Akademin hem
Bloggar
De viktigaste dokumenten vid revision av ISO 27001-certifiering
En del av ISO 27001-samlingen
En del av NIS2-samlingen

De viktigaste dokumenten vid revision av ISO 27001-certifiering

ISO 27001 insamling
De viktigaste dokumenten vid revision av ISO 27001-certifiering
NIS2 samling
De viktigaste dokumenten vid revision av ISO 27001-certifiering
Cyberday blogg
De viktigaste dokumenten vid revision av ISO 27001-certifiering

Även om dokumentation är en viktig del av ISO 27001 handlar standarden i grunden om att bygga upp ett effektivt, riskbaserat och verksamhetsanpassat ISMS (information security management system).

Vissa organisationer ser ISO 27001 som en ren kryssrutetest för att klara en revision och prioriterar pappersarbete framför faktiska säkerhetsförbättringar. Om du tycker att processen är alltför fokuserad på pappersarbete är det värt att omvärdera implementeringsmetoden för att göra den mer praktisk och verkningsfull för din organisation.

Vilken roll spelar dokument och dokumentation i samband med ISO 27001?

Dokumentation är bara en mekanism för att säkerställa konsekvens, ansvarighet och granskningsbarhet i samband med uppbyggnaden av ISMS. Alla kan säkert förstå varför det är viktigt att ha informationssäkerhetsrelaterade processer och rutiner nedskrivna - inte bara i huvudet på CISO eller någon annan viktig informationssäkerhetsrepresentant.

Dokumentation är också viktigt ur flera andra synvinklar:

  • Tillhandahåller bevis: Dokumentation ger bevis för din efterlevnad och gör i allmänhet din informationssäkerhet granskningsbar.
  • Förbättrar konsekvensen: Dokumentation säkerställer enhetlighet och tydlighet i din säkerhetsimplementering.
  • Möjliggör ansvarsskyldighet: Dokumentation möjliggör ansvarsutkrävande och underlättar kommunikationen kring din informationssäkerhet.

Du behöver inte se dokumentation här på det gammaldags sättet. Dokumentation kan också vara t.ex. uppgifter och tillgångar, deras beskrivningar och deras ägare i ett smart ISMS-system. Vi talar inte om Word-dokument som är svåra att underhålla med manuella versionsloggar. Nyckeln är att ha saker definierade.

Men ISO 27001-standarden definierar specifikt vissa viktiga dokument, som måste samlas ihop och vara lätta att dela, t.ex. för revisorn. I den här bloggen presenterar vi de viktigaste dokumenten för enISO 27001-certifieringsrevision .

Vilka är de viktigaste dokumenten vid revision av ISO 27001-certifiering?

I detta avsnitt listas de viktigaste dokumenten på högsta nivå vid implementering av ISO 27001 och en kort sammanfattning av deras syfte och betydelse ges.

Förklaring om tillämplighet (SoA)

Vad är det?

  • Ett dokument som listar alla kontroller i ISO 27002 och detaljer om varje kontrollstatus (t.ex. din implementeringsstatus för kontrollen, kort beskrivning av implementeringen och kontroller som inte anses vara tillämpliga).

Varför är det viktigt?

  • SoA fungerar som den centrala referensen för ditt ISMS.
  • Skapar en översikt för din organisation för att följa framstegen med implementeringen av ISO 27002-kontroller.
  • Visar organisationens motivering bakom valda kontroller för att uppfylla säkerhetsmålen.
  • Revisorer granskar ofta detta för att kontrollera att det stämmer överens med din riskbedömning och annan dokumentation.
  • Det viktigaste dokumentet under en ISO 27001-certifieringsrevision, eftersom det avser implementering av alla 93 ISO 27002-kontroller.

Statement of Applicability (SoA) i ISO 27001 är ett unikt namngivet dokument, men det kan ibland också hänvisas till det med alternativa namn (t.ex. ISO 27001 Control Statement, Annex A Control Mapping eller ISO 27001 Control Applicability Statement). Även om alternativa namn ibland kan användas är det viktigt att behålla huvudsyftet med SoA: att identifiera tillämpliga kontroller, motivera deras inkludering eller exkludering och beskriva deras implementering.

