STANDARDEN ISO/IEC 27001:2022 - ISMS

Forbered din ISO 27001-sertifisering
uten å bruke 6 måneder

ISO/IEC 27001 er den internasjonale referansestandarden for et styringssystem for informasjonssikkerhet (ISMS). Den kreves i stadig større grad av oppdragsgivere, i anbudskonkurranser, av cyberforsikringsselskaper eller for tilgang til enkelte eksportmarkeder. SYAGA følger deg fra gap-analyse til forberedelse av sertifiseringsrevisjonen.

93
Tiltak i vedlegg A (2022-utgaven)
4
Sikkerhetstemaer
7
Styringsklausuler (4 til 10)
1
Levert samsvarserklæring (SoA)

Konteksten

ISO 27001 er ikke en generell lovpålagt plikt, men den blir et uunngåelig kommersielt forhåndskrav

📋

En frivillig sertifisering, men stadig mer etterspurt

ISO/IEC 27001 er fortsatt en frivillig prosess. Den kreves likevel i stadig større grad i anbudskonkurranser, av store oppdragsgivere, av enkelte cyberforsikringsselskaper, eller som forhåndskrav for tilgang til enkelte eksportmarkeder.

🔒

Få SMB-er har formalisert sitt ISMS

De fleste små og mellomstore bedrifter har ikke satt i gang noen strukturert prosess for et styringssystem for informasjonssikkerhet. Temaet oppfattes som komplisert, teknisk og tidkrevende.

💰

Lang og kostbar bistand

Klassiske sertifiseringsoppdrag binder opp teamene deres i flere måneder og representerer en betydelig investering, ofte utenfor rekkevidde for en SMB.

IT-teamene deres er allerede overbelastet

Å binde opp IT-sjefen eller sikkerhetsansvarlig i flere måneder for å bygge et ISMS er ikke gjennomførbart i en SMB der alle allerede har flere roller.

ISO27001-Express-metoden

En strukturert prosess i 3 faser, basert på samme metodikk som allerede er utprøvd av SYAGA på PSSI-Express

1
Fase 1 - Gap-analyse

Evaluering av de 93 tiltakene i vedlegg A

Oppstartsmøte med ledelsen og IT-ansvarlig, deretter systematisk evaluering av hvert av de 93 sikkerhetstiltakene i vedlegg A (2022-utgaven), fordelt på de 4 temaene organisatorisk, personellrelatert, fysisk og teknologisk. Presentasjon av en faktabasert avviksrapport.

2
Fase 2 - Dokumentasjon av ISMS-et

Sikkerhetspolicy, SoA og utbedringsplan

Utarbeidelse eller oppdatering av sikkerhetspolicyen (ISMS), samsvarserklæringen (SoA) som begrunner anvendelse eller unntak av hvert av de 93 tiltakene, og en prioritert utbedringsplan for å tette avvikene identifisert i fase 1.

3
Fase 3 - Bistand mot sertifisering

Forberedelse av revisjonen utført av sertifiseringsorganet

Oppfølging av gjennomføringen av utbedringsplanen, dokumentgjennomgang, og forberedelse av teamet deres til revisjonen utført av et uavhengig, akkreditert sertifiseringsorgan. SYAGA forbereder dere til revisjonen; selve sertifiseringen utstedes av dette tredjepartsorganet.

Det dere mottar

De strukturerende dokumentene i ISO 27001-sertifiseringsdokumentasjonen

📊

Gap-analyserapport

Faktabasert evaluering av samsvarsnivået deres mot standarden.

  • Evaluering av de 93 tiltakene i vedlegg A
  • Status per tiltak: i samsvar / delvis / ikke i samsvar
  • Sammendrag per tema (organisatorisk, personellrelatert, fysisk, teknologisk)
  • Faktabaserte funn, uten verdivurdering
🔐

Samsvarserklæring (SoA)

Det sentrale normative dokumentet i ISO 27001-sertifiseringsdokumentasjonen.

  • Status anvendt/unntatt for hvert av de 93 tiltakene
  • Begrunnelse for hvert unntak
  • Referanse til ISMS-dokumentene
  • Klar til å presenteres for sertifiseringsorganet
📝

Sikkerhetspolicy (ISMS)

Styringsdokumentet som kreves etter klausulene 4 til 10 i standarden.

