Hem Standarder Branscher ✦ AI-bedömning Offert →
HemStandarder → ISO/IEC 27001

ISO/IEC 27001 — Informationssäkerhetsledning

Den internationellt erkända standarden för ledningssystem för informationssäkerhet (ISMS). ISO 27001-certifiering visar att er organisation har implementerat systematiska kontroller för att skydda informationstillgångar — och erkänns av kunder, tillsynsmyndigheter och upphandlingsorganisationer i över 100 länder.

ISO 27001:2022 ISMS IAF MLA-erkänd 100+ länder

Vad är ISO/IEC 27001?

ISO/IEC 27001 är den ledande internationella standarden för ledningssystem för informationssäkerhet (ISMS), publicerad av Internationella standardiseringsorganisationen (ISO). Revisionen 2022 introducerade en omarbetad uppsättning kontroller i bilaga A i linje med ISO 27002:2022, reducerad från 114 till 93 kontroller i 4 teman.

Certifieringen visar att en organisation har bedömt sina informationssäkerhetsrisker och implementerat lämpliga kontroller inom ett systematiskt ledningsramverk, underkastat oberoende tredjepartsrevision.

Vem behöver ISO 27001?

  • Teknik- och SaaS-företag med B2B-företagskunder
  • Organisationer inom finansiella tjänster, bank och betalningshantering
  • Hälsovårds- och MedTech-företag som hanterar patientdata
  • Offentliga upphandlare och myndigheter
  • Datacenter, molnleverantörer och leverantörer av hanterade tjänster
  • Alla organisationer som besvarar kundernas säkerhetsfrågeformulär

ISO 27001:2022 — Viktiga förändringar sedan 2013

Organisationer certifierade enligt ISO 27001:2013 måste övergå till 2022-versionen. Viktiga förändringar inkluderar:

  • Bilaga A omstrukturerad i 4 teman: Organisatoriska, Personrelaterade, Fysiska, Teknologiska
  • 11 nya kontroller tillagda, inklusive hotunderrättelser, molnsäkerhet och datamaskning
  • Totalt antal kontroller reducerat från 114 till 93 (vissa sammanslagna)
  • Ökad anpassning till andra ISO-ledningssystemstandarder (Högnivåstruktur)

Omfattning av en ISO 27001-certifiering

Omfattningsdefinition är ett kritiskt steg i certifieringsprocessen. Omfattningen bestämmer vilka informationstillgångar, processer, platser och organisationsenheter som ingår i ISMS-gränsen. BALTUMs gapanalysfas inkluderar detaljerad vägledning för omfattningsdefinition, vilket säkerställer att den är meningsfull för intressenter och uppnåelig inom den planerade tidsramen.

BALTUM-processen: Steg för steg

  • Steg 1 — Gapanalys och omfattning: Bedömning av nuläget mot ISO 27001:2022-kraven. Gapregister. Omfattningsdokument. Projektplan.
  • Steg 2 — ISMS-dokumentation: Informationssäkerhetspolicy, riskbedömning och behandlingsmetodik, tillämplighetsförklaring, kontrollprocedurer och dokumentation.
  • Steg 3 — Implementeringsstöd: Vägledning för kontrollimplementering, internrevision och stöd för ledningens genomgång.
  • Steg 4 — Certifieringsrevision: Steg 1 dokumentgranskning och Steg 2 revision på plats/distans av ackrediterat certifieringsorgan.
  • Steg 5 — Övervakning: Årliga övervakningsrevisioner och planering av treårig omcertifiering.

Typisk tidsram

För en medelstor organisation (50–500 anställda) som söker förstagångscertifiering: 3–6 månader från start till certifikatutfärdande. Tidsramarna beror på organisationens storlek, nuvarande mognadsnivå och tillgången på interna resurser. BALTUM tillhandahåller en milstolpebaserad projektplan vid varje uppdrags start.

Integration med andra standarder

ISO 27001 implementeras ofta tillsammans med kompletterande standarder. BALTUM erbjuder integrerade program som delar dokumentation, kontroller och revisionsaktiviteter:

  • ISO 27001 + ISO 27701 (Integritetsskydd)
  • ISO 27001 + ISO 22301 (Kontinuitetshantering)
  • ISO 27001 + ISO 42001 (AI-ledningssystem)
  • ISO 27001 + SOC 2 (enhetligt evidensramverk)
  • ISO 27001 + PCI DSS (finanssektor)