Akademin hem
Bloggar
ISO 27001-certifiering: Vad händer under certifieringsrevisionen?
En del av ISO 27001-samlingen
En del av NIS2-samlingen

ISO 27001-certifiering: Vad händer under certifieringsrevisionen?

ISO 27001 insamling
ISO 27001-certifiering: Vad händer under certifieringsrevisionen?
NIS2 samling
ISO 27001-certifiering: Vad händer under certifieringsrevisionen?
Cyberday blogg
ISO 27001-certifiering: Vad händer under certifieringsrevisionen?

Huvudsyftet med revisioner är att genomföra oberoende och systematiska utvärderingar av organisationens ISMS och informationssäkerhet.

Revisioner hjälper dig att hitta föråldrade delar i ditt ISMS som inte längre är korrekta. De hjälper dig att hitta områden som kan förbättras och identifiera luckor. De är en metod för att säkerställa kontinuerlig förbättring och ansvarsskyldighet när det gäller informationssäkerhet. Revisioner håller dig ärlig (när de görs på rätt sätt).

Det här blogginlägget ger en övergripande introduktion till revision av informationssäkerhet och en detaljerad genomgång av revisionsprocessen för ISO 27001-certifiering.

Vad är informationssäkerhetsrevisioner?

Informationssäkerhetsrevisioner är systematiska utvärderingar av organisationens informationssäkerhet. De kan granska antingen specifika system eller generellt organisationens policyer, rutiner och kontroller kring informationssäkerhet.

Revisioner syftar till att säkerställa att organisationen faktiskt arbetar i enlighet med fastställda krav eller valda bästa metoder för att skydda sina informationstillgångar.

Målen för en informationssäkerhetsrevision inkluderar vanligtvis:

  1. Bedömning av efterlevnad: Verifiera att organisationen i praktiken följer fastställda eller interna policyer eller valda ramverk (t.ex. ISO 27001, NIS2, GDPR, HIPAA).
  2. Identifiera avvikelser: Upptäck delar av policyer som inte implementeras på rätt sätt eller mer tekniska sårbarheter i system eller applikationer som kan utnyttjas av hot.
  3. Utvärdera kontrollerna: Analysera om de definierade kontrollerna är effektiva när det gäller att skydda informationstillgångar och hitta områden där förbättringar är mest kritiska.
  4. Demonstrera ansvarsskyldighet: Ge bevis på tillbörlig aktsamhet i driften av ISMS och hanteringen av risker.

Revisioner kan genomföras internt av behöriga och anställda med rätt befogenheter (internrevision) eller externt av utvalda oberoende partner (externrevision). Vissa revisioner görs främst ur efterlevnadssynpunkt (efterlevnadsrevisioner) och andra ur en mer teknisk synvinkel (tekniska revisioner), med fokus på t.ex. specifika datasystem eller ämnen (t.ex. nätverkssäkerhet, applikationssäkerhet).

Vad är en ISO 27001-certifieringsrevision?

ISO 27001-certifieringsrevision är en specifik informationssäkerhetsrevision som genomförs av en ackrediterad revisor och enligt de riktlinjer för revision som definieras i ISO 27000-standardserien.

Målet med ISO 27001-certifieringsrevisionen är att verifiera att organisationens ledningssystem för informationssäkerhet (ISMS) uppfyller kraven i ISO 27001-standarden.

Vad händer vid en ISO 27001-certifieringsrevision?

En ISO 27001-certifieringsrevision är en strukturerad process där ett tredjepartscertifieringsorgan utvärderar en organisations ISMS mot kraven i ISO/IEC 27001-standarden. Det finns vanligtvis många organisationer i varje land som är ackrediterade av

Den faktiska revisionen genomförs i två huvudsteg: en preliminär bedömning (steg 1) och en detaljerad granskning (steg 2). Dessutom kan en organisation välja att genomgå en beredskapsbedömning före den faktiska revisionen. Aktiviteter efter revisionen säkerställer sedan att ISMS kontinuerligt förbättras och underhålls på rätt sätt.

Nedan finns mer detaljerade förklaringar av vad som händer i varje steg av certifieringsrevisionen.

1. Förberedelser inför revisionen

Innan certifieringsrevisionen inleds bör organisationen naturligtvis förbereda sig och se till att den anser att den uppfyller kraven i ISO 27001-standarden.

Du kan läsa mer om de viktigaste stegen i implementeringen av ISMS i en separat artikel.