  • Omfang og kontekst for ISMS-et
  • Sikkerhetsroller og -ansvar
  • Prosess for risikostyring
  • Kontinuerlig forbedringssyklus (PDCA)
🎯

Prioritert utbedringsplan

Veikartet for å tette de identifiserte avvikene.

  • Tiltak rangert etter prioritet
  • Organisatoriske og tekniske tiltak
  • Fremdriftsoppfølging
  • Gradvis forberedelse til revisjonen
📄

Driftsprosedyrer

Dokumenter som teamene deres kan ta i bruk direkte.

  • Håndtering av sikkerhetshendelser
  • Tilgangs- og identitetsstyring
  • Endringshåndtering
  • IT-reglement
💻

Redigerbare filer

Alle dokumenter i formater dere kan videreutvikle.

  • Frittstående HTML (åpnes i enhver nettleser)
  • Høykvalitets PDF (A4-utskrift)
  • Redigerbar DOCX (Microsoft Word)
  • Oppdateres ved hver årlige gjennomgang

Et gjenbrukbart dokumentasjonsgrunnlag

ISO 27001-ISMS-et overlapper naturlig med flere rammeverk

ISO

ISO/IEC 27001:2022

Sentralt rammeverk: klausulene 4 til 10 (styringskrav) og vedlegg A (93 sikkerhetstiltak fordelt på 4 temaer).

N2

Bro til NIS2

Tiltakene for cyberrisikostyring som kreves av NIS2-direktivet overlapper i stor grad med tiltakene i vedlegg A i ISO 27001. Et ISO 27001-ISMS gjør det lettere å oppnå NIS2-samsvar for berørte enheter.

AN

ANSSI-veiledning - IT-hygiene (fransk myndighet)

Tiltakene i IT-hygieneveiledningen fra ANSSI (fransk myndighet) overlapper i betydelig grad med tiltakene i vedlegg A i ISO 27001. Sammenheng dokumentert i utbedringsplanen.

RG

GDPR (art. 32)

De egnede tekniske og organisatoriske tiltakene som kreves etter artikkel 32 i GDPR, bygger på de samme beste praksisene som vedlegg A i ISO 27001 (tilgangskontroll, kryptering, hendelseshåndtering).

Tilbud tilpasset konteksten deres

Hvert ISO 27001-oppdrag dimensjoneres etter omfanget og dagens modenhet deres. Skreddersydd tilbud som standard.

Gap-analyse

Et øyeblikksbilde av avvikene deres

På forespørsel
avhengig av omfang og antall ansatte
  • Evaluering av de 93 tiltakene i vedlegg A
  • Faktabasert funnrapport
  • Sammendrag per sikkerhetstema
  • Presentasjon for ledelsen
  • Formater HTML + PDF + DOCX
Be om et tilbud

Årlig vedlikehold

Etter sertifisering eller løpende

På forespørsel
avhengig av omfang og antall ansatte
  • Årlig gjennomgang av ISMS-et
  • Oppdatering av SoA
  • Oppdatering av utbedringsplanen
  • Forberedelse til tilsynsrevisjoner
Be om et tilbud

