Akademin hem
Bloggar
ISO 27001-certifiering: Vad händer under certifieringsrevisionen?
En del av ISO 27001-samlingen
En del av NIS2-samlingen

ISO 27001-certifiering: Vad händer under certifieringsrevisionen?

ISO 27001 insamling
ISO 27001-certifiering: Vad händer under certifieringsrevisionen?
NIS2 samling
ISO 27001-certifiering: Vad händer under certifieringsrevisionen?
Cyberday blogg
ISO 27001-certifiering: Vad händer under certifieringsrevisionen?

Huvudsyftet med revisioner är att genomföra oberoende och systematiska utvärderingar av organisationens ISMS och informationssäkerhet.

Audits will help you find outdated parts in your ISMS, that are not anymore accurate. They will help you find areas for improvement and identify gaps. They are one method for ensuring continuous improvement and accountability related to your information security. Audits keep you honest (when done well).

Det här blogginlägget ger en övergripande introduktion till revision av informationssäkerhet och en detaljerad genomgång av revisionsprocessen för ISO 27001-certifiering.

Vad är informationssäkerhetsrevisioner?

Informationssäkerhetsrevisioner är systematiska utvärderingar av organisationens informationssäkerhet. De kan granska antingen specifika system eller generellt organisationens policyer, rutiner och kontroller kring informationssäkerhet.

Revisioner syftar till att säkerställa att organisationen faktiskt arbetar i enlighet med fastställda krav eller valda bästa metoder för att skydda sina informationstillgångar.

Målen för en informationssäkerhetsrevision inkluderar vanligtvis:

  1. Bedömning av efterlevnad: Verifiera att organisationen i praktiken följer fastställda eller interna policyer eller valda ramverk (t.ex. ISO 27001, NIS2, GDPR, HIPAA).
  2. Identifiera avvikelser: Upptäck delar av policyer som inte implementeras på rätt sätt eller mer tekniska sårbarheter i system eller applikationer som kan utnyttjas av hot.
  3. Utvärdera kontrollerna: Analysera om de definierade kontrollerna är effektiva när det gäller att skydda informationstillgångar och hitta områden där förbättringar är mest kritiska.
  4. Demonstrera ansvarsskyldighet: Ge bevis på tillbörlig aktsamhet i driften av ISMS och hanteringen av risker.

Revisioner kan genomföras internt av behöriga och anställda med rätt befogenheter (internrevision) eller externt av utvalda oberoende partner (externrevision). Vissa revisioner görs främst ur efterlevnadssynpunkt (efterlevnadsrevisioner) och andra ur en mer teknisk synvinkel (tekniska revisioner), med fokus på t.ex. specifika datasystem eller ämnen (t.ex. nätverkssäkerhet, applikationssäkerhet).

Vad är en ISO 27001-certifieringsrevision?

ISO 27001-certifieringsrevision är en specifik informationssäkerhetsrevision som genomförs av en ackrediterad revisor och enligt de riktlinjer för revision som definieras i ISO 27000-standardserien.

Målet med ISO 27001-certifieringsrevisionen är att verifiera att organisationens ledningssystem för informationssäkerhet (ISMS) uppfyller kraven i ISO 27001-standarden.

Vad händer vid en ISO 27001-certifieringsrevision?

En ISO 27001-certifieringsrevision är en strukturerad process där ett tredjepartscertifieringsorgan utvärderar en organisations ISMS mot kraven i ISO/IEC 27001-standarden. Det finns vanligtvis många organisationer i varje land som är ackrediterade av

Den faktiska revisionen genomförs i två huvudsteg: en preliminär bedömning (steg 1) och en detaljerad granskning (steg 2). Dessutom kan en organisation välja att genomgå en beredskapsbedömning före den faktiska revisionen. Aktiviteter efter revisionen säkerställer sedan att ISMS kontinuerligt förbättras och underhålls på rätt sätt.

Nedan finns mer detaljerade förklaringar av vad som händer i varje steg av certifieringsrevisionen.

1. Förberedelser inför revisionen

Innan certifieringsrevisionen inleds bör organisationen naturligtvis förbereda sig och se till att den anser att den uppfyller kraven i ISO 27001-standarden.

Du kan läsa mer om de viktigaste stegen i implementeringen av ISMS i en separat artikel.

2. Beredskapsbedömning (valfritt)

En bedömning av beredskapen för en ISO 27001-certifieringsrevision är en frivillig, förberedande utvärdering som görs för att avgöra om en organisation är tillräckligt förberedd för den formella certifieringsrevisionen.

Denna bedömning kan utföras av samma revisor som kommer att genomföra de senare delarna av processen.

Beredskapsbedömning kan hjälpa till att identifiera de största luckorna i ISMS i förhållande till kraven i ISO 27001.