2. Beredskapsbedömning (valfritt)

En bedömning av beredskapen för en ISO 27001-certifieringsrevision är en frivillig, förberedande utvärdering som görs för att avgöra om en organisation är tillräckligt förberedd för den formella certifieringsrevisionen.

Denna bedömning kan utföras av samma revisor som kommer att genomföra de senare delarna av processen.

Beredskapsbedömning kan hjälpa till att identifiera de största luckorna i ISMS i förhållande till kraven i ISO 27001.

Beredskapsbedömning är frivillig. Den bör användas om organisationen är osäker på om den uppfyller kraven i ISO 27001.

3. Steg 1 revision: Granskning av den huvudsakliga ISMS-dokumentationen

Steg 1-revisionen genomförs för att bedöma organisationens beredskap för steg 2 och identifiera eventuella kritiska luckor.

Den här fasen är mest inriktad på din viktigaste ISMS-dokumentation och kan också genomföras på distans. Revisorn kommer att granska några viktiga dokument för att avgöra om ni har de viktigaste ISMS-processerna på plats och om de fungerar som de ska.

Viktiga dokument som du vanligtvis behöver dela med dig av till revisorn i steg 1 av ISO 27001-revisionen är 

  • Förklaring av tillämplighet (SoA): Lista över alla kontroller i ISO 27002 och detaljer om varje kontrollstatus (t.ex. din implementeringsstatus för kontrollen, kort beskrivning av implementeringen och kontroller som anses vara icke-tillämpliga).
  • Beskrivning och omfattning av ISMS: Detta dokument måste förklara för revisorn hur organisationens ISMS är uppbyggt, drivs och övervakas. Det förklarar också vilka delar av organisationen som omfattas av ISMS, vilka nyckelroller som finns, vilken typ av information som är kopplad till ISMS och hur den kontrolleras. Genom att titta igenom detta dokument kommer revisorn att veta hur han hittar den viktigaste informationen relaterad till certifieringsrevisionen.
  • Policy för informationssäkerhet: Dokument på högsta nivå som beskriver organisationens åtagande för efterlevnad och t.ex. den högsta ledningens roll för att säkerställa efterlevnad och nödvändigt stöd för arbetet.
  • Förfarande för riskhantering: Beskriver er process för att identifiera, utvärdera och hantera informationssäkerhetsrisker.
  • Förfarande för internrevision (+ huvudresultat): Beskriver din process för att genomföra interna revisioner och upprätthålla ett revisionsschema. Du måste kunna presentera resultaten av en internrevision som har utförts i enlighet med förfarandet före certifieringsrevisionen (annars blir det en större avvikelse).
  • Förfarande för ledningens genomgång (+ huvudresultat): Beskriver din process för att genomföra ledningens genomgångar. Detta är ett av de viktigaste sätten som organisationens högsta ledning kommer att delta i informationssäkerheten. Du måste kunna presentera resultaten av en ledningens genomgång som har utförts i enlighet med förfarandet före certifieringsrevisionen (annars kommer det att vara en större avvikelse)
  • Procedur för medvetenhet hos personal: Beskriver er process för att säkerställa att anställda, entreprenörer och relevanta tredje parter är medvetna om sina roller och sitt ansvar för att upprätthålla informationssäkerheten. Detta dokument bör t.ex. beskriva hur ni utbildar anställda, ger dem riktlinjer för säker drift och säkerställer att de åtar sig att följa riktlinjerna.

I slutet av steg 1-revisionen kommer revisorn att tillhandahålla en lista över resultat, som kan omfatta större eller mindre avvikelser. Avvikelser måste åtgärdas med korrigerande åtgärder innan man kan gå vidare i revisionsprocessen.

När revisorer rapporterar avvikelser pekar de alltid på det avsnitt i standarden (t.ex. 9.1.1) som inte uppfylls.

4. Steg 2 revision: Granskning av ISMS implementering och effektivitet

Steg 2-revisionen är huvuddelen av certifieringsrevisionen. Den utförs för att bekräfta om ISMS är fullt implementerat, effektivt och i överensstämmelse med ISO 27001.

Denna fas genomförs på plats, vilket är relevant inte bara för bättre informationsutbyte utan också för att bekräfta fysiska säkerhetskontroller.

