Skip content
Infosec ISO 27001

ISO/IEC 27001 (ISMS) Certifiering av informationssäkerhetssystem

Bli certifierad och utbildad av experterna på LRQA

+46 31 26 21 80

Kontakta oss

LRQA är en ledande leverantör av assurance inom ISO 27001

För alla organisationer - oavsett storlek eller sektor - utgör ISO/IEC 27001 en stark grund för en omfattande strategi för informations- och cybersäkerhet. Standarden beskriver ett ramverk för ISMS med bästa praxis för att minska riskerna och skydda affärskritiska data genom identifiering, analys och kontroller. Ackrediterad ISO 27001-certifiering visar att du har processer och kontroller på plats för att försvara din organisations information - och dina kunders - mot ett alltmer komplext hotlandskap.

Kolla in vanliga frågor om standarden och våra erbjudanden.

ISO/IEC 27001:2022 har nu publicerats

Den 25 oktober 2022 publicerades den nya versionen av ISO 27001, vilket innebär en ny era för bästa praxis inom informationssäkerhet.

ISO/IEC 27001:2022 har nu publicerats
Person using a tablet

Våra ISO/IEC 27001-tjänster

Våra certifierings- och utbildningstjänster kan tillhandahållas på plats, på distans eller genom en blandstrategi – vilket ger dig flexibilitet och en servicemodell som passar dina behov.

ikonen för datorskärmen

Utbildning

Bygg upp din kunskap om ISO 27001 med en rad kurser som är utformade för olika nivåer och som levereras på olika sätt.

 

image94kd3.png
GAP-analys

En valfri tjänst där en av våra expertrevisorer hjälper dig att identifiera kritiska, högrisk- eller svaga områden i ditt system före den formella ISO 27001-revisionen.

imageao21.png
Ackrediterad certifiering

En oberoende process i två steg som ger en tydlig bild av ditt företags kapacitet och som hjälper dig att vinna nya marknadsandelar samt bygga upp förtroende hos intressenterna.

integrated services icon.png
Integrerade revisioner

Om du har implementerat flera ledningssystem kan du ha stor nytta av ett integrerat revisions- och övervakningsprogram som är effektivare och mer kostnadseffektivt.

En 360⁰-strategi för informations- och cybersäkerhet

Vår djupgående tekniska kunskap och erfarenhet stöds av vår omfattande cybersäkerhetsportfölj som gör att vi kan samarbeta med ert företag för att hjälpa er att identifiera specifika hot ni ställs inför samt erbjuda lösningar för att mildra hoten. Vi kan certifiera era system, identifiera eventuella svagheter och hjälpa till att förebygga attacker och incidenter som kan påverka er varumärkesintegritet, ekonomi och verksamhet.

infosecurity and cyber services from LRQA - 360 view.png

 

Varför samarbeta med oss?

Lokal och global expertis

Vi finns överallt där du är. Med mer än 300 högkvalificerade revisorer och 250 specialister på IT-säkerhet världen över kan vi erbjuda en lokal tjänst med en global och konsekvent strävan efter att nå hösta möjliga kvalitet. Våra medarbetare är tekniska experter med fördjupade kunskaper om risker, utmaningar, standarder, regler och ramar för informations- och cybersäkerhet.

LRQA auditors having a conversation with a client

Flexibel leverans

I de flesta fall kan alla våra ISO/IEC 27001-certifierade utbildnings- och certifieringstjänster tillhandahållas på plats eller på distans med trygg och säker teknik. Om du väljer att få systemen på distans får du samma högkvalitativa service med flera extra fördelar, som flexibilitet, snabb leverans och tillgång till global expertis.

Group video call on a laptop

Berättelser om att vi var först

Vi var först med att få UKAS-ackreditering avseende certifieringstjänster för en rad standarder över hela världen. Vi fortsätter att spela en viktig roll i utvecklingen av en rad specifika standarder och ramar inom olika sektorer.

Group of people having a discussion in a meeting room

Total försäkran

Tillsammans med vår prisbelönta cybersäkerhetsdel kan vi hjälpa dig att ligga steget före avancerade cyberhot med avancerade tjänster som ger dig en första försvarslinje och en respons mot alla hot och sårbarheter.

Aerial shot of container ships

 

Vanliga frågor

Vad är ISO 27001?

ISO 27001 är den internationella standarden för ledningssystem som definierar kraven för ett system för hantering av informationssäkerhet (Information Security Management System, ISMS). Standarden ger ett ramverk för bästa praxis för att identifiera, analysera och genomföra kontroller för att hantera och minska riskerna och därmed minska sannolikheten för brott mot informationssäkerheten.
Alla organisationer – oavsett storlek och sektor – kan använda kraven och kontrollerna i ISO 27001 för att införa ett effektivt ISMS som kan certifieras av ett oberoende certifieringsorgan.

