STANDARD ISO/IEC 27001:2022 - ISMS

Forbered jeres ISO 27001-certificering
uden at bruge 6 måneder på det

ISO/IEC 27001 er den internationale referencestandard for et ledelsessystem for informationssikkerhed (ISMS). Den efterspørges i stigende grad af kunder, i udbud, af cyberforsikringsselskaber eller for adgang til visse eksportmarkeder. SYAGA ledsager jer fra gap-analysen til forberedelsen af certificeringsrevisionen.

93
Kontroller i Annex A (udg. 2022)
4
Sikkerhedstemaer
7
Ledelsesklausuler (4 til 10)
1
Statement of Applicability leveret

Konteksten

ISO 27001 er ikke en generel lovpligt, men den bliver en uundgåelig forretningsforudsætning

📋

En frivillig certificering, men i stigende grad krævet

ISO/IEC 27001 forbliver en frivillig proces. Den kræves ikke desto mindre i stigende grad i udbud, af store kunder, af visse cyberforsikringsselskaber, eller som forudsætning for adgang til visse eksportmarkeder.

🔒

Få SMV'er har formaliseret deres ISMS

Størstedelen af SMV'er og mellemstore virksomheder har ikke igangsat nogen struktureret proces for et ledelsessystem for informationssikkerhed. Emnet opfattes som komplekst, teknisk og langvarigt.

💰

Langvarige og dyre forløb

Klassiske certificeringsforløb binder jeres teams i flere måneder og udgør en betydelig investering, ofte uden for rækkevidde for en SMV.

Jeres IT-teams er allerede overbelastede

At binde IT-chefen eller sikkerhedsansvarlig i månedsvis for at opbygge et ISMS er ikke bæredygtigt i en SMV, hvor alle allerede bærer flere hatte.

ISO27001-Express-metoden

Et struktureret forløb i 3 faser, baseret på den samme metode som SYAGA allerede har afprøvet med PSSI-Express

1
Fase 1 - Gap-analyse

Vurdering af de 93 kontroller i Annex A

Afgrænsningsinterview med ledelsen og den IT-ansvarlige, efterfulgt af en systematisk vurdering af hver af de 93 sikkerhedskontroller i Annex A (udgave 2022), fordelt på de 4 temaer: organisatorisk, personalerelateret, fysisk og teknologisk. Aflevering af en faktuel gap-rapport.

2
Fase 2 - Dokumentation af ISMS

Sikkerhedspolitik, SoA og remedieringsplan

Udarbejdelse eller opdatering af sikkerhedspolitikken (ISMS), Statement of Applicability (SoA) der begrunder anvendelsen eller udelukkelsen af hver af de 93 kontroller, og en prioriteret remedieringsplan til at lukke de i fase 1 identificerede gaps.

3
Fase 3 - Ledsagelse mod certificering

Forberedelse af revisionen ved certificeringsorganet

Opfølgning på implementeringen af remedieringsplanen, dokumentgennemgang, og forberedelse af jeres team til revisionen udført af et uafhængigt akkrediteret certificeringsorgan. SYAGA forbereder jer til revisionen; selve certificeringen udstedes af dette tredjepartsorgan.

Det I modtager

De strukturerende dokumenter i ISO 27001-certificeringsdokumentationen

📊

Gap-analyserapport

Faktuel vurdering af jeres compliance-niveau i forhold til standarden.

  • Vurdering af de 93 kontroller i Annex A
  • Status pr. kontrol: opfyldt / delvis / ikke opfyldt
  • Sammenfatning pr. tema (organisatorisk, personale, fysisk, teknologisk)
  • Faktuelle konstateringer, uden værdidom
🔐

Statement of Applicability (SoA)

Det centrale normative dokument i ISO 27001-certificeringsdokumentationen.

  • Status anvendt/udelukket for hver af de 93 kontroller
  • Begrundelse for hver udelukkelse
  • Reference til ISMS-dokumenterne
  • Klar til at blive fremlagt for certificeringsorganet
📝

Sikkerhedspolitik (ISMS)

Det ledelsesdokument, der kræves af klausul 4 til 10 i standarden.