Beredskapsbedömning är frivillig. Den bör användas om organisationen är osäker på om den uppfyller kraven i ISO 27001.

3. Steg 1 revision: Granskning av den huvudsakliga ISMS-dokumentationen

Steg 1-revisionen genomförs för att bedöma organisationens beredskap för steg 2 och identifiera eventuella kritiska luckor.

Den här fasen är mest inriktad på din viktigaste ISMS-dokumentation och kan också genomföras på distans. Revisorn kommer att granska några viktiga dokument för att avgöra om ni har de viktigaste ISMS-processerna på plats och om de fungerar som de ska.

Viktiga dokument som du vanligtvis behöver dela med dig av till revisorn i steg 1 av ISO 27001-revisionen är 

  • Förklaring av tillämplighet (SoA): Lista över alla kontroller i ISO 27002 och detaljer om varje kontrollstatus (t.ex. din implementeringsstatus för kontrollen, kort beskrivning av implementeringen och kontroller som anses vara icke-tillämpliga).
  • Beskrivning och omfattning av ISMS: Detta dokument måste förklara för revisorn hur organisationens ISMS är uppbyggt, drivs och övervakas. Det förklarar också vilka delar av organisationen som omfattas av ISMS, vilka nyckelroller som finns, vilken typ av information som är kopplad till ISMS och hur den kontrolleras. Genom att titta igenom detta dokument kommer revisorn att veta hur han hittar den viktigaste informationen relaterad till certifieringsrevisionen.
  • Policy för informationssäkerhet: Dokument på högsta nivå som beskriver organisationens åtagande för efterlevnad och t.ex. den högsta ledningens roll för att säkerställa efterlevnad och nödvändigt stöd för arbetet.
  • Förfarande för riskhantering: Beskriver er process för att identifiera, utvärdera och hantera informationssäkerhetsrisker.
  • Förfarande för internrevision (+ huvudresultat): Beskriver din process för att genomföra interna revisioner och upprätthålla ett revisionsschema. Du måste kunna presentera resultaten av en internrevision som har utförts i enlighet med förfarandet före certifieringsrevisionen (annars blir det en större avvikelse).
  • Förfarande för ledningens genomgång (+ huvudresultat): Beskriver din process för att genomföra ledningens genomgångar. Detta är ett av de viktigaste sätten som organisationens högsta ledning kommer att delta i informationssäkerheten. Du måste kunna presentera resultaten av en ledningens genomgång som har utförts i enlighet med förfarandet före certifieringsrevisionen (annars kommer det att vara en större avvikelse)
  • Procedur för medvetenhet hos personal: Beskriver er process för att säkerställa att anställda, entreprenörer och relevanta tredje parter är medvetna om sina roller och sitt ansvar för att upprätthålla informationssäkerheten. Detta dokument bör t.ex. beskriva hur ni utbildar anställda, ger dem riktlinjer för säker drift och säkerställer att de åtar sig att följa riktlinjerna.

I slutet av steg 1-revisionen kommer revisorn att tillhandahålla en lista över resultat, som kan omfatta större eller mindre avvikelser. Avvikelser måste åtgärdas med korrigerande åtgärder innan man kan gå vidare i revisionsprocessen.

När revisorer rapporterar avvikelser pekar de alltid på det avsnitt i standarden (t.ex. 9.1.1) som inte uppfylls.

4. Steg 2 revision: Granskning av ISMS implementering och effektivitet

Stage 2 audit is the main part of the certification audit. It is carried out to confirm whether the ISMS is fully implemented, effective, and compliant with ISO 27001.

Denna fas genomförs på plats, vilket är relevant inte bara för bättre informationsutbyte utan också för att bekräfta fysiska säkerhetskontroller.

Under denna fas behöver revisorn i princip få lämpliga bevis på att du uppfyller kraven i din egen ISMS-dokumentation och i ISO 27001-standarden. För att möjliggöra detta kommer revisorn att:

  • Genomföra intervjuer:
    • Revisorerna kommer att be de ansvariga personerna för olika ISMS-områden att förklara, visa och ge mer detaljer om genomförandet av policyer och kontroller.
    • Revisorer kommer också att interagera med "grundläggande" anställda, som inte nödvändigtvis har några speciella roller i upprätthållandet av ISMS, för att utvärdera deras medvetenhet om säkerhetspolicyer och riktlinjer.
  • Granska bevis:
    • Granska innehållet i ISMS, undersök relevanta loggar, incidentregister, utbildningsregister, riskhanteringsplaner, revisionsrapporter och allt annat som är relevant för att bevisa att saker och ting faktiskt har implementerats enligt definitionen.
  • Utvärdera kontrollernas lämplighet:
    • Verifiera att de säkerhetskontroller som anges i SoA är implementerade och effektiva.
    • Testa kontroller som rör fysisk säkerhet, åtkomsthantering, incidenthantering med mera.