Beskrivning av din organisations ISMS och dess omfattning

Vad är det?

  • ‍Dettadokument måste förklara för revisorn hur organisationens ISMS är strukturerat, drivs och övervakas. Det förklarar också vilka delar av organisationen som omfattas av ISMS, vilka nyckelroller som finns, vilken typ av information som är kopplad till ISMS och hur den kontrolleras. Genom att titta igenom detta dokument kommer revisorn att veta hur han hittar den viktigaste informationen relaterad till certifieringsrevisionen.

Varför är det viktigt?

  • Definierar fokusområdet för din ISMS-implementering.
  • Hjälper till att säkerställa att alla (internt team, revisorer, intressenter) har klart för sig vad som omfattas av ISMS och vilken typ av innehåll som är relaterat till det.
  • Felaktig inriktning av omfattningen kan leda till avvikelser under certifieringen.

Organisationens policy för informationssäkerhet

Vad är det?

  • ‍Ettdokument på hög nivå som beskriver organisationens engagemang för informationssäkerhet, efterlevnad av utvalda bästa metoder och t.ex. högsta ledningens roll för att säkerställa efterlevnad och nödvändigt stöd för arbetet.

Varför är det viktigt?

  • Anger tonen för ISMS och visar högsta ledningens stöd.
  • Ger vägledning till anställda och intressenter om vikten av säkerhet.
  • Måste kommuniceras till medarbetarna och kunna delas med andra intressenter, så företag brukar inte inkludera en massa detaljer i det här dokumentet (bör hålla sig på en hög nivå).
  • Ofta ett av de första dokumenten som revisorerna ber att få se.

Förfarande för riskhantering

Vad är det?

  • ‍Beskriverer process för att identifiera, utvärdera och behandla informationssäkerhetsrisker. Så i princip beskriver detta dokument din riskhanteringsmetod.

Varför är det viktigt?

  • Riskhantering är kärnan i ISO 27001.
  • Säkerställer att risker identifieras och minskas på ett konsekvent sätt baserat på organisationens riskaptit.
  • Utgör grunden för kontinuerlig förbättring ur riskbaserad synvinkel, t.ex. efter att ha uppnått certifiering redan en gång.

Förfarande för internrevision

Vad är det?

  • ‍Beskriverdin process för att genomföra interna revisioner och upprätthålla ett revisionsschema. Du måste kunna presentera resultatet av en internrevision som har utförts i enlighet med förfarandet före certifieringsrevisionen (annars blir det en större avvikelse).

Varför är det viktigt?

  • Interna revisioner säkerställer kontinuerlig efterlevnad och effektivitet av ISMS.
  • Ger bevis på kontinuerlig förbättring och beredskap för certifieringsrevisioner.
  • Hjälper till att identifiera svagheter eller luckor innan externa revisorer gör det.

Förfarande för ledningens genomgång

Vad är det?

  • ‍Beskriverdin process för att genomföra ledningens genomgångar. Detta är ett av de viktigaste sätten som organisationens högsta ledning kommer att delta i informationssäkerheten. Du måste kunna presentera resultaten av en ledningens genomgång som har utförts i enlighet med förfarandet före certifieringsrevisionen (annars blir det en större avvikelse).

Varför är det viktigt?

  • Visar ledarskapets aktiva deltagande och engagemang i ISMS.
  • Säkerställer anpassning till organisationens strategi och identifierar områden för förbättring.
  • Avsaknad av en effektiv ledningens genomgång är en vanlig avvikelse vid revisioner.

Senaste resultat från internrevision och ledningens genomgång

Vad är de?

  • ‍Dinrevisor kommer att be dig att tillhandahålla resultaten av den senaste internrevisionen och ledningens genomgång före steg 1-revisionen Dessa kommer att visa för revisorn att du har implementerat de relaterade procedurerna och kan utföra dessa viktiga ISMS-övervakningsåtgärder.