Under denna fas behöver revisorn i princip få lämpliga bevis på att du uppfyller kraven i din egen ISMS-dokumentation och i ISO 27001-standarden. För att möjliggöra detta kommer revisorn att:

  • Genomföra intervjuer:
    • Revisorerna kommer att be de ansvariga personerna för olika ISMS-områden att förklara, visa och ge mer detaljer om genomförandet av policyer och kontroller.
    • Revisorer kommer också att interagera med "grundläggande" anställda, som inte nödvändigtvis har några speciella roller i upprätthållandet av ISMS, för att utvärdera deras medvetenhet om säkerhetspolicyer och riktlinjer.
  • Granska bevis:
    • Granska innehållet i ISMS, undersök relevanta loggar, incidentregister, utbildningsregister, riskhanteringsplaner, revisionsrapporter och allt annat som är relevant för att bevisa att saker och ting faktiskt har implementerats enligt definitionen.
  • Utvärdera kontrollernas lämplighet:
    • Verifiera att de säkerhetskontroller som anges i SoA är implementerade och effektiva.
    • Testa kontroller som rör fysisk säkerhet, åtkomsthantering, incidenthantering med mera.

Som det viktigaste resultatet av sitt arbete kommer revisorn att:

  • Identifiera avvikelser:
    • Större avvikelser: Kritiska frågor som måste åtgärdas med korrigerande åtgärder och presenteras för revisorn före certifieringen.
    • Mindre avvikelser: Mindre kritiska frågor som kräver korrigerande åtgärder (t.ex. en plan som ska presenteras för revisorn under de kommande 3 månaderna) men som inte förhindrar certifiering.
  • Ge rekommendationer och eventuella andra relevanta synpunkter: 
    • Överlag kommer revisorerna också att observera de förklaringar du ger och observera din dagliga verksamhet för att verifiera efterlevnaden.
    • När revisorerna upptäcker områden som bör förbättras kan de påpeka dem som rekommendationer eller andra observationer. Rekommendationer är saker som kan förbättras ur revisorns synvinkel, men inte avvikelser (åtminstone inte ännu). Om man inte reagerar på rekommendationerna, t.ex. före nästa revision, kan de omvandlas till avvikelser.

När det inte längre finns några större avvikelser rekommenderas organisationen för certifiering.

Revisorerna sammanställer resultatet av revisionen i en revisionsberättelse, som förklarar alla olika iakttagelser och skickas till revisionsobjekten.

5. Aktiviteter efter revisionen

Efter att den faktiska certifieringsrevisionen har slutförts finns det fortfarande några viktiga saker att göra:‍

  • Utfärdande av certifikatet:
    • Efter att organisationen har klarat revisionen utfärdar certifieringsorganet ISO 27001-certifikatet.
    • Certifikatet är giltigt i tre år, med förbehåll för regelbunden uppföljning.
  • Genomföra årliga övervakningsrevisioner:
    • Korta revisioner, som genomförs årligen, för att säkerställa att ISMS fortsätter att uppfylla kraven.
    • Fokus på utvalda områden i ISMS och relevanta förändringar sedan den senaste revisionen.
  • Genomför en omcertifieringsrevision vart 3:e år:
    • Genomförs vart tredje år för att förnya certifieringen.
    • Omfattar en omfattande bedömning som liknar den inledande certifieringsprocessen.
Certifikatets meddelande är "Revisionsorganisation X har kontrollerat att organisation Y uppfyller denna standard Z" (exempel från Cyberday.ai)

Populära frågor relaterade till ISO 27001-certifieringsrevisioner

Hur lång tid tar det för organisationer att förbereda sig för ISO 27001-certifieringsrevision?

Vi arbetar för närvarande med cirka 600 organisationer genom vår Cyberday ISMS-app. Vi har sett att den inledande vägen mot efterlevnad tar allt från ett par veckor till 12 månader och allt däremellan. Och ja, det finns också de där initiativen som aldrig blir färdiga.

Vanligtvis tar processen mellan 3 och 9 månader. De viktigaste faktorerna som påverkar tidslinjen är verksamhetens komplexitet och storlek, nuvarande mognadsnivå för informationssäkerhet, resurser och expertis som du kan avsätta för arbetet och de verktyg som används för att driva ISMS.

Hur lång tid tar den faktiska ISO 27001-certifieringsrevisionen?

Godtagbart genomförda ISO 27001-certifieringsrevisioner har tydliga minimitider för den tid revisionen behöver ta som beskrivs i ISO 27000-standardserien.

I en liten organisation (under 10 anställda) behöver du totalt 7-14 dagars revisorsarbete under en enda 3-årig certifieringsperiod. I en stor organisation (10 000+ anställda) kommer det att krävas cirka 50 dagars revisorsarbete under en 3-årig certifieringsperiod.

Organization size Stage 1 Stage 2 Audit duration
Small (10–50 employees) 1–2 days 2–3 days 3–5 days
Medium (50–500 employees) 2–3 days 3–7 days 5–10 days
Large (500+ employees) 3–4 days 7–12 days 10–15+ days

Vilka är kostnaderna för ISO 27001-certifiering?

