ISO 27001 (formellt ISO/IEC 27001) är den internationella standarden för att införa och driva ett ledningssystem för informationssäkerhet (ISMS). Den anger krav på hur organisationer arbetar riskbaserat med styrning, processer och kontroller – inte vilka enskilda produkter man ska köpa. I Sverige förvaltas standarden nationellt av SIS och den publiceras globalt av ISO tillsammans med IEC. ISO 27001 ger en strukturerad metod för att bygga förtroende, uppfylla krav och minska risk – oavsett bransch.
ISO 27001 ger ett gemensamt, beprövat arbetssätt för informations- och cybersäkerhet. Standarden knyter ihop verksamhetens mål med risker, kontroller och uppföljning – så att säkerhet ger affärsnytta, inte friktion. För svenska organisationer är värdet dubbelt: arbetssättet harmoniserar med andra ledningssystem (t.ex. ISO 9001 och ISO 14001), vilket gör det enklare att integrera säkerhet i befintlig styrning, och det stöder kraven från kunder, leverantörer och regelverk.
Kärnan: ISO 27001 är riskbaserad. Du identifierar vad som är viktigast att skydda, bedömer risker och väljer proportionerliga åtgärder. Resultatet är en spårbar kedja från risk → kontroll → mätbar effekt.
Standarden består av krav i huvudkapitlen (Clauses 4–10) som beskriver hur ledningssystemet ska fungera, och ett bilaga-A (Annex A) som ger en referensuppsättning av säkerhetskontroller. I korthet:
4. Kontext: förstå verksamheten, intressenter och ISMS-omfattning.
5. Ledarskap: ansvar, policy, roller.
6. Planering: riskbedömning och riskbehandling.
7. Stöd: kompetens, medvetenhet, kommunikation, dokumentation.
8. Drift: operativ styrning och riskprocesser.
9. Utvärdering: mätning, internrevision, ledningens genomgång.
10. Förbättring: avvikelser och ständig förbättring.
Ett centralt krav här är Statement of Applicability (SoA): en obligatorisk förteckning som visar vilka Annex A-kontroller ni valt, varför de valts eller valts bort, och deras status. SoA förankrar riskbehandlingen i konkreta kontroller och är ett nyckeldokument inför revision. (Krav i 6.1.3.)
Vi översätter cybersäkerhet till vardagliga arbetssätt: skydda identiteter, segmentera nät, säkra konfigurationer, uppdatera kontinuerligt, testa regelbundet och öva reaktion. Vi etablerar enkla styrande dokument och rutiner som går att följa: roller, beslutspunkter och uppföljning. När vi säger information och cybersäkerhet menar vi också att data klassas och hanteras rätt – från utveckling och test till drift och avveckling. Det ger en gemensam spelplan där chefer, utvecklare, drift och leverantörer vet vad som gäller. Med Castra får du en partner som prioriterar nytta före fluff: rätt åtgärd, på rätt plats, i rätt tid.
Hej där Castra!
ISO 27001 är en internationell standard för att etablera och driva ett ledningssystem för informationssäkerhet (ISMS). Den beskriver hur du arbetar riskbaserat med styrning, processer och kontroller för att skydda information, system och tjänster.
Nej. ISO 27001 är riskbaserad. Ni väljer kontroller utifrån er riskbild och dokumenterar valet i ett Statement of Applicability (SoA) – inklusive motiveringar och status.
Börja med kontext och scope (vad ingår), definiera riskmetodik och riskkriterier, gör en gap-analys mot kraven (Clauses 4–10) och skapa en prioriterad färdplan. Castra kan leda arbetet från nuläge till etablerade rutiner.
Certifiering är frivillig men värdefull när kunder eller regelverk kräver bevis på arbetssättet. Själva certifieringen utförs av ett oberoende certifieringsorgan. Castra hjälper er att bli redo och att få ISMS:et att fungera i vardagen.
ISO 27001 ger ett strukturerat, riskbaserat arbetssätt som stödjer efterlevnad. NIS2 och svensk lag ställer krav på styrning, riskhantering och rapportering – ett fungerande ISMS gör det enklare att möta kraven i praktiken.
SoA är en central lista som visar vilka Annex A-kontroller ni valt (eller valt bort), varför och med vilken status. Den ger spårbarhet från risk → kontroll → effekt och är nyckeln i dialogen med revisorer och ledning.
Sätt konkreta KPI/KRI – t.ex. patch-ledtid, antal kritiska sårbarheter, MTTR vid incident, andel genomförda åtgärder från riskregister. Följ upp i internrevision och på ledningens genomgång för att driva förbättring.
Vi ringar in scope, etablerar riskmetodik, gör gap-analys, tar fram SoA och omsätter kontroller i vardagliga arbetsrutiner (IAM/MFA, härdning/patch, loggning/övervakning, incident/BCP). Vi sätter mätetal, förbereder inför revision och stöttar utbildning och förbättringscykel.
Tiden beror på omfattning och mognad. Med ett avgränsat scope och tydlig prioritering kan ni nå ett fungerande grund-ISMS relativt snabbt och sedan iterativt bygga vidare. Castra hjälper er att välja minsta meningsfulla väg till effekt.
En tydlig säkerhetspolicy, definierad riskmetodik, SoA, relevanta styrande rutiner (t.ex. incident, förändring, åtkomst, kontinuitet), samt underlag för mätning, internrevision och ledningens genomgång. Castra tar fram lättviktiga mallar som går att använda i vardagen.
Vill du också mumsa i dig av
Castra-körsbäret på konsulttårtan?
Våra IT-konsulter spelar en avgörande roll i att hjälpa företag att navigera genom den snabbt föränderliga teknologilandskapet, genom att erbjuda expertis och lösningar som transformerar affärsprocesser och driver innovation.
© 2023 Castra AB @ GO MO Group