Många små och medelstora företag stöter på samma situation: en kund frågar om ISO 27001-certifiering, en anbudstävling kräver informationssäkerhet eller ledningen vill få bättre kontroll på säkerhetsriskerna. Då uppstår snabbt en praktisk fråga: löna det sig att göra jobbet själv eller ta in en extern expert, och om det löna sig, hur väljer man rätt partner?
En bra ISO 27001 -konsult levererar inte bara färdiga dokumentmallar utan hjälper till att bygga ett fungerande informationssäkerhetssystem för företaget. I denna artikel går vi igenom vad ni bör kräva av konsulten, hur olika alternativ kan jämföras och vilka praktiska steg ni kan ta för att hitta en lösning som passar ert företag utan onödigt extraarbete eller konsultberoende.
Vad bör man egentligen förvänta sig av en ISO 27001 -konsult?
När man talar om ISO 27001 handlar det inte bara om dokument som skrivits för en revision. Standarden styr hur man systematiskt identifierar risker, fastställer ansvar, hanterar åtkomsträttigheter, behandlar avvikelser och ständigt förbättrar verksamheten.
Därför hjälper en bra konsult åtminstone med dessa saker:
- att definiera tillämpningsområdet, alltså vilka delar av verksamheten, tjänster och system som informationssäkerhetssystemet ska omfatta
- att göra en riskbedömning där man normalt identifierar 3–10 nyckelrisker i inledningsskedet
- att välja ändamålsenliga kontroller och inte bara kopiera hela standardens bilaga
- att bygga praxis som företaget faktiskt kan upprätthålla till exempel kvartalsvis eller månatligen
- att förbereda organisationen för internrevision och certifieringsrevision
Fråga er själva: behöver ni bara ta projektet i mål eller en partner som hjälper till att göra informationssäkerhet till en del av vardagen? För små och medelstora företag är det senare oftast ett mer värdefullt val.
Observera
ISO 27001 innebär inte att allt måste byggas från grunden själv. En bra konsult använder färdiga mallar men anpassar dem till er verksamhet så att de håller både för revision och i vardagen.
När är det smart att anlita en konsult?
Alla företag behöver inte ett omfattande konsultprojekt. Om organisationen har en erfaren informationssäkerhets- eller kvalitetsansvarig kan ISO 27001 drivas långt internt. Trots det påskyndar en extern expert ofta jobbet betydligt.
Det är normalt motiverat att anlita en konsult om något av följande gäller:
- ert mål är certifiering inom 6–12 månader
- ert team har inte tidigare genomfört ett ISO 27001-projekt
- kunder kräver snabbt bevis på informationssäkerhet
- ni vill undvika att dokumentationen görs men praxis inte följs i vardagen
- interna resurser finns tillgängliga endast 2–4 timmar per vecka
Praktiskt exempel: inom ett 40-personers mjukvaruföretag kan CTO endast avsätta en eftermiddag i veckan för projektet. Då kan en erfaren konsult spara enkelt tiotals arbetstimmar per månad när framsteg inte fastnar i tolkningsfrågor eller dokumentstruktur.
Jämför konsulter med dessa kriterier
Alla ISO 27001-konsulter erbjuder inte samma sak, även om säljpitchen låter likadan. En fokuserar på att driva certifieringsprojektet, en annan erbjuder en modell för löpande underhåll och en tredje säljer mest expertdagar.