Som det viktigaste resultatet av sitt arbete kommer revisorn att:

  • Identifiera avvikelser:
    • Större avvikelser: Kritiska frågor som måste åtgärdas med korrigerande åtgärder och presenteras för revisorn före certifieringen.
    • Mindre avvikelser: Mindre kritiska frågor som kräver korrigerande åtgärder (t.ex. en plan som ska presenteras för revisorn under de kommande 3 månaderna) men som inte förhindrar certifiering.
  • Ge rekommendationer och eventuella andra relevanta synpunkter: 
    • Överlag kommer revisorerna också att observera de förklaringar du ger och observera din dagliga verksamhet för att verifiera efterlevnaden.
    • När revisorerna upptäcker områden som bör förbättras kan de påpeka dem som rekommendationer eller andra observationer. Rekommendationer är saker som kan förbättras ur revisorns synvinkel, men inte avvikelser (åtminstone inte ännu). Om man inte reagerar på rekommendationerna, t.ex. före nästa revision, kan de omvandlas till avvikelser.

När det inte längre finns några större avvikelser rekommenderas organisationen för certifiering.

Revisorerna sammanställer resultatet av revisionen i en revisionsberättelse, som förklarar alla olika iakttagelser och skickas till revisionsobjekten.

5. Aktiviteter efter revisionen

Efter att den faktiska certifieringsrevisionen har slutförts finns det fortfarande några viktiga saker att göra:‍

  • Utfärdande av certifikatet:
    • Efter att organisationen har klarat revisionen utfärdar certifieringsorganet ISO 27001-certifikatet.
    • Certifikatet är giltigt i tre år, med förbehåll för regelbunden uppföljning.
  • Genomföra årliga övervakningsrevisioner:
    • Korta revisioner, som genomförs årligen, för att säkerställa att ISMS fortsätter att uppfylla kraven.
    • Fokus på utvalda områden i ISMS och relevanta förändringar sedan den senaste revisionen.
  • Genomför en omcertifieringsrevision vart 3:e år:
    • Genomförs vart tredje år för att förnya certifieringen.
    • Omfattar en omfattande bedömning som liknar den inledande certifieringsprocessen.
Certifikatets meddelande är "Revisionsorganisation X har kontrollerat att organisation Y uppfyller denna standard Z" (exempel från Cyberday.ai)

Populära frågor relaterade till ISO 27001-certifieringsrevisioner

Hur lång tid tar det för organisationer att förbereda sig för ISO 27001-certifieringsrevision?

Vi arbetar för närvarande med cirka 600 organisationer genom vår Cyberday ISMS-app. Vi har sett att den inledande vägen mot efterlevnad tar allt från ett par veckor till 12 månader och allt däremellan. Och ja, det finns också de där initiativen som aldrig blir färdiga.

Vanligtvis tar processen mellan 3 och 9 månader. De viktigaste faktorerna som påverkar tidslinjen är verksamhetens komplexitet och storlek, nuvarande mognadsnivå för informationssäkerhet, resurser och expertis som du kan avsätta för arbetet och de verktyg som används för att driva ISMS.

Hur lång tid tar den faktiska ISO 27001-certifieringsrevisionen?

Godtagbart genomförda ISO 27001-certifieringsrevisioner har tydliga minimitider för den tid revisionen behöver ta som beskrivs i ISO 27000-standardserien.

I en liten organisation (under 10 anställda) behöver du totalt 7-14 dagars revisorsarbete under en enda 3-årig certifieringsperiod. I en stor organisation (10 000+ anställda) kommer det att krävas cirka 50 dagars revisorsarbete under en 3-årig certifieringsperiod.

Organization size Stage 1 Stage 2 Audit duration
Small (10–50 employees) 1–2 days 2–3 days 3–5 days
Medium (50–500 employees) 2–3 days 3–7 days 5–10 days
Large (500+ employees) 3–4 days 7–12 days 10–15+ days

Vilka är kostnaderna för ISO 27001-certifiering?

Den direkta kostnaden för en ISO 27001-certifieringsrevision är lätt att uppskatta om man tittar på frågan ovan om revisionens varaktighet. Den huvudsakliga kostnaden är vad du betalar för revisorns arbete, där en bra grov uppskattning är 1000 € per dag i EU.

Den direkta kostnaden för de revisionsorganisationer som utför certifieringsrevisionen kommer alltså att ligga på mellan 10 000 euro och 50 000 euro under hela treårsperioden, beroende på organisationens storlek.