Varför är de viktiga?

  • Internrevisioner belyser luckor eller svagheter som kan åtgärdas för att stärka ISMS - och därmed säkerställa kontinuerlig förbättring.
  • Dokumenterade resultat ger bevis på interna revisioner, ett krav enligt paragraf 9.2 i ISO 27001.
  • Ledningens granskning säkerställer den högsta ledningens engagemang för informationssäkerhet och att ISMS fortsätter att anpassas till affärsmål, förändringar i lagstiftningen och nya risker.
  • Certifieringsrevisorer förväntar sig att se dokumenterade resultat av ledningens genomgång som bevis på överensstämmelse med paragraf 9.3 i ISO 27001.

Procedur för medvetandegörande av personal

Vad är det?

  • Beskriver er process för att säkerställa att anställda, entreprenörer och relevanta tredje parter är medvetna om sina roller och ansvar för att upprätthålla informationssäkerheten. Detta dokument bör t.ex. beskriva hur ni utbildar anställda, tillhandahåller riktlinjer för säker drift för dem och säkerställer att de åtar sig att följa riktlinjerna.

Varför är det viktigt?

  • Ett huvudkrav i ISO 27001 är att säkerställa att medarbetarna är medvetna om sitt ansvar när det gäller informationssäkerhet (7.3 och t.ex. kontroll A.7.2.2).
  • Medarbetarna är ofta den svagaste länken i säkerhetssystemet, så genom att öka medvetenheten kan man minska hot som nätfiske, social ingenjörskonst eller felaktig hantering av känslig information.
  • Ett gediget medvetenhetsprogram återspeglar ett organisationsövergripande engagemang för säkerhet, vilket är en förutsättning för ISO-certifiering.

Ämnesbaserade policyer för att visa genomförandet av kontrollerna i bilaga A

Att använda ämnesbaserade säkerhetspolicyer är ett eget val i din organisation.

Det nämns inte specifikt att de ska vara delbara dokument i ISO 27001. Det viktiga är att du definierar implementeringen av relaterade kontroller på ett tydligt sätt.

Vissa organisationer väljer dock att skapa ämnesbaserade säkerhetspolicyer, t.ex. för följande populära ämnen:

  • Policy för åtkomsthantering: Definierar hur åtkomst till system och data hanteras och begränsas.
  • Lösenordspolicy: Anger krav på lösenordets komplexitet, utgångsdatum och hantering.
  • Policy för godtagbar användning: Beskriver tillåten användning av företagets tillgångar (t.ex. internet, e-post).
  • Policy för svar på incidenter: Ger en steg-för-steg-process för att identifiera, hantera och lösa incidenter.
  • Policy för dataskydd: Säkerställer att lagar om dataskydd följs och att känslig information skyddas.
  • Policy för distansarbete: Omfattar säkerhetsåtgärder för medarbetare som arbetar på annan plats.
  • Policy för leverantörssäkerhet: Hanterar risker som är förknippade med externa leverantörer och partners.varför ha saker som policyer?

Du bör se ämnesbaserade säkerhetspolicydokument som verktyg för enklare informationsdelning och enklare granskning av innehåll. Den faktiska delegeringen och övervakningen av de implementerade skyddsåtgärderna (oavsett om de är teknik-, organisations- eller personbaserade) som nämns i policydokumenten görs mycket bättre i ett smart ISMS-verktyg - inte i ett textdokument.

Viktiga lärdomar relaterade till ISO 27001 och huvuddokument

ISO 27001 handlar inte om att skapa dokument för dokumentationens skull. Det handlar om att utnyttja dessa dokument för att bygga upp ett funktionellt, riskdrivet ISMS som skyddar organisationens informationstillgångar och stöder affärsmålen. Ja, dokumenten är nödvändiga, men de är verktyg - inte målet.

