 år.
Källa: COFRAC (den franska ackrediteringsmyndigheten)Förhandsutvärdering (valfri), förberedelse, dokumentgranskning, revision på plats för att kontrollera vad som verkligen finns infört, utfärdande av certifikatet (3 år), följt av ett årligt uppföljningsbesök och en fullständig förnyelserevision efter 3 år. Inget är låst en gång för alla.
Källa: AFNOR CertificationEnligt en AFNOR-studie bland certifierade företag: 89 % noterade färre säkerhetsincidenter, 83 % har mer robusta interna säkerhetsprocesser, och 88 % behöll kunder som annars kunde ha lämnat utan certifieringen.
Källa: AFNOR-studie 2019Det är den mest använda informationssäkerhetsstandarden i världen enligt ISO självt. Och den ackreditering som kontrollerar certifieringsorganen (som COFRAC i Frankrike) är internationellt erkänd genom avtal mellan länder, vilket underlättar tillträde till marknader i Europa och på andra håll.
Källa: ISO (kommitté JTC1/SC27)