  • ISMS'ets omfang og kontekst
  • Sikkerhedsroller og -ansvar
  • Risikostyringsproces
  • Løbende forbedringscyklus (PDCA)
🎯

Prioriteret remedieringsplan

Køreplanen til at lukke de identificerede gaps.

  • Handlinger klassificeret efter prioritet
  • Organisatoriske og tekniske foranstaltninger
  • Fremdriftsopfølgning
  • Trinvis forberedelse til revisionen
📄

Operationelle procedurer

Dokumenter der kan anvendes direkte af jeres teams.

  • Sikkerhedshændelsesstyring
  • Adgangs- og identitetsstyring
  • Ændringsstyring
  • IT-charter
💻

Redigerbare filer

Alle dokumenter i formater, I selv kan videreudvikle.

  • Selvstændig HTML (kan åbnes i enhver browser)
  • Højkvalitets-PDF (A4-udskrift)
  • Redigerbar DOCX (Microsoft Word)
  • Opdatering ved hvert årligt eftersyn

Et genanvendeligt dokumentgrundlag

ISO 27001-ISMS'et overlapper naturligt flere standarder

ISO

ISO/IEC 27001:2022

Den centrale standard: klausul 4 til 10 (ledelseskrav) og Annex A (93 sikkerhedskontroller fordelt på 4 temaer).

N2

Bro til NIS2

De cyberrisikostyringsforanstaltninger, som NIS2-direktivet kræver, overlapper i høj grad med kontrollerne i ISO 27001 Annex A. Et ISO 27001-ISMS gør NIS2-compliance lettere for de omfattede enheder.

AN

ANSSI-vejledning - IT-hygiejne (fransk myndighed)

Foranstaltningerne i ANSSI's IT-hygiejnevejledning overlapper i vid udstrækning med kontrollerne i ISO 27001 Annex A. Sammenhæng dokumenteret i remedieringsplanen.

RG

GDPR (Art. 32)

De passende tekniske og organisatoriske foranstaltninger, som artikel 32 i GDPR kræver, bygger på de samme bedste praksisser som ISO 27001 Annex A (adgangskontrol, kryptering, hændelsesstyring).

Tilbud tilpasset jeres kontekst

Hvert ISO 27001-forløb dimensioneres efter jeres omfang og nuværende modenhed. Altid et skræddersyet tilbud.

Gap-analyse

Indledende øjebliksbillede af jeres gaps

Efter tilbud
afhængigt af omfang og antal ansatte
  • Vurdering af de 93 kontroller i Annex A
  • Faktuel konstateringsrapport
  • Sammenfatning pr. sikkerhedstema
  • Præsentation for ledelsen
  • Formater HTML + PDF + DOCX
Bed om et tilbud

Årlig vedligeholdelse

Efter certificering eller løbende

Efter tilbud
afhængigt af omfang og antal ansatte
  • Årlig gennemgang af ISMS
  • Opdatering af SoA
  • Ajourføring af remedieringsplanen
  • Forberedelse til tilsynsrevisioner
Bed om et tilbud