Interna kostnader (t.ex. nödvändigt ISMS-arbete, personaltid, programvarulösningar, andra teknikinvesteringar, nödvändig utbildning) beror helt och hållet på den mognad för informationssäkerhet som du har i utgångsläget.

Hur ofta genomförs revisioner av ISO 27001?

Certifieringsrevision (eller omcertifieringsrevision) kommer att genomföras vart tredje år. Övervakningsrevisioner är kortare årliga revisioner som kommer att genomföras under de återstående åren för att säkerställa kontinuerlig förbättring och korrekt underhåll av ISMS.

Vad händer om du "underkänns" i ISO 27001-certifieringsrevisionen?

Att "misslyckas" med en ISO 27001-certifieringsrevision kan i princip innebära att organisationen inte uppfyllde alla krav i standarden vid tidpunkten för revisionen och att vissa avvikelser därför identifierades.

Efter detta har organisationen möjlighet att åtgärda avvikelserna med korrigerande åtgärder och fortsätta certifieringsprocessen. Detta innebär att ta fram en plan för korrigerande åtgärder och genomföra dessa korrigeringar. För större avvikelser måste korrigeringarna verifieras av revisorn. För mindre avvikelser räcker det med att verifiera planen.

När uppföljningen av de korrigerande åtgärderna visar att kraven uppfylls kan certifiering beviljas.

Det är viktigt att förstå att det egentligen inte finns något misslyckande i certifieringsrevisionsprocessen. Revisorn kommer bara att hjälpa dig att identifiera avvikelser, som är ämnen att förbättra. Även om avvikelser upptäcks (vilket är helt normalt) kommer du att ha en att-göra-lista för certifiering och ha förbättrat din informationssäkerhet.

{ "@context": "https://schema.org", "@type": "FAQPage", "mainEntity": [ { "@type": "Question", "name": "How long does it take from organizations to get ready for ISO 27001 certification audit?", "acceptedAnswer": { "@type": "Answer", "text": "The initial road towards compliance can take anywhere from a couple of weeks to 12 months, though typically it's between 3 to 9 months. Factors influencing the timeline include the complexity and size of operations, current information security maturity level, dedicated resources and expertise, and the tools used to run the ISMS." } }, { "@type": "Question", "name": "How long does the actual ISO 27001 certification audit take?", "acceptedAnswer": { "@type": "Answer", "text": "The duration of the actual ISO 27001 certification audit depends on the organization's size. For a small organization (under 10 employees), it's typically 7-14 days of auditor work over a 3-year certification period. For a large organization (10,000+ employees), this can be around 50 days of auditor work over the same period. More detailed breakdown by organization size for Stage 1, Stage 2, and total audit duration is as follows: Small (10–50 employees): Stage 1: 1–2 days, Stage 2: 2–3 days, Total: 3–5 days; Medium (50–500 employees): Stage 1: 2–3 days, Stage 2: 3–7 days, Total: 5–10 days; Large (500+ employees): Stage 1: 3–4 days, Stage 2: 7–12 days, Total: 10–15+ days." } }, { "@type": "Question", "name": "What are the costs of ISO 27001 certification?", "acceptedAnswer": { "@type": "Answer", "text": "The direct cost of the ISO 27001 certification audit is primarily the auditor's work, estimated at roughly 1000 € per day in the EU. This means the direct bill for auditing organizations will range from 10,000 € to 50,000 € over a 3-year period, depending on the organization's size. Internal costs, such as ISMS work, personnel time, software solutions, technology investments, and training, vary significantly based on your starting information security maturity." } }, { "@type": "Question", "name": "How often are ISO 27001 audits conducted?", "acceptedAnswer": { "@type": "Answer", "text": "A full certification (or re-certification) audit is carried out once every 3 years. Shorter surveillance audits are conducted yearly during the remaining years to ensure continuous improvement and proper ISMS maintenance." } }, { "@type": "Question", "name": "What happens, if you \"fail\" the ISO 27001 certification audit?", "acceptedAnswer": { "@type": "Answer", "text": "If an organization doesn't meet all the requirements during an ISO 27001 certification audit, non-conformities will be identified. The organization then has the opportunity to address these non-conformities with corrective actions. This involves creating and implementing corrective action plans. For major non-conformities, the corrections need auditor verification, while for minor ones, verifying the plan is sufficient. Once the follow-up on corrective actions demonstrates compliance, certification can be granted. It's important to view this process not as a failure, but as an opportunity to identify areas for improvement in information security." } } ] }

Check your ISO 27001 readiness

Take our free assessment and get a quick view of how your organization aligns with ISO 27001 – and where to focus next.

Take the assessment

Artikelns innehåll

Andra relaterade bloggartiklar