Många små och medelstora företag upptäcker för sent att de inte har förberett sig inför ISO 27001-revisionen bara en vecka innan revisorns ankomst. Det vanliga problemet är inte att informationssäkerhet inte görs, utan att arbetet inte är dokumenterat, ansvarsfördelat och verifierbart. I revisionen handlar det i praktiken om en sak: kan ni visa hur informationssäkerhetssystemet fungerar i vardagen.
I den här artikeln får ni en praktisk checklista för att avgöra om ert företag är redo för ISO 27001-revision. Vi går igenom vad revisorn vanligtvis kontrollerar, vilka brister som kan stoppa processen och hur ni kan bedöma beredskapen redan innan revisionen. I slutet får ni även en konkret handlingsplan om ni upptäcker luckor.
Vad betyder revisionberedskap egentligen?
Revisionberedskap innebär inte perfektion. Det betyder att företaget har definierat sin tillämpningsområde, identifierade nyckelrisker, valda kontroller och bevis på att överenskomna rutiner också efterlevs.
I praktiken letar revisorn svar på exempelvis dessa frågor:
- Vilka affärsområden omfattas av styrsystemet?
- Vilka är företagets 3–5 viktigaste informationssäkerhetsrisker?
- Vilka kontrollåtgärder har valts för dessa risker?
- Vem ansvarar för uppföljning, avvikelser och förbättringar?
- Var finns bevisen för att rutiner fungerar i praktiken?
Om någon av dessa är otydlig faller revisionen sällan på en enskild dokumentation utan på helhetsbilden. Finns en röd tråd som knyter samman risker, beslut, instruktioner och praktiskt arbete?
Observera
ISO 27001 bedömer inte bara dokument. Revisorn kontrollerar också om dokumenten motsvarar verklig verksamhet. Därför är en föråldrad instruktion ofta sämre än en kort men uppdaterad instruktion.
Första testet: finns grundläggande delar för revisionen?
En bra start är att kontrollera om grunderna finns och är uppdaterade. Om fler än en av dessa saknas bör revisionen vanligtvis skjutas upp och ni använda 2–6 veckor till att åtgärda bristerna.
Tabellen nedan fungerar som en snabb självvärdering:
| Kontrollpunkt | Vad bör finnas | Färdig om... | Varningssignal |
|---|---|---|---|
| Tillämpningsområde | Beskrivning av vilka funktioner, tjänster, team och system som ISO 27001 omfattar | Avgränsningen är dokumenterad på en sida och godkänd av ledningen | Avgränsningen ändras under diskussion eller är inte dokumenterad |
| Informationssäkerhetspolicy | Övergripande riktlinjer för mål och ansvar | Policyn är godkänd och kommunicerad till personalen inom 12 månader | Dokumentet är gammalt eller okänt för personalen |
| Riskbedömning | Metod, risker, poängsättning och beslut om hantering | Viktiga risker har bedömts och uppdaterats minst årligen | Risklistan är generell eller saknar ansvariga |
| SoA / tillämplighetsförklaring | Lista över valda kontroller och motiveringar | För varje avvikelse finns en motivering | Kontroller är kopierade utan motiveringar |
| Mål och mätetal | Informationssäkerhetsmål och uppföljning | Mätvärden följs till exempel kvartalsvis | Mål mäts inte alls |
| Intern revision | Genomförd intern granskning före certifiering | Avvikelser är rapporterade och åtgärder igångsatta | Ingen intern revision har gjorts |
| Ledningens genomgång | Ledningens utvärdering av styrsystemets funktion | Genomgång har hållits och beslut dokumenterats | Ledningen har inte behandlat ämnet tillsammans |
Om tabellen visar 2 eller fler varningssignaler är ni troligen inte redo för den faktiska revisionen. Den goda nyheten är att dessa brister ofta går att åtgärda snabbt när ansvarsfördelningen är klar.
