Implementation & Process för ISO 27001: så gör du

Förberedelser: nulägesanalys, gap-analys, riskbedömning

Innan man kan börja införa ISO 27001 behövs förberedelser: 

• Gap-analys – identifiera skillnaderna mellan organisationens nuläge och ISO 27001 krav.
• Riskbedömning – vilka hot och sårbarheter är mest kritiska för verksamheten (t.ex. IT-system, personal, fysiska lokaler, leverantörskedjan)?

Utformning av ledningssystemet

Ett ledningssystem för informationssäkerhet byggs upp kring:

• Säkerhetspolicy – övergripande mål och ambitioner.
• Roller och ansvar – definiera vem som ansvarar för informationssäkerhet.
• Rutiner och processer – från incidentrapportering till backup och åtkomstkontroll.
• Stödjande dokument – register, loggar, checklista för revision.

Genomförande i praktiken 

När systemet är utformat ska det införas i verksamheten:

• Utbilda personalen om rutiner och varför de är viktiga.
• Införa tekniska och organisatoriska kontroller.
• Säkerställa att incidenter rapporteras på ett strukturerat sätt.
• Integrera informationssäkerhet i dagliga beslut och rutiner.

Intern revision och förbättringsarbete 

För att ledningssystemet ska vara levande behöver det kontinuerligt granskas. Interna revisioner är en viktig del där man testar systemets effektivitet. Upptäcks brister är målet att förbättra, inte att bestraffa.

Certifieringsprocessen – från förberedelse till certifikat

En certifiering i ISO 27001 sker i flera steg:

• Fas 1 – granskning av dokumentation och struktur.
• Fas 2 – granskning i praktiken, där revisorer intervjuar personal och granskar hur rutiner fungerar.
• Beslut om certifiering – utfärdande av ISO 27001 certifikat om kraven uppfylls.
• Årliga uppföljande revisioner – säkerställer att systemet hålls levande.

Vanliga krav i ISO 27001 

Några av de mest centrala ISO 27001 krav är:

• Ledningens engagemang i informationssäkerheten.
• Tydliga roller och ansvarsfördelning.
• Struktur för riskbedömning.
• Dokumenterade policyer och rutiner.
• Incidenthantering.
• Kontinuerlig förbättring och revision.

Vanliga fallgropar vid implementation

• Bristande engagemang från ledningen.
• Att se ISO 27001 som ett “IT-projekt” istället för ett verksamhetsprojekt.
• Att dokumentera för mycket, utan att systemet används i praktiken.
• Underskattning av tids- och resursåtgång.

Tidsåtgång och resurser för att införa ISO 27001

• Hur lång tid det tar att införa ISO 27001 varierar.
• Mindre företag kan klara det på 3–6 månader.
• Större organisationer kan behöva 12–18 månader.
• Kostnaden för en ISO 27001 certifiering beror på:
• Antal anställda och verksamhetens storlek.
• Om rutiner redan finns eller behöver byggas från grunden.
• Bransch och regulatoriska krav (t.ex. NIS2).

Vem bör vara involverad i processen? 

En framgångsrik implementation kräver samarbete:

• Ledning – ska driva och finansiera arbetet.
• IT-avdelning – ansvar för tekniska delar.
• Informationssäkerhetsansvarig – koordinator för hela systemet.
• HR – rutiner kring personal, onboarding, avtal.
• Alla anställda – säkerhetskulturen bygger på engagemang i vardagen.

Kiwa har hjälpt många företag och organisationer med ISO-certifieringar. VSAB, Västsvenska stålkonstruktioner AB, har varit certifieringskunder hos oss sedan 2012. 

“-Jag skulle helt klart rekommendera alla som vill jobba med certifieringar att ta hjälp av Kiwa!” Säger Daniel Forsberg, svets- och KMA-ansvarig på VSAB och den som jobbar tillsammans med Kiwa kring företagets certifiering.