5 steg för att bli ISO 27001-certifierad

5 steg för att bli ISO 27001-certifierad

Lucas Rosvall
Publicerad av Lucas Rosvall
den

ISO 27001 är en internationell standard för informationssäkerhet som många organisationer strävar efter att implementera och certifiera sig mot.

Allt fler organisationer väljer att certifiera sig, ofta driven av krav från kunder, partners eller regelverk. I denna artikel kommer vi att ge en inblick i hur processen för ISO 27001-certifiering brukar kunna se ut.

1. Förberedelser för certifiering

Processen börjar med att företaget fattar beslutet att gå mot en ISO 27001-certifiering. Detta beslut är ofta strategiskt och involverar ledningen.

Organisationen står då inför ett val: att implementera ramverket helt på egen hand eller att anlita ett konsultbolag för stöd.

Många organisationer väljer att ta hjälp av konsulter, och det finns flera goda skäl till detta:

  • Ledningssystem är komplexa att implementera utan experthjälp.
  • Riskanalyser och riskbedömningar kräver en bred syn på potentiella hot som interna team kan missa.
  • Få organisationer har interna ISO 27001-experter som kan granska och följa upp arbetet.
  • Det är ett omfattande projekt som tar tid och resurser. Extern expertis kan hjälpa till att göra det rätt från början.

Det är dock viktigt att notera att även om konsulter kan ge värdefull vägledning, är det fortfarande organisationen själv som måste äga och driva implementeringsprocessen framåt.

2. GAP-analys och implementering

När beslutet är fattat och eventuella konsulter är anlitade, börjar arbetet med en GAP-analys. Syftet med denna analys är att identifiera skillnaden mellan organisationens nuvarande tillstånd och kraven för att uppnå ISO 27001-standarden.

Tidsramen för implementering av ISO 27001 varierar betydligt mellan olika organisationer. Baserat på branscherfarenheter kan processen sträcka sig från så lite som 3 månader till så länge som ett år eller mer.

Tiden som det tar beror mycket på företagets utgångsläge, storlek, ledningens engagemang och tillgängliga resurser. Som exempel kan ett medelstort företag som redan har grundläggande säkerhetsrutiner på plats och vars ledning är fullt engagerad i processen, typiskt förvänta sig en implementeringstid på omkring 6-8 månader.

Vad gör man då under implementeringen? Under implementeringen arbetar organisationen främst med att utveckla och implementera ett ledningssystem för informationssäkerhet (LIS) som uppfyller standardens krav.

En stor anledning till varför detta också tar så lång tid är att implementeringen normalt sätt innebär betydande förändringar i organisationens processer, policys och rutiner. Det kan exempelvis vara utmanande att få alla medarbetare att förstå och följa de nya riktlinjerna, vilket kräver omfattande utbildning och kommunikation.

3. Val av certifieringsorgan

När organisationen anser sig redo för certifiering, är nästa steg att välja ett certifieringsorgan.

Detta är en viktig process där flera faktorer bör beaktas:

  • Kostnader: Olika certifieringsorgan kan ha varierande priser, men tiden för revisionen bör vara ungefär densamma då den baseras på standardiserade beräkningar.
  • Rykte: Certifieringsorganets expertis och anseende i branschen kan vara avgörande.
  • Tillgänglighet: Möjlighet att anpassa revisionsprocessen efter organisationens behov och tidsplan.

Om du planerar en certifiering är det fördelaktigt att kontakta flera certifieringsorgan för att jämföra offerter och upplägg.

Tänk även på att det billigaste alternativet inte alltid är det bästa, utan kvaliteten på revisionen och det stöd som erbjuds bör också vägas in.

4. Certifieringsrevision

Revisionen genomförs vanligtvis i två distinkta steg, var och en med specifika fokusområden och mål:

  1. Dokumentrevision: Här granskar revisorerna organisationens dokumentation, policyer och rutiner för att säkerställa att de uppfyller standardens krav. Detta steg kan ofta genomföras på distans.
  2. Processrevision: I detta steg besöker revisorerna organisationen för att granska hur ledningssystemet fungerar i praktiken. De observerar också processerna direkt och verifierar att de dokumenterade rutinerna faktiskt följs.

Efter revisionen presenterar certifieringsorganet sina fynd. Det är vanligt att det finns några förbättringsförslag och eventuellt även avvikelser som måste åtgärdas. Organisationen får då en period på sig att korrigera dessa innan certifikatet kan utfärdas.

5. Underhåll av certifieringen

Man kan tro att arbetet med ISO 27001-certifieringen är klart så snart certifikatet är erhållet, men verkligheten är att detta bara är början på en kontinuerlig process.

För att upprätthålla certifieringens giltighet krävs nämligen ständiga insatser och systematiska kontroller efter att man fått sin ISO 27001-certifiering:

  • Uppföljande revisioner: Under de första två åren efter certifieringen genomförs årliga uppföljande revisioner. Dessa är mindre omfattande än den initiala certifieringsrevisionen, och de syftar på att säkerställa att ledningssystemet för informationssäkerhet fortsätter att fungera effektivt och i enlighet med ISO 27001-standarden.
  • Förnyelserevision: Vid det fjärde året efter certifieringen genomförs en förnyelse. Denna revision är mer omfattande än de årliga uppföljningarna och syftar till att genom en noggrann granskning bekräfta att organisationens system fortfarande uppfyller alla krav som ISO-standarden ställer.

Denna cykel av revisioner upprepas sedan vart tredje år, vilket garanterar att organisationen kontinuerligt uppfyller standardens krav och engagerar sig i ständiga förbättringar av sitt arbete med informationssäkerhet.

Aspekter att överväga vid en ISO-certifiering

Även om ISO 27001 är en väletablerad och respekterad standard inom informationssäkerhet, är det viktigt att tänka på att dess implementering och upprätthållande kommer med vissa utmaningar.

En av de största utmaningarna är skillnaden mellan teori och praktik. Många organisationer kämpar för att helt och hållet implementera de processer och rutiner som deras ledningssystem kräver.

Dessutom går det att göra varierande tolkningar av standarden. Detta beror på att ISO 27001 fungerar mer som ett ramverk, vilket kan leda till olika tolkningar om hur dess krav bör implementeras. Detta brukar ofta medföra en del frustration, exempelvis när olika konsulter har olika åsikter om vad som krävs för att uppfylla certifieringen.

En tredje utmaning med ISO 27001 är att implementeringen kräver betydande resurser, vilket kan vara särskilt svårt för mindre organisationer. Denna resurskrävande natur av certifieringsprocessen leder ofta till att mindre organisationer väljer att inte genomgå den fullständiga certifieringen.

Istället kan de hävda att de "följer ISO 27001" utan att faktiskt inneha ett certifikat. Detta innebär att de anammar vissa av standardens principer och riktlinjer i sin verksamhet, men de har inte genomgått en revisionen som verifierar att de helt uppfyller standardens krav.