Dokument räcker inte ensamt — ni behöver bevis från vardagen
Många företag tror att de är redo när det finns policys, instruktioner och risklistor i mappar. I revisionen kommer dock nästan alltid nästa fråga: hur syns detta i praktiken?
Bevisen kan vara mycket vardagliga. Revisorn är till exempel intresserad av om användarrättigheter tas bort från avgående medarbetare inom 24 timmar, om backupåterställningstester görs 2–4 gånger per år och om avvikelser hanteras enligt överenskommelse.
Praktiska bevis kan vara till exempel:
- Förfrågningar och borttagning av användarrättigheter
- Loggar eller rapporter över användning av multifaktorautentisering
- Protokoll från teståterställningar av backuper
- Minnen från behandling av informationssäkerhetsavvikelser
- Personalens introduktions- eller utbildningsanteckningar
- Leverantörsbedömningar och godkännande beslut
Fråga er själva rakt ut: om revisorn bad om tre exempel på genomförda kontroller imorgon, skulle ni kunna ta fram dem inom 15 minuter? Om svaret är nej handlar problemet troligen inte om brist på aktiviteter utan snarare spridd eller ofullständig dokumentation.
Tips
Välj direkt en gemensam plats för revisionsbevis. Bara mappstrukturen, med avdelningar för risker, kontroller, avvikelser och ledningens genomgångar, sparar ofta flera timmar under revisionsveckan.
Personal avslöjar snabbt om systemet verkligen används
ISO 27001-revision är inte bara ett prov för säkerhetsansvariga eller IT-chefen. Revisorn kan också fråga anställda hur man rapporterar misstänkta e-postmeddelanden, var instruktionerna finns eller hur kunduppgifter hanteras vid distansarbete.
Därför är ett bra beredskapstest att göra ett litet stickprov före revisionen. Intervjua 3–5 personer från olika roller och ställ samma grundläggande frågor.
Exempel på frågor till personalen:
- Vad gör du om du misstänker nätfiske?
- Vem rapporterar du informationssäkerhetsavvikelser till?
- Hur hanterar du konfidentiell kundinformation på hemmakontoret?
- Vad gör du om du behöver tillgång till ett nytt system?
- Vet du var företagets informationssäkerhetsinstruktioner finns?
Om över 20 % av svaren är osäkra eller motsägelsefulla finns det en tydlig risk i revisionsberedskapen. Då är den snabbaste åtgärden inte att skriva en ny policy, utan en riktad 30–45 minuters repetitionsutbildning för de team som har brister.
Vanligaste bristerna före revision
Samma problem återkommer från företag till företag. Ofta är det inte stora tekniska brister, utan oklarheter i styrningen.
Typiska brister är:
- riskhantering har gjorts en gång men uppdateras inte vid förändringar i verksamheten
- kontroller är valda men ingen ägare är utsedd
- avvikelsehantering saknar dokumentation
- intern revision är ej genomförd eller alltför ytlig
- ledningens genomgång saknas eller är en formalitet
- leverantörers informationssäkerhet utvärderas inte systematiskt
- mätetal finns men följs inte upp regelbundet
En särskilt vanlig miss är att kopiera kontroller från en mall utan koppling till den egna verksamheten. Revisorn upptäcker detta snabbt om exempelvis molntjänstföretagets kontroller ser likadana ut som till exempel en tillverkningsindustris utan motiveringar.
Varning
En vanlig fälla är att förbereda revisionen endast utifrån dokument under de sista 1–2 veckorna. Om intern revision, ledningens genomgång och korrigerande åtgärder saknas blir tidplanen i praktiken för snäv.
Praktisk checklista: så bedömer ni er beredskap
Teori berättar inte hela sanningen om hur ni ligger till. Modellen nedan hjälper er göra en snabb men realistisk bedömning.
Kontrollera obligatoriska dokument och beslut
Gå igenom tillämpningsområde, informationssäkerhetspolicy, riskbedömning, tillämplighetsförklaring, mål, interna revisionsresultat och ledningens genomgång. Markera varje punkt som: klar, pågående eller saknas. Om mer än 2 saknas, skjuter ni upp revisionen och gör en åtgärdsplan.