Ofte stillede spørgsmål

Hvad er standarden ISO/IEC 27001?
ISO/IEC 27001 er den internationale referencestandard for etablering af et ledelsessystem for informationssikkerhed (ISMS). I udgaven fra 2022 er den struktureret i klausul 4 til 10 (ledelseskrav: kontekst, ledelse, planlægning, support, drift, evaluering, forbedring) og en Annex A med 93 sikkerhedskontroller fordelt på 4 temaer: organisatorisk, personalerelateret, fysisk og teknologisk.
Er ISO 27001 obligatorisk for min virksomhed?
Nej, ISO 27001 er en frivillig certificering, i modsætning til regulatoriske tekster som NIS2. Den efterspørges dog i stigende grad de facto: udbud, krav fra store kunder, betingelser for cyberforsikring, eller adgang til visse eksportmarkeder. Det er et strategisk valg snarere end en generel lovpligt.
Udsteder SYAGA certificeringen?
Nej. ISO 27001-certificeringen udstedes udelukkende af et uafhængigt akkrediteret certificeringsorgan efter en ekstern revision. SYAGA ledsager jer i forberedelsen (gap-analyse, ISMS-dokumentation, remedieringsplan, forberedelse af jeres teams), men udsteder ikke selv certifikatet.
Hvad er en Statement of Applicability (SoA)?
SoA'en er et obligatorisk normativt dokument i certificeringsdokumentationen. Den opregner hver af de 93 kontroller i Annex A og angiver, om den er anvendt eller udelukket, med den tilsvarende begrundelse. Det er et af de dokumenter, der granskes nøjest ved certificeringsrevisionen.
Hvor meget tid skal jeg afsætte fra mine teams?
Hovedparten af arbejdet (vurdering, dokumentudarbejdelse, remedieringsplan) udføres af vores revisorer. Jeres teams inddrages primært under det indledende afgrænsningsinterview og præsentationerne. Den samlede varighed af et certificeringsforløb afhænger stærkt af jeres omfang og udgangsmodenhed; det vurderes fra sag til sag i tilbuddet.
Hvad giver SYAGA legitimitet til at ledsage mig?
SYAGA Consulting har udført IT-sikkerhedsrevisioner siden 2009. Vores revisorer arbejder med kunder af varierende størrelse i flere sektorer. Metoden til gap-analyse og dokumentgenerering, der anvendes til ISO27001-Express, bygger på den samme motor, der allerede anvendes i vores andre complianceforløb (PSSI-Express).
SYAGA ledsager jer i forberedelsen af jeres ISMS og certificeringsdokumentation. Selve ISO/IEC 27001-certificeringen udstedes af et uafhængigt akkrediteret certificeringsorgan, der ikke er tilknyttet SYAGA. Dette indhold er et understøttelsesværktøj og udgør ikke juridisk rådgivning.

Klar til at strukturere jeres ISO 27001-forløb?

Kontakt os for et skræddersyet tilbud afhængigt af jeres omfang og nuværende modenhed.

Regulatorisk overvågning - officielle kilder

Hvad ISO/IEC 27001 reelt siger, forklaret enkelt. Hvert punkt henviser til sin officielle kilde (ISO, AFNOR, COFRAC, ANSSI), opdateret 17.07.2026.

Hvad er det konkret?

ISO/IEC 27001 er en anerkendt metode til at identificere truslerne mod jeres data, håndtere risiciene og indføre de rette beskyttelsesforanstaltninger, så jeres oplysninger forbliver fortrolige, tilgængelige og pålidelige. Det er ikke et program, det er en organisation der skal etableres i virksomheden.

Kilde: AFNOR Certification

Det er et valg, ikke en lov

I modsætning til andre processer (som den sikkerhedsgodkendelse der pålægges visse af statens systemer) er ISO 27001 frivillig: det er en certificerende standard, ikke en generel regulatorisk pligt. I vælger den for at berolige kunder, partnere og forsikringsselskaber.

Kilde: ANSSI (fransk myndighed, metodeark)

Hvem udsteder certifikatet?

Aldrig virksomheden selv, ej heller en konsulent: kun et uafhængigt akkrediteret certificeringsorgan kan udstede det (COFRAC er den eneste franske akkrediteringsinstans, oprettet i 1994). Det opnåede certifikat er gyldigt i 3 år.

Kilde: COFRAC (fransk myndighed)

Forløbet i 6 trin

Forudgående vurdering (valgfri), forberedelse, dokumentgennemgang, revision på stedet for at kontrollere hvad der reelt er på plads, udstedelse af certifikatet (3 år), derefter et årligt kontrolbesøg og en fuldstændig fornyelsesrevision efter 3 år. Intet er fastlåst for evigt.

Kilde: AFNOR Certification

Betaler det sig reelt?

Ifølge en AFNOR-undersøgelse blandt certificerede virksomheder: 89% konstaterede færre sikkerhedshændelser, 83% har mere solide interne sikkerhedsprocesser, og 88% beholdt kunder der ellers kunne være rejst uden certificeringen.

Kilde: AFNOR-undersøgelse 2019

Anerkendt overalt, ikke kun i Frankrig

Det er den mest anvendte standard for informationssikkerhed i verden, ifølge ISO selv. Og den akkreditering der kontrollerer certificeringsorganerne (som COFRAC i Frankrig) er internationalt anerkendt gennem aftaler mellem lande, hvilket letter adgangen til markeder i Europa og andre steder.

Kilde: ISO (udvalg JTC1/SC27)