Den direkta kostnaden för en ISO 27001-certifieringsrevision är lätt att uppskatta om man tittar på frågan ovan om revisionens varaktighet. Den huvudsakliga kostnaden är vad du betalar för revisorns arbete, där en bra grov uppskattning är 1000 € per dag i EU.

Den direkta kostnaden för de revisionsorganisationer som utför certifieringsrevisionen kommer alltså att ligga på mellan 10 000 euro och 50 000 euro under hela treårsperioden, beroende på organisationens storlek.

Interna kostnader (t.ex. nödvändigt ISMS-arbete, personaltid, programvarulösningar, andra teknikinvesteringar, nödvändig utbildning) beror helt och hållet på den mognad för informationssäkerhet som du har i utgångsläget.

Hur ofta genomförs revisioner av ISO 27001?

Certifieringsrevision (eller omcertifieringsrevision) kommer att genomföras vart tredje år. Övervakningsrevisioner är kortare årliga revisioner som kommer att genomföras under de återstående åren för att säkerställa kontinuerlig förbättring och korrekt underhåll av ISMS.

Vad händer om du "underkänns" i ISO 27001-certifieringsrevisionen?

Att "misslyckas" med en ISO 27001-certifieringsrevision kan i princip innebära att organisationen inte uppfyllde alla krav i standarden vid tidpunkten för revisionen och att vissa avvikelser därför identifierades.

Efter detta har organisationen möjlighet att åtgärda avvikelserna med korrigerande åtgärder och fortsätta certifieringsprocessen. Detta innebär att ta fram en plan för korrigerande åtgärder och genomföra dessa korrigeringar. För större avvikelser måste korrigeringarna verifieras av revisorn. För mindre avvikelser räcker det med att verifiera planen.

När uppföljningen av de korrigerande åtgärderna visar att kraven uppfylls kan certifiering beviljas.

Det är viktigt att förstå att det egentligen inte finns något misslyckande i certifieringsrevisionsprocessen. Revisorn kommer bara att hjälpa dig att identifiera avvikelser, som är ämnen att förbättra. Även om avvikelser upptäcks (vilket är helt normalt) kommer du att ha en att-göra-lista för certifiering och ha förbättrat din informationssäkerhet.

Skrivet av
Aleksi Pulkkanen
22.1.2025
@
apulkkanen
LinkedIn

Artikelns innehåll

Andra artiklar i samma ämne

Se hela ISO 27001-samlingen
Se hela NIS2-samlingen

Andra relaterade bloggartiklar

Dela artikel

Annat liknande innehåll från Akademin

Bloggar

What is CRA? Introduction to Cyber Resilience Act requirements

What is CRA (Cyber Resilience Act)? Learn CRA requirements, who it applies to, and how to prepare for CRA compliance with this complete, practical guide.
2.6.2025

NIS2 delays, healthcare breaches & improved Trust Center: Cyberday product and news summary 5/2025 🛡️

This is the May news and product review from Cyberday and also a summary of the latest admin webinar. Read about NIS2 delays, recent cyberattacks as well as recent and future development on Cyberday.
30.5.2025

End of hourly billing: why value-based pricing works for compliance consultants

Hourly billing is fading fast in compliance consulting. Learn why value-based pricing better aligns incentives, boosts earnings, and how compliance consultants can transition effectively.
26.5.2025

Kom igång idag

Börja gratis, i din bekanta Teams-miljö.
Om du har några frågor kan du boka ett möte med oss.

Starta en gratis 14-dagars provperiod
Boka ett möte
Hur fungerar det?
SammanfattningSäkerhetsuppgifter och säkerhetArbetsflöden för dokumentationRiktlinjer för anställdaMallar för rapportering
Användningsområden
Efter ramverkAlla ramverkISO 27001NIS2-direktivNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Efter metodHantering av cyberriskerMedvetenhet hos anställdaRapportering om efterlevnadKontrollhanteringHantering av tillgångarDynamiska policydokumentHantering av sekretess
Resurser
AkademinWebbinarierBloggHjälpartiklarVideokurserInnehållsbibliotekNyhetsbrevLämna en recensionPartnerprogramTeamAnvändarvillkorIntegritetspolicy
Kontakta oss
+358 10 231 6010
team@cyberday.ai
Appen fungerar i:
I Finland känd som Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tammerfors, Finland
Cyberday.ai - Förbättra och certifiera din cybersäkerhet