Det är värt att jämföra minst dessa kriterier:
| Kriterium | Vad fråga om | Goda tecken | Riskindikator |
|---|---|---|---|
| Erfarenhet | Hur många ISO 27001-projekt har ni genomfört? | Klara siffror, branschspecifika exempel | Svar på generell nivå |
| Arbetssätt | Vad gör ni rent praktiskt under de första 30 dagarna? | Konkreta steg och ansvarsfördelning | Vagt "vi börjar med kartläggning" |
| Dokumentation | Får vi redigerbara dokument för eget bruk? | Ja, ägandeskap stannar hos kunden | Material stannar i konsultens system |
| Resursbehov | Hur mycket tid behöver ni av oss per vecka? | Realistisk uppskattning, t.ex. 2–3 h/vecka | Kan inte ge uppskattning |
| Revisionsberedskap | Stöttar ni intern revision och certifiering? | Ja, inklusive övningar och checklistor | Stöd upphör vid leverans av dokument |
| Löpande underhåll | Hur sköts underhållet efter projektet? | Klar årsrytm och uppföljningsmodell | Ingen modell för löpande arbete |
| Prissättning | Vad ingår i fast pris och vad inte? | Tydliga avgränsningar och tillägg | Timpris utan totalbedömning |
Begär alltid offerter i samma format. Om en leverantör ger fast pris och en annan bara timpris utan omfattning går det inte att jämföra rättvist.
Billigt eller bra? Så värderar ni priset rätt
Priset på ISO 27001-konsultation varierar mycket. För små och medelstora företag rör det sig ofta om några tusen euro upp till 15 000–30 000 euro beroende på omfattning, utgångspunkt och om mjukvara, utbildning eller revisionsstöd ingår.
Det lägsta priset säger dock inte totalkostnaden. Ett billigt projekt kan bli dyrt om:
- interna team måste lägga extra 50–100 timmar för att åtgärda brister
- dokument inte speglar den faktiska verksamheten
- certifieringsrevisionen ger många avvikelser
- underhållet efter projektet helt lämnas till er
Granska priset ur dessa tre frågor:
- vad får vi färdigt när projektet avslutas?
- hur mycket egen arbetstid kräver projektet?
- får vi en fungerande modell för kommande 12 månader?
Varning
Ett vanligt misstag är att välja konsult som lovar färdig certifiering snabbare än rimligt utan ordentlig riskbedömning och utformning av praxis. Det syns ofta i revision som brister i bevis, ansvar och uppföljning.
Programvara eller traditionell konsultation?
Många företag jämför idag två modeller: traditionell konsult eller en kombination med programvara och experthjälp. Det är en viktig skillnad eftersom ISO 27001 inte slutar vid certifiering, utan systemet måste också underhållas.
I den traditionella modellen får ni ofta expertens tid och dokumenten. I programvarubaserad modell får ni dessutom en struktur där risker, kontroller, avvikelser, revisioner och årsrytm bevaras.
| Modell | Passar bäst för | Fördel | Utmaning |
|---|---|---|---|
| Traditionell konsultation | Företag med stark intern ägare | Flexibelt expertstöd | Underhållet kan bli splittrat |
| Programvara + experthjälp | Små och medelstora företag som vill ha löpande modell | Allt samlat på en plats | Kräver engagemang för gemensamt arbetssätt |
| Helt intern implementering | Organisation med befintlig ISO-kompetens | Lägre extern kostnad | Långsammare framsteg och större tolkningsrisk |
Tietoturvapankki är byggt just här emellan: ni får en app och expertstöd så arbetet inte blir lösa filer eller beroende av en enskild konsults minne. Samma tänk syns även i Softapankki Oy:s och QMClouds Oy:s lösningar samt i Kvalitetsbanken-märket för kvalitetsledning där exempelvis ISO 9001-system implementeras kontrollerat.
Fråga dessa 10 frågor före beslut
Ett bra offertmöte är ingen säljpresentation utan en fördjupande diskussion. Ju bättre ni frågar, desto lättare är det att skilja en erfaren partner från en generell leverantör.
Gå igenom minst dessa frågor:
- Vad händer konkret under projektets första 2 veckor?
- Vem gör jobbet praktiskt, senior konsult eller junior team?
- Hur många liknande småföretagsprojekt har ni gjort de senaste 24 månaderna?
- Hur genomförs riskbedömningen i praktiken?
- Vilka dokument och bevis måste vi själva producera?
- Hur mycket tid krävs av vår ledning per månad?
- Hur hanteras åtkomsträttigheter, leverantörsrisker och avvikelsehantering?
