I många småföretag kommer ISO 27001 certifiering upp på bordet först när en kund frågar efter det i en anbudstävling eller när säkerhetskraven skärps. Då är den första frågan ofta mycket praktisk: vad kostar detta, hur mycket arbete krävs och får vi verkligen valuta för investeringen?
I denna artikel går vi igenom vad kostnaderna för ISO 27001 certifiering består av, vilka fördelar ett småföretag realistiskt kan förvänta sig och hur ni bör bedöma ROI eller investeringsavkastningen. Ni får också en praktisk modell att räkna upp er organisations grova business case utan dyr konsultutredning.
Vad består egentligen kostnaderna för ISO 27001 certifiering av?
När man talar om pris tänker många bara på certifieringsorganets revisionsavgift. I verkligheten är den största kostnaden oftast det egna organisationens arbete: beslut, dokumentation, riskhantering, samordning av rutiner och uppföljning.
Kostnaderna bör delas in i minst fyra kategorier:
- Interna arbetstimmar: ledning, IT, HR, kvalitet, försäljning och eventuell säkerhetsansvarig
- Verktyg och plattformar: exempelvis en SaaS-lösning för att underhålla ledningssystemet
- Expertstöd: rådgivning, gap-analys, utbildning eller projektledning
- Certifieringskostnader: Stage 1 och Stage 2 auditer samt årliga uppföljningsrevisioner
I småföretag är en typisk tidsram till första certifiering cirka 3–9 månader. Om grunderna redan är på plats, som rättighetshantering, säkerhetskopior, leverantörsstyrning och riskbedömning, kan processen närma sig 3–4 månader. Om rutinerna däremot är splittrade är en realistisk uppskattning ofta 6–9 månader.
Nedan en grov exempelstabell över kostnadsstrukturen i ett småföretag:
| Kostnadspost | Typiskt innehåll | Exempelnivå småföretag | Notering |
|---|---|---|---|
| Interna arbetstimmar | Projektkoordination, riskbedömning, dokumentation, utbildning | 80–250 h | Ofta den största dolda kostnaden |
| SaaS-verktyg | Underhåll av ledningssystem, uppgifter, dokument, uppföljning | 1 000–8 000 €/år | Beror på omfattning och användarantal |
| Expertstöd | Rådgivning, revisionsförberedelse, mallar, workshops | 2 000–15 000 € | Kan förkorta projektet betydligt |
| Certifieringsrevisioner | Stage 1 + Stage 2 | 4 000–12 000 € | Beror på storlek, verksamhetsställen och omfattning |
| Underhåll | Uppföljningsrevisioner, interna revisioner, utveckling | 2 000–10 000 €/år | Löpande kostnad, inte engångskostnad |
Observera
ISO 27001 är inte bara en dokumentationsövning. Om processerna inte fungerar i vardagen kan certifieringen försenas trots att papperen ser klara ut.
Vilken nytta ger certifieringen i praktiken?
Fördelarna delas ofta in i två grupper: direkta ekonomiska vinster och indirekta fördelar som syns i försäljning, minskade risker och tydligare ledning. Båda är viktiga men bör betraktas på olika sätt.
Direkt mätbara fördelar kan vara till exempel:
- lättare att vinna anbudstävlingar
- kortare försäljningscykler när svar på säkerhetsfrågor går snabbare
- färre ad hoc-utredningar för kunder
- minskad sannolikhet för säkerhetsincidenter
- färre driftstopp eller felaktiga behörigheter
Indirekta fördelar sker ofta genom att organisationen börjar driva informationssäkerheten systematiskt. Ett ledningssystem betyder i praktiken att ansvar, risker, mål, mått och kontrollpunkter är överenskomna och följs upp. Detta minskar personberoende och gör verksamheten mer förutsägbar.
Ställ er till exempel dessa frågor:
- Hur många kundförfrågningar svarar försäljningen manuellt på per månad?
- Hur många timmar lägger IT på att utreda behörigheter, leverantörer eller avvikelser utan gemensam modell?
- Har ni 3–5 centrala risker identifierade och hanterade, eller reagerar ni först efter problem?
När betalar sig ISO 27001 certifieringen tillbaka?
ROI-bedömningar misslyckas ofta därför att man bara räknar med revisionskostnaden. Ett bättre sätt är att jämföra hela investeringen med de fördelar som uppstår under 12–36 månader.
En enkel ROI-formel är denna:
| Beräkningsformel | Förklaring |
|---|---|
| ROI = (fördelar – kostnader) / kostnader × 100 % | Grundformel för investeringsavkastning |
I praktiken kan ni bygga beräkningen från tre fördelstyper:
| Fördelstyp | Hur bedöms | Exempel |
|---|---|---|
| Merförsäljning | Hur många fler affärer vinns tack vare certifieringen | 1 ny kund/år, värde 25 000 € |
| Sparad arbetstid | Hur många timmar sparas varje månad | 10 h/mån × 70 €/h = 8 400 €/år |
| Undvikna riskkostnader | Hur mycket minskar sannolikheten eller effekten av incidenter | 1 undviket driftstörning, värde 5 000–20 000 € |
Exempelberäkning kan se ut så här:
| Post | Belopp |
|---|---|
| Totalkostnad första året | 18 000 € |
| Merförsäljning från en ny kund | 25 000 € |
| Sparad arbetstid | 8 400 € |
| Undvikna riskkostnader | 6 000 € |
| Total nytta | 39 400 € |
| Uppskattad ROI | 119 % |
Detta betyder inte att alla företag får samma resultat. Men om certifieringen hjälper er att vinna 1–2 viktiga affärer eller minskar återkommande manuellt arbete med 5–15 timmar per månad, kan investeringen betala sig oväntat snabbt.
Tips
Räkna ROI i två scenarier: försiktigt och realistiskt. Om investeringen ser bra ut redan i det försiktiga scenariot blir beslutsfattandet mycket enklare.
Vilka faktorer höjer eller sänker kostnaderna?
Alla ISO 27001-projekt kostar inte lika mycket eftersom utgångsläget kan variera mycket. Särskilt avgörande är hur många färdiga processer ni redan har, inte bara enskilda dokument.
De vanligaste faktorerna som påverkar kostnaderna är:
- företagets storlek och antal anställda
- antal verksamhetsställen
- mängden molntjänster, underleverantörer och integrationer
- reglerad bransch eller kundkravnivå
- nuvarande mognadsnivå i säkerhetsarbetet
- om systemet byggs manuellt eller med verktyg
Om ni till exempel redan har ISO 9001 på plats, är delar av ledningsstrukturen ofta färdig. Då är måluppföljning, interna revisioner, avvikelsehantering och ständig förbättring mer bekanta vilket kan korta projektet med flera veckor.
Å andra sidan ökar kostnaderna ofta när man försöker göra allt perfekt innan första revisionen. ISO 27001 kräver inte perfektion utan kontrollerad och välmotiverad verksamhet. Ett bättre mål är att avgränsa tillämpningsområdet, alltså den del av verksamheten certifieringen gäller, på ett rimligt sätt och bygga en fungerande grundmodell runt det.
Så bygger ni ett trovärdigt business case för ledningen
Om ni ska lägga fram saken för ledningsgrupp eller styrelse räcker det inte alltid med "kunden kräver det". Ni behöver ett kort och faktabaserat underlag där kostnad, tidplan, risker och förväntad nytta syns.
Ett bra business case innehåller minst dessa fem punkter:
- nuläge: hur informationssäkerheten leds och upplevs vara splittrad idag
- målbild: vad certifieringen möjliggör under närmaste 12 månader
- investering: pengar och arbetstid specificerat
- fördelar: merförsäljning, sparad arbetstid, minskade risker
- beslutsförslag: vad ledningen behöver fatta beslut om nu
Ni kan exempelvis presentera det så här:
| Business cases del | Vad som skrivs ner | Exempelnivå |
|---|---|---|
| Mål | ISO 27001 certifiering för avgränsat verksamhetsområde | SaaS-tjänst och tillhörande kundsupport |
| Tidplan | Projekt + revision | 4–6 månader |
| Internt arbete | Projektgrupp och nyckelpersoner | 120 h |
| Budget | Verktyg, stöd, revision | 15 000–22 000 € |
| Förväntad nytta | Vunna affärer + effektivitet | 20 000–50 000 € / år |
Här kan det också vara bra att beröra alternativkostnaden. Vad kostar det om certifieringen inte görs? Exempelvis förlorade anbud, längre försäljningscykler eller extra kundrevision kan bli dyrare än själva projektet.
Avgränsa certifieringens affärsnytta
Lista under de nästa 12 månaderna de kundrelationer, anbud och partnerskap där ISO 27001 certifiering påverkar beslutet. Om ni inte hittar minst 3 konkreta situationer blir business caset lätt för abstrakt.
Beräkna totalkostnad realistiskt
Utvärdera separat interna arbetstimmar, eventuellt expertstöd, använd verktyg och certifieringsrevisioner. Lägg även till underhållsfasen, till exempel årliga revisioner och 2–4 interna utvecklingsdagar per år.
Bedöm fördelar från tre källor
Räkna separat merförsäljning, sparad arbetstid och undvikna riskkostnader. Använd hellre försiktiga siffror, som 1 ny affär, 5 h sparat per månad och 1 undviket avvikelsefall per år.
Gör beslutsfattandet enkelt för ledningen
Sammanfatta förslaget på en sida: mål, kostnad, tidplan, ansvar och förväntad ROI. När beslutsunderlaget ryms på 1 A4-sida behandlas det oftare direkt och fastnar inte i överlämningsled.
Vanligaste misstagen vid ROI-beräkning
Många organisationer underskattar certifieringens nytta eller överskattar projektets börda. I andra änden lovas ofta för stora vinster utan evidens. Båda försvårar beslutsfattande.
Undvik särskilt dessa misstag:
- att bara räkna med revisionsavgiften, inte interna arbetstimmar
- anta att all försäljningsnytta kommer enbart från certifikatet
- glömma kostnader för underhållsfasen
- försöka certifiera för omfattande delar på en gång
- kopiera kontroller utan egen riskbaserad prioritering
Varning
En vanlig felaktighet är att bygga ISO 27001-systemet bara för revisionen. Om ansvar, mått och rutiner inte lever i vardagen blir underhållet snabbt tungt och ROI sjunker redan andra året.
I praktiken uppnås bäst resultat när certifieringen kopplas till affärsmål. Om målet är att bli leverantör till enterprise-kunder, snabba på svaren i säkerhetsfrågor och minska operativt störningsarbete är fördelarna lättare att mäta än allmän "bättre säkerhet".
Är det bäst att göra certifieringen själv eller med stöd?
Det beror främst på tid, kompetens och hur snabbt ni vill bli klara. Har ni en erfaren kvalitets- eller säkerhetsansvarig kan mycket arbete göras internt. Men många småföretag vinner på att ha en färdig struktur, expertstöd och en tydlig väg framåt.
Till exempel kombinerar Tietoturvapankki applikation och expertstöd så att ISO 27001 ledningssystemet inte bara blir en lös dokumentmapp. Samma arbetssätt finns även i lösningar från Softapankki Oy och QMClouds Oy: målet är inte att öka administrativa bördor utan göra ledning systematisk och effektivare. Har ni erfarenhet av Kvalitetsbanken-lösningar eller ISO 9001-ledning görs ofta implementeringen snabbare.
En bra tumregel är denna:
| Situation | Passande arbetssätt |
|---|---|
| Ni har stark intern kompetens och tid 100–200 h | Ni kan göra största delen själva |
| Ni behöver certifieringen snabbt, t.ex. på 3–4 månader | Använd verktyg och expertstöd |
| Kundkraven är komplexa eller branschen reglerad | Ta hjälp av erfaren rådgivare |
| Informationssäkerheten är splittrad i flera team | Starta med gemensamt ledningssystem |
Sammanfattning
- ISO 27001 certifieringskostnad består utöver revision av egen arbetstid, verktyg, expertstöd och underhåll.
- ROI bör räknas över minst 12–36 månader, inte bara första fakturan.
- Största vinsterna kommer ofta från merförsäljning, snabbare kundsvar och minskad operativ risk.
- I småföretag skapas trovärdigt business case när certifieringen kopplas till 3–5 konkreta affärsfördelar.
- Den enklaste vägen till ett bra resultat är att bygga ett fungerande ledningssystem för vardagen, inte bara för revisionsdagen.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.