Ofte stilte spørsmål

Hva er standarden ISO/IEC 27001?
ISO/IEC 27001 er den internasjonale referansestandarden for å etablere et styringssystem for informasjonssikkerhet (ISMS). I 2022-utgaven er den strukturert i klausulene 4 til 10 (styringskrav: kontekst, lederskap, planlegging, støtte, drift, evaluering, forbedring) og et vedlegg A med 93 sikkerhetstiltak fordelt på 4 temaer: organisatorisk, personellrelatert, fysisk og teknologisk.
Er ISO 27001 obligatorisk for virksomheten min?
Nei, ISO 27001 er en frivillig sertifisering, i motsetning til regulatoriske tekster som NIS2. Den kreves imidlertid i stadig større grad de facto: anbudskonkurranser, krav fra store oppdragsgivere, vilkår for cyberforsikring, eller tilgang til enkelte eksportmarkeder. Det er et strategisk valg mer enn en generell lovpålagt plikt.
Utsteder SYAGA sertifiseringen?
Nei. ISO 27001-sertifiseringen utstedes utelukkende av et uavhengig, akkreditert sertifiseringsorgan, etter en ekstern revisjon. SYAGA bistår dere i forberedelsen (gap-analyse, dokumentasjon av ISMS-et, utbedringsplan, forberedelse av teamene deres), men utsteder ikke selv sertifikatet.
Hva er samsvarserklæringen (SoA)?
SoA er et obligatorisk normativt dokument i sertifiseringsdokumentasjonen. Den lister opp hvert av de 93 tiltakene i vedlegg A og angir om det er anvendt eller unntatt, med tilhørende begrunnelse. Det er ett av de mest gransket dokumentene under sertifiseringsrevisjonen.
Hvor mye tid må jeg sette av fra teamene mine?
Det meste av arbeidet (evaluering, dokumentutarbeidelse, utbedringsplan) utføres av våre revisorer. Teamene deres involveres hovedsakelig under det innledende oppstartsmøtet og presentasjonspunktene. Den totale varigheten av en sertifiseringsprosess avhenger sterkt av omfanget og utgangsmodenheten deres; den anslås fra sak til sak i tilbudet.
Hva gjør SYAGA kvalifisert til å bistå meg?
SYAGA Consulting har gjennomført IT-sikkerhetsrevisjoner siden 2009. Revisorene våre arbeider for kunder av ulik størrelse i flere sektorer. Metodikken for gap-analyse og dokumentgenerering brukt til ISO27001-Express bygger på samme motor som allerede brukes i våre andre samsvarsoppdrag (PSSI-Express).
SYAGA bistår dere i forberedelsen av ISMS-et og sertifiseringsdokumentasjonen deres. Selve ISO/IEC 27001-sertifiseringen utstedes av et uavhengig, akkreditert sertifiseringsorgan, ikke tilknyttet SYAGA. Dette innholdet er et støtteverktøy og utgjør ikke juridisk rådgivning.

Klar til å strukturere ISO 27001-prosessen deres?

Kontakt oss for et skreddersydd tilbud basert på omfanget og dagens modenhet deres.

Regelverksovervåking - offisielle kilder

Det ISO/IEC 27001 faktisk sier, forklart enkelt. Hvert punkt viser til sin offisielle kilde (ISO, AFNOR, COFRAC, ANSSI - franske organisasjoner/myndigheter), oppdatert 17.07.2026.

Hva er det egentlig?

ISO/IEC 27001 er en anerkjent metode for å identifisere truslene mot dataene deres, håndtere risikoene og innføre de riktige beskyttelsestiltakene, slik at opplysningene deres forblir konfidensielle, tilgjengelige og pålitelige. Det er ikke en programvare, det er en organisasjonsform som skal etableres i virksomheten.

Kilde: AFNOR Certification (fransk organisasjon)

Det er et valg, ikke en lov

I motsetning til andre prosesser (som sikkerhetsgodkjenningen pålagt enkelte statlige systemer i Frankrike), er ISO 27001 valgfri: det er en sertifiserende standard, ikke en generell lovpålagt plikt. Dere velger den for å berolige kunder, partnere og forsikringsselskaper.

Kilde: ANSSI (fransk myndighet, metodeark)

Hvem utsteder sertifikatet?

Aldri virksomheten selv, og heller ikke en konsulent: kun et uavhengig, akkreditert sertifiseringsorgan kan utstede det (COFRAC er den eneste franske akkrediteringsinstansen, opprettet i 1994). Sertifikatet man mottar er gyldig i 3 år.

Kilde: COFRAC (fransk myndighet)

Prosessen, i 6 trinn

Innledende evaluering (valgfritt), forberedelse, dokumentgjennomgang, revisjon på stedet for å kontrollere hva som faktisk er på plass, utstedelse av sertifikatet (3 år), deretter et årlig tilsynsbesøk og en fullstendig fornyelsesrevisjon etter 3 år. Ingenting er fastlåst for alltid.

Kilde: AFNOR Certification (fransk organisasjon)

Lønner det seg egentlig?

Ifølge en AFNOR-undersøkelse blant sertifiserte virksomheter: 89 % opplevde færre sikkerhetshendelser, 83 % har mer solide interne sikkerhetsprosesser, og 88 % beholdt kunder som kunne ha forsvunnet uten sertifiseringen.

Kilde: AFNOR-undersøkelse 2019 (fransk organisasjon)

Anerkjent overalt, ikke bare i Frankrike

Det er den mest brukte informasjonssikkerhetsstandarden i verden ifølge ISO selv. Og akkrediteringen som kontrollerer sertifiseringsorganene (som COFRAC i Frankrike) er internasjonalt anerkjent gjennom avtaler mellom land, noe som gjør det lettere å få tilgang til markeder i Europa og andre steder.

Kilde: ISO (komité JTC1/SC27)