- Ingår intern revision eller förberedelse för den i priset?
- Hur stöder ni oss att åtgärda revisionens anmärkningar?
- Vad händer med projektet under följande 12 månader?
Om svaren är oklara är det redan en signal. En bra konsult kan beskriva arbetet steg för steg.
Sätt ert mål före leverantörsjämförelsen
Börja med att skriva ner varför ni söker stöd för ISO 27001: är målet certifiering, kundkrav, förbättrad riskhantering eller allt detta? Begränsa samtidigt en preliminär tillämpningsområde och målplan, till exempel certifieringsfärdigt inom 9 månader. Då får ni jämförbara offerter och köper inte för omfattande eller för lätt tjänst.
Be om offert från 3–4 leverantörer med samma frågeunderlag
Skicka samma bakgrundsbild till alla: antal anställda, bransch, nuvarande praxis, mål och önskad tidsplan. Be om projektplan, uppskattad arbetsmängd, ansvarsfördelning, totalpris och vad som inte ingår. När strukturen är densamma syns skillnader direkt.
Bedöm i demo arbetssätt, inte bara expertis
Boka ett 45–60 minuters möte där leverantören visar hur projektet fortskrider praktiskt. Be om exempel på riskregister, åtgärdslista, ledningens genomgång och revisionsförberedelse. Om demon bara är prat utan konkret modell kan vardagsutförandet bli lika oklart.
Kontrollera ägandeskap och kontinuitet före avtal
Säkra att dokument, riskinformation och systemets innehåll stannar i er kontroll även när samarbetet upphör. Kom samtidigt överens om uppföljningsrytm: exempelvis risköversyn kvartalsvis, ledningens genomgång 1–2 gånger per år och borttagning av åtkomsträttigheter inom 24 timmar efter anställningens slut. Så blir projektet en bestående arbetsmetod.
Vanligaste misstagen vid konsultval
De flesta misslyckanden beror inte på att konsulten är helt okunnig. De beror på att förväntningar, ansvar och praktiskt arbete förblir otydliga.
Undvik särskilt dessa misstag:
- välja leverantör enbart baserat på pris
- anta att konsulten ordnar allt utan ledningens deltagande
- låta underhållet efter projektet vara oreglerat
- acceptera generiska dokument utan företagsanpassning
- glömma kolla vem som egentligen gör jobbet
Praktisk tumregel: om leverantören inte kan beskriva första 90 dagars plan, kan de sannolikt inte driva projektet ordentligt i mål.
Hur känner man snabbt igen en bra partner?
En bra ISO 27001 -konsult gör det komplexa begripligt. Hen gömmer sig inte bakom standarden utan kan berätta vad ni ska göra nästa vecka, nästa månad och före revisionen.
Du känner igen en bra partner ofta på detta:
- hen pratar om verksamhetens mål, inte bara standardkrav
- hen kan begränsa omfattningen och föreslår inte allt till alla
- hen berättar realistiskt vad ni själva måste göra
- hen visar en modell för löpande underhåll
- hen vågar också säga vad ni inte behöver göra ännu
Tips
Be leverantören illustrera projektets framdrift vecka för vecka 1–12 på en sida. Snabbt ser ni om det är en rätt genomförandemodell eller bara ett generellt konsultlöfte.
Sammanfattning
- Välj ISO 27001 -konsult baserat på hur bra de hjälper till att bygga ett fungerande styrsystem, inte bara revisionsdokument.
- Jämför leverantörer med samma frågeunderlag och be få se fasindelning, ansvar, arbetsmängd och totalpris.
- Kontrollera alltid hur riskbedömning, intern revision och underhåll efter projektet genomförs praktiskt.
- Billigaste alternativet är inte alltid billigast i längden om eget team lägger mycket extra tid eller revisionen ger avvikelser.
- Bästa partnern gör säkerhetsarbetet kontinuerligt och anpassat till ert företag, inte beroende av konsulten.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.