  • Sammankopplade dokument utgör grunden för ISMS: De viktigaste dokumenten - t.ex. tillämpningsförklaringen (SoA), riskhanteringsförfarandet, ISMS omfattning, internrevision, ledningens genomgång och informationssäkerhetspolicyn - utgör tillsammans ryggraden i ditt ISMS. Varje dokument tjänar ett syfte genom att definiera t.ex. hur korrekt hantering av informationssäkerhet upprätthålls, hur kontroller tillämpas eller hur kontinuerlig förbättring uppnås.
  • Fokusera på vad du definierar, inte på själva dokumentet: Dokumenten är verktyg som hjälper dig att beskriva dina säkerhetsmål, processer och beslut. Men den verkliga tyngdpunkten ligger på vad du definierar i dessa dokument och hur du tillämpar det i praktiken. Det handlar inte om att skapa perfekt pappersarbete, utan om att operationalisera det du dokumenterar.
  • Revisorer bryr sig om implementering: ISO 27001-revisioner handlar inte bara om att kontrollera förekomsten av dokument - de fokuserar på att säkerställa att din organisation arbetar enligt dina dokumenterade definitioner. Det är därför det är så viktigt att anpassa ert ISMS till er faktiska praxis.

Vissa organisationer går fortfarande i fällan att överbetona certifiering som mål och behandlar ISO 27001 som en dokumentationstung checkbox-övning. Detta tillvägagångssätt leder ofta till frustration och en känsla av att processen är överdrivet byråkratisk, vilket förtar det verkliga värdet av ISMS.

När ISO 27001 implementeras på ett effektivt sätt blir pappersarbetet en naturlig del av ditt informationssäkerhetsprogram, som fokuserar på att stärka organisationens säkerhetsställning och skapa förtroende hos intressenterna.

Skrivet av
Aleksi Pulkkanen
30.1.2025
@
apulkkanen
LinkedIn

Artikelns innehåll

Andra artiklar i samma ämne

Se hela ISO 27001-samlingen
Se hela NIS2-samlingen

Andra relaterade bloggartiklar

Dela artikel

Annat liknande innehåll från Akademin

Bloggar

De 10 vanligaste avvikelserna vid revisioner av ISO 27001

Revisioner och avvikelser driver organisationer mot ständiga förbättringar. Men innan din första ISO 27001-certifiering är det bra att känna till några av de vanligaste avvikelserna, så att du kan undvika dem vid din certifieringsrevision.
18.2.2025

Har fått en förfrågan om intervju för ISO 27001-revision - vad kan jag förvänta mig?

I den här bloggen kommer vi att tala om vikten av att medarbetarna deltar i revisionsintervjun, varför revisorerna värdesätter medarbetarnas insikter och titta närmare på möjliga frågor som ställs i en ISO 27001-intervju.
13.2.2025

Checklista för efterlevnad och certifiering av ISO 27001

Vill du säkerställa att du uppfyller kraven i ISO 27001? Den här checklistan innehåller tydligt ordnade viktiga steg som hjälper din organisation att bygga upp ett ISMS och uppfylla kraven i ISO 27001-standarden.
6.2.2025

Kom igång idag

Börja gratis, i din bekanta Teams-miljö.
Om du har några frågor kan du boka ett möte med oss.

Starta en gratis 14-dagars provperiod
Boka ett möte
Hur fungerar det?
SammanfattningSäkerhetsuppgifter och säkerhetArbetsflöden för dokumentationRiktlinjer för anställdaMallar för rapportering
Användningsområden
Efter ramverkAlla ramverkISO 27001NIS2-direktivNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Efter metodHantering av cyberriskerMedvetenhet hos anställdaRapportering om efterlevnadKontrollhanteringHantering av tillgångarDynamiska policydokumentHantering av sekretess
Resurser
AkademinWebbinarierBloggHjälpartiklarVideokurserInnehållsbibliotekVeckovisa nyhetsöversikterPrenumerera på AkademinLämna en recensionPartnerprogramTeamAnvändarvillkorIntegritetspolicy
Kontakta oss
+358 10 231 6010
team@cyberday.ai
Appen fungerar i:
I Finland känd som Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tammerfors, Finland
Cyberday.ai - Förbättra och certifiera din cybersäkerhet