En ackrediterad ISO 27001-certifiering som tillhandahålls av ett välrenommerat och oberoende certifieringsorgan visar på ditt åtagande avseende informationssäkerhet och ger en opartisk syn på hur säkert och effektivt ditt ISMS är. Detta hjälper till att uppfylla avtalsförpliktelser och fungerar i många fall som ett tillstånd att bedriva handel.

Vilka är fördelarna med ISO 27001 och varför är det så viktigt?
Skydda företagets data och rykte

En ISO 27001-certifiering visar att ni har etablerat ett systematiskt, riskbaserat tillvägagångssätt för informationssäkerhet som driver bästa praxis kring: 

  • Identifiering av risker för informations- och cybersäkerhet
  • Analys av risker utifrån påverkan och sannolikhet.
  • Utvärdering av risker och prioritering av när de ska åtgärdas utifrån faktorer som rör din verksamhet.
  • Val av alternativ för riskbehandling
Visa att lagar, förordningar och avtalskrav följs.

För att få en ISO 27001-certifiering måste du identifiera vilka lagar som ditt företag måste följa, till exempel EU:s GDPR eller den amerikanska HIPAA-lagen. Detta har en positiv inverkan på riskhantering och företagsstyrning och hjälper dig att visa att du följer reglerna och uppfyller avtalskraven.

Konkurrensfördel

Certifiering från LRQA ger kunder och intressenter tillit till att säkerhetsrisker – som kan gälla IT, personal, fysisk miljö och kontinuitet – har hanterats på ett adekvat sätt för att skydda deras information.

ISO 27001-certifiering är ett tydligt bevis på din kapacitet och visar att du arbetar i linje med bästa internationellt erkända praxis – vilket hjälper dig att vinna nya marknadsandelar.

Hur fungerar ISO 27001-revisioner?

Revisioner av ISO 27001 följer samma tillvägagångssätt som andra ledningssystem som definieras av bilaga SL. Du kan börja med utbildning och analys av brister, men den formella processen omfattar en revision av utformningen av ISMS (steg 1) och en revision av hur den fungerar (steg 2). Resultaten av dessa revisioner granskas ur en teknisk synvinkel av en kvalificerad, oberoende person inom LRQA för att säkerställa enhetlighet och överensstämmelse med vårt åtagande att följa bästa praxis definierad av de personer som ska godkänna dem.

När det är godkänt utfärdas ditt ISO 27001-certifikat och du påbörjar en treårig cykel av övervakningsrevisioner som leder fram till en förnyad revision för att fastställa de kommande tre åren. Övervakning gör det möjligt för både LRQA och din organisation att hantera förändringar och se till att revisionerna är relevanta för branschens aktuella behov.

Hur länge varar ISO 27001-certifieringen?

När certifieringen väl är godkänd gäller den i tre år, under förutsättning att övervakningsprogrammet visar att man har ett effektivt systemunderhåll.

Vad ingår i ett typiskt ISMS-område och en redogörelse avseende tillämplighet?

Ett typiskt ISMS-certifikat omfattar aktiviteter i samband med leverans av produkter och tjänster. Det behöver inte omfatta intern verksamhet eller ISMS-processer. Syftet är att försäkra läsaren om att den information som uppges vid mottagandet av produkten eller tjänsten är skyddad.

I förklaringen om tillämplighet hänvisas till förteckningen över utvalda kontroller. Den innehåller inga detaljer om dessa kontroller, utan en spårbar hänvisning till en kontrollförklaring som användes som grund för den senaste ISO 27001-revisionen. Ibland har organisationer en offentlig version som kan delas och som bara innehåller en uppräkning av de kontroller som valts ut från bilaga A i ISO 27001, men detta är inte ett obligatoriskt krav.

Hur mycket kostar det att bli ISO 27001-certifierad?

Kostnaden är baserad på antalet revisionsdagar i förhållande till antalet anställda som omfattas av ISMS. Antalet revisionsdagar publiceras i ackrediteringsstandarden ISO 27006 och denna information är tillgänglig för alla. Genom att anlita ett ackrediterat certifieringsorgan som LRQA får du ett förslag på hur lång tid revisionen kommer att ta som baseras på bästa praxis inom branschen och som är jämförbart med alla andra ackrediterade certifieringsorgan.