Samla bevis från tre nyckelkontroller
Välj 3 kontroller som är mest väsentliga för er verksamhet, till exempel användarhantering, backup och avvikelsehantering. Samla minst 2 konkreta bevis för varje kontroll, till exempel ärende, logg, protokoll eller godkännande. Då ser ni snabbt om arbetet kan verifieras.
Genomför en snabb revisionsövning med personalen
Intervjua 3–5 anställda med olika roller och ställ grundläggande frågor om informationssäkerhetsrutiner. Dokumentera osäkra svar och ordna vid behov en 30 minuters riktad utbildning. Detta är ett av de mest effektiva sätten att hitta praktiska luckor före revisorn.
Bedöm status för korrigerande åtgärder realistiskt
Lista alla identifierade brister och ge dem ägare, deadline och prioritet. En bra praxis är att stänga kritiska brister inom 2 veckor och medelstora inom 30 dagar. Revision bör genomföras först när kritiska punkter verkligen är åtgärdade, inte bara planerade.
När är företaget egentligen redo?
Företaget är vanligtvis redo för ISO 27001-revision när helheten samtidigt uppfyller tre villkor:
| Beredskapsområde | Fråga | Bra nivå |
|---|---|---|
| Dokumentation | Är nödvändiga saker beskrivna och godkända? | Alla kärndokument är aktuella och kan hittas på under 5 minuter |
| Genomförande | Fungerar överenskomna rutiner i vardagen? | Det finns aktuella bevis för nyckelkontroller |
| Ledarskap | Följ upp och förbättras verksamheten? | Intern revision, ledningens genomgång och korrigerande åtgärder är gjorda |
Om någon av dessa kraftigt brister blir revisionen lätt en lärdom vid fel tidpunkt i processen. Ett bättre alternativ är att göra en ärlig föraudit eller intern genomgång först.
En enkel tumregel för små och medelstora företag är: om ni kan beskriva på 10 minuter vad styrsystemet omfattar, vilka de viktigaste riskerna är, vilka kontroller ni använder och hur ni följer upp deras funktion, är ni långt framme. Om samtalet spricker åt olika håll behövs mer struktur i förberedelserna.
Hur underlättar Tietoturvapankki revisionberedskapen?
I många företag är problemet inte brist på kompetens utan tid och struktur. Dokument ligger på ett ställe, risker på ett annat och bevis på ytterligare en plats. Då tar förberedelserna inför revisionen ofta längre tid än själva driften av styrsystemet.
Tietoturvapankki är byggt för just det här problemet. Det kombinerar applikation och expertstöd så att ISO 27001-krav, riskhantering, dokumentation och uppföljning finns i samma helhet. Softapankki Oy och QMClouds Oy:s bakgrund syns i att lösningen är gjord praktisk för små och medelstora företag, inte för tung byråkrati. Om ni redan använder Kvalitetsbanken är arbetssättet bekant även från kvalitetsstyrningen.
Fördelarna syns särskilt i dessa situationer:
- ni vill se på ett ställe vad som fortfarande saknas inför revisionen
- ni behöver en modell för att koppla risker, kontroller och bevis
- ni vill säkerställa att ledningens genomgångar och interna revisioner inte görs i sista minuten
- ni behöver expertstöd för vad som är tillräcklig nivå från revisorns perspektiv
Sammanfattning
- ISO 27001-revisionberedskap innebär förutom dokument också bevis på att rutiner fungerar i vardagen.
- Kontrollera först grunderna: tillämpningsområde, riskbedömning, tillämplighetsförklaring, intern revision och ledningens genomgång.
- Samla konkreta bevis från minst tre nyckelkontroller som snabbt kan visas upp vid revision.
- Testa personalens beredskap i förväg genom att intervjua 3–5 personer från olika roller.
- Om flera kritiska brister finns, lägg 2–6 veckor på korrigerande åtgärder innan själva revisionen.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.