I många småföretag finns redan ett kvalitetssystem eller åtminstone metoder baserade på ISO 9001, men informationssäkerhetssystemet byggs ändå som en separat helhet. Resultatet är bekant: två årsplaner, två interna revisioner, två risklistor och samma ledning som behandlar samma frågor i olika dokument.
Den goda nyheten är att det inte behöver vara så. ISO 27001 och ISO 9001 kan kombineras i samma ledningsstruktur så att arbetet minskar och styrningen förbättras. I den här artikeln går vi igenom vad standarderna har gemensamt, vad som bör hållas isär och hur ni i praktiken skapar en fungerande helhet.
Varför bör man kombinera ISO 27001 och ISO 9001?
När ledningssystemen hanteras separat blir dubbelarbete snabbt uppenbart i vardagen. Samma organisationsbeskrivning skrivs på två ställen, avvikelser hanteras i olika processer och ledningens genomgångar hålls i separata kalendrar.
Kombinationen är särskilt värdefull om företaget har 20–250 anställda, begränsade resurser och behov av att visa för kunder att både kvalitet och informationssäkerhet hanteras kontrollerat. I praktiken syns nyttan bland annat i:
- en gemensam ledningsmodell för hela organisationen
- färre överlappande dokument och möten
- tydligare ansvarsområden för ledning, IT och processägare
- enklare intern revision när samma principer granskas tillsammans
- bättre insyn i hur kvalitetsproblem och informationssäkerhetsrisker påverkar verksamheten
Tänk så här: om en kundreklamation beror på fel behörighet eller bristande förändringshantering, handlar det om kvalitet eller informationssäkerhet? