Hur man startar en ISO 27001 riskbedömning i ett litet företag
I många småföretag vet man att informationssäkerhetsrisker bör bedömas, men starten känns svår. Var ska man börja, hur omfattande blir arbetet och måste allt dokumenteras omedelbart? Om starten dröjer blir resultatet ofta att riskerna identifieras först efter kundkrav, revision eller avvikelse.
I denna artikel går vi igenom hur ISO 27001 riskbedömning praktiskt bör startas i småföretag. Ni får en tydlig arbetsmodell, konkreta första beslut, ett exempel på enkel poängsättning samt instruktioner för hur arbetet hålls hanterbart redan under de första 2–4 veckorna.
Edellytykset
- Utse en ansvarig person, t.ex. IT-chef, kvalitetschef eller ansvarig för informationssäkerhet
- Avgränsa bedömningen till en första tillämpningsområde: exempelvis hela företaget eller en tjänst, en affärsprocess eller en kundmiljö
- Boka minst 2 x 2 timmar workshops för start samt 1–2 timmar per vecka fortsatt arbete under första månaden
- Samla förberedande grunddata: systemlista, viktiga leverantörer, personalroller och tidigare avvikelser
Vad innebär ISO 27001 riskbedömning i praktiken?
Riskbedömning innebär i praktiken att ni identifierar företagets viktigaste hot mot information, system och arbetssätt, bedömer deras påverkan och beslutar vad som ska göras åt dem. ISO 27001 kräver ingen komplicerad teori, utan en upprepbar metod för att bedöma riskerna med samma logik gång på gång.
Den viktigaste insikten för småföretag är denna: allt behöver inte bedömas perfekt på en gång. Vid första rundan räcker det att identifiera 3–5 nyckelrisker per viktig affärsområde och utse ägare, åtgärder och tidsplan för dem.
Till exempel är följande områden ofta en bra första avgränsning:
- kunddata och personuppgifter
- Microsoft 365- eller Google Workspace-miljö
- slutenheter som bärbara datorer
- behörighetshantering
- underleverantörer och molntjänster
- backup och återställning
Observera
ISO 27001 föreskriver ingen enskild obligatorisk riskberäkningsmodell. Det viktigaste är att ni använder en modell som passar er verksamhet, är konsekvent och att ni kan motivera besluten vid revision.
Avgränsa först: vad tas med och vad inte?
Det vanligaste startfelet är att försöka bedöma alla risker i hela företaget på en gång. Resultatet blir ofta en för omfattande lista som ingen hinner underhålla. Därför är det första praktiska beslutet tillämpningsområde, alltså den del av verksamheten som bedömningen gäller.
Ett bra tillämpningsområde i småföretag är något ni realistiskt kan hantera på 1–3 workshops. Har företaget en huvudprodukt eller en tydlig tjänstemiljö, börja där. Om kundkraven däremot gäller hela organisationen, avgränsa åtminstone första bedömningsrundan till centrala processer.
Kontrollera att avgränsningen omfattar minst följande:
- viktigaste information och informationsresurser
- kritiska system
- centrala personalroller
- externa leverantörer som ni är beroende av
- lagstadgade eller kundkrav
Följande tabell hjälper er välja en lämplig startomfattning:
| Alternativ | När passar det | Arbetsmängd i början | Rekommendation för småföretag |
|---|---|---|---|
| Hela företaget på en gång | Verksamheten är enkel och få system | Medelstor | Bra om personalen är under 20 och få tjänster |
| En tjänst eller produkt | Kundkrav riktas mot en viss tjänst | Liten | Ofta den bästa första avgränsningen |
| En process, t.ex. behörighetsstyrning | Man vill ha snabb uppstart | Mycket liten | Bra pilot, men räcker inte på lång sikt |
| En kundmiljö | Informationssäkerhetskrav kommer från en enskild kund | Liten–medelstor | Fungerar om kundspecifika krav styr arbetet |
Välj en enkel poängsättningsmodell direkt från början
När riskerna identifierats måste de kunna jämföras sinsemellan. Annars ser allt lika bråttom ut. I praktiken behövs minst två mått: påverkan och sannolikhet.
För småföretag räcker ofta en skala 1–3 eller 1–5. Det viktiga är inte matematisk exakthet, utan att teamet förstår vad siffrorna betyder. Om modellen är för komplicerad går bedömningen långsamt och resultaten varierar mellan bedömare.
Här är ett fungerande exempel på skala 1–3:
| Poäng | Påverkan | Sannolikhet |
|---|---|---|
| 1 | Störning är liten, påverkan under 4 timmar eller liten kostnad | Osannolik, inträffar mer sällan än en gång på 3 år |
| 2 | Störning påverkar kunder eller internt arbete 1–2 dagar | Möjlig, kan inträffa en gång på 1–2 år |
| 3 | Allvarlig störning, kundpåverkan, informationsläcka eller avbrott över 2 dagar | Sannolik, kan inträffa flera gånger per år |
Riskpoängen kan beräknas med formeln:
- risk = påverkan x sannolikhet
Det ger en tydlig prioritering:
| Riskpoäng | Tolkning | Åtgärd |
|---|---|---|
| 1–2 | Låg | Uppföljning som en del av ordinarie arbete |
| 3–4 | Medelnivå | Planera kontrollåtgärd och ansvarig inom 30 dagar |
| 6–9 | Hög | Starta åtgärder omedelbart och följ upp minst varje månad |
Tips
Om ni inte kan enas om poängen inom 5 minuter, skriv först ner motiveringarna skriftligt. Ofta beror oenighet på att påverkan för kund respektive internt arbete blandas ihop.
Vilka risker bör småföretag identifiera först?
Den första bedömningen får inte bli en idésession där man listar hundra möjliga hot. Ett bättre sätt är att gå igenom några standardämnen där de viktigaste riskerna för småföretag vanligtvis finns.
Börja med exempelvis dessa riskkategorier:
- behörigheter tas inte bort vid avslutad anställning
- multifaktorautentisering saknas i kritiska tjänster
- backup testas inte regelbundet
- enheter krypteras eller uppdateras inte i tid
- leverantörsberoendet är stort och ingen reservlösning finns
- personalen känner dåligt igen nätfiske
- information lagras spridd utan ägare
Ett konkret exempel på en risk:
| Risk | Påverkan | Sannolikhet | Poäng | Kontrollåtgärd | Ansvarig | Deadline |
|---|---|---|---|---|---|---|
| Aktivt konto för avslutad medarbetare kvar i SaaS-tjänst | 3 | 2 | 6 | Process för borttagning, checklista och borttagning inom 24 timmar | IT-chef | 14 dagar |
Ställ er dessa frågor till er själva och teamet:
- När skulle kunden först märka att informationssäkerheten brustit?
- Vilket enskilt fel stoppar arbetet imorgon?
- Var är vi beroende av en person eller en leverantör?
Dessa frågor hjälper ofta till att hitta mer relevanta risker än generella brainstorm-listor.
Utse bedömningsteam och bestäm första avgränsning
Ta med minst ansvarig för verksamheten, en IT-kunnig person och vid behov kvalitets- eller dataskyddsansvarig. Håll teamet litet, oftast räcker 3–5 personer. Dokumentera samtidigt om bedömningen gäller hela företaget eller till exempel en tjänst eller kundmiljö.
Lista viktiga data, system och beroenden
Gör en första kartläggning på en sida eller i en tabell. Anteckna minst viktiga data, system som hanterar dem, ägare och externa leverantörer. Om listan tar över 90 minuter är avgränsningen sannolikt för bred.
Identifiera 10–15 första risker med hjälp av standardämnen
Gå igenom behörigheter, enheter, molntjänster, backup, personal, leverantörer och avvikelser. Målet är inte fullständig lista utan första hanterbara helheten. För de flesta småföretag räcker 10–15 risker första rundan.
Poängsätt riskerna med samma modell och välj 3–5 viktigast
Använd en överenskommen skala, exempelvis påverkan 1–3 och sannolikhet 1–3. Beräkna poäng, rangordna riskerna och välj tillsammans 3–5 högst prioriterade för vidare åtgärder. Om alla risker blir höga är bedömningskriterierna för vaga.
Bestäm kontrollåtgärder, ägare och uppföljningsrytm
Varje hög risk ska ha konkret åtgärd, ansvarig och deadline. Exempelvis: multifaktorautentisering införs inom 30 dagar eller utgående behörigheter kontrolleras veckovis. Kom även överens om att risklistan ses över minst kvartalsvis och alltid vid större förändringar.
Vanligaste misstagen i starten
Det första misstaget är att dokumentera för mycket innan gemensam arbetssätt är klart. Om ni spenderar veckor på att finslipa mallar men inte fattar några riskbeslut leder inte arbetet till bättre informationssäkerhet.
Det andra vanliga felet är att utelämna verksamheten från bedömningen. Bara IT vet inte alltid vad som är mest kritiskt för kunden. Därför måste minst en verksamhetsrepresentant delta i poängsättningen.
Undvik särskilt dessa:
- för brett tillämpningsområde vid första rundan
- otydlig poängsättning som tolkas olika av olika personer
- listning av risker utan ansvariga och deadlines
- kopiering av kontrollåtgärder direkt från mall utan egen motivering
- att utföra bedömningen en gång per år utan uppföljning vid förändringar
Varning
En vanlig fallgrop är att som kontrollåtgärd bara skriva "förbättra instruktioner". Om åtgärden saknar ägare, tidsfrist och mätbart resultat blir den ofta aldrig gjord. Skriv hellre: "MFA införs för alla administrativa konton inom 30 dagar".
Hur integrerar man riskbedömningen i vardagen?
En bra ISO 27001 riskbedömning är inte en engångsgrej i Excel, utan en del av ledningssystemet. Det innebär i praktiken att riskerna kopplas till förändringar, avvikelser och ledningens uppföljning. När ny lösning tas i bruk eller leverantör byts uppdateras risklistan samtidigt.
I småföretag är en fungerande rytm ofta lätt men regelbunden. Ni behöver inget tungt styrningssystem så länge ansvar, tider och uppföljning syns öppet.
En fungerande månads- eller kvartalsrytm kan se ut så här:
| Åtgärd | Frekvens | Tidsåtgång | Ansvar |
|---|---|---|---|
| Statusuppföljning av högrisker | Månadsvis | 15–30 min | Riskägare |
| Genomgång av hela risklistan | Kvartalsvis | 60 min | Ansvarig + nyckelpersoner |
| Uppdatering vid förändringar | Vid behov | 30–60 min | Ägare av förändring |
| Ledningens sammanfattning | 2–4 gånger per år | 15 min | Informationssäkerhetsansvarig |
Om ni använder Tietoturvapankki registreras risker, ägarskap och uppföljning på samma plats. Det underlättar särskilt att bedömningen inte bara ligger i en persons minne eller i lösa filer.
Yhteenveto
- Börja smått: avgränsa första tillämpningsområdet så att ni hinner hantera det på 2–4 veckor.
- Använd enkel och konsekvent poängsättning, till exempel påverkan 1–3 och sannolikhet 1–3.
- Identifiera först 10–15 risker och prioritera 3–5 viktigast till konkreta åtgärder.
- Varje betydande risk ska ha ägare, deadline och mätbar kontrollåtgärd.
- Uppdatera riskbedömningen regelbundet och alltid när system, leverantörer eller verksamhet förändras.
Behöver du hjälp med informationssäkerhetshantering?
Våra experter hjälper dig framåt.