En organisation med 100 heltidsekvivalenter (Full-Time Equivalents, FTE) kan till exempel förvänta sig att den inledande revisionen (steg 1 + steg 2) tar mellan 8 och 12 dagar beroende på vilken sektor de är verksamma inom, hur komplex deras arbetsmiljö är, om de arbetar med utveckling av mjukvara eller om de behöver bygga in säkerhet i produkten. Det efterföljande övervakningsprogrammet är på 3–4 dagar per år och förnyelsen 6–8 dagar.

Jag har redan ISO 9001. Kan jag integrera det med ISO 27001?

Ja – eftersom både ISO 9001 och ISO 27001 bygger på den generiska bästa praxis-modellen för ledningssystem – bilaga SL – kan de centrala ledningsprocesserna optimeras för att uppfylla kraven i båda standarderna. Om man utformar ett system för att ta itu med båda dessa frågor blir organisationens styrning faktiskt effektivare. Till exempel kräver affärsmål som tillväxt ofta utveckling av nya produkter där säkerhet vanligtvis betraktas som en kvalitetsstandard i linje med marknadens förväntningar. Integrering kan också minimera dubbelarbete, och detta kan leda till att revisionstiden minskar, vilket är ett kostnadseffektivt alternativ.

Hur ser en vanlig ISO 27001-certifieringsprocess ut?

Den väg som din organisation tar för att uppnå ISO 27001-certifiering beror ofta på företagets mognadsgrad i fråga om bland annat informationssäkerhet och bredare riskhantering. De flesta företag som precis har börjat med ISO 27001 brukar följa den process som beskrivs nedan. 

  1. Snabba på din ISO 27001-implementering: Vårt utbud av ISO 27001-utbildningar hjälper dig att bygga upp din kunskap om standarden och dess krav – och ger dig insikt och färdigheter för att optimera ditt ledningssystem.
  2. Bedöm din beredskap: Våra valfria förhandsbedömningstjänster kan utföras i form av en analys av brister eller en preliminär bedömning. En av våra expertrevisorer bedömer om ditt system är redo och anger vilka områden som kan kräva ytterligare uppmärksamhet innan du börjar med din formella ISO 27001-revision.

  3. Steg 1 – granskning av dokument samt planering: Din revisor kommer att granska ditt systems utformning och dokumentation för att avgöra om det uppfyller kraven i standarden och den föreslagna omfattningen för revisionen. Detta följs av en intervju med nyckelpersoner i teamet. I de flesta fall utförs revisionen av steg 1 på distans.
  4. Steg 2 Revision – utvärdering av genomförandet: Under steg 2 utvärderar din revisor genomförandet och effektiviteten av ditt ISMS i enlighet med kraven i ISO 27001. Om du inte får några större avvikelser rekommenderas godkännande och du får din certifiering. Steg 2-revisionen kan utföras på distans eller på plats.
  5. Promota din ISO 27001-certifiering: Din certifiering visar att du har föresatt dig att använda de bästa internationellt erkända metoderna och strävar efter att kontinuerligt förbättra dem – vilket hjälper dig att vinna nya marknadsandelar och uppfylla kundernas krav.
  6. Årlig övervakningsrevision – går allt som det ska? Din ISO 27001-certifiering löper i cykler om tre år. Vi utför övervakningsrevisioner varje år för att se till att ditt ledningssystem förblir effektivt, underhålls väl och ger ständiga förbättringar.
  7. Förnyelse av certifikat: Tre månader innan ditt certifikat löper ut gör vi en ny revision av din organisations verksamhet för att se till att den fortfarande uppfyller kraven i ISO 27001.
Vad är ISO 27002:2022 och vilken effekt har den?

ISO 27002:2022 innehåller en uppdaterad lista över kontroller som finns i ISO 27001 – som antogs 2013. De reviderade kontrollerna återspeglar utvecklingen när det gäller både hot och nuvarande bästa praxis, och det utvidgade tillämpningsområdet för ISO 27002 bidrar till att säkerställa att riskhanteringsåtgärderna är omfattande och effektiva. Organisationer kan använda den omfattande listan över kontroller för att hantera de risker de har identifierat eller upptäcka potentiella luckor – vilket hjälper dem att ligga steget före i den komplexa och föränderliga hotvärld som företag står inför idag.

Håller man på att utveckla en ny version av ISO 27001?

En ny version av ISO 27001 förväntas publiceras i slutet av oktober 2022. Den kommer att innehålla de nya kontroller som beskrivs i ISO 27002:2022 och som innebär att organisationer måste se över sin riskbedömning och avgöra om nya riskbehandlingar behöver implementeras.

Är ni redan certifierade enligt ISO 27001 och vill göra en omcertifiering?

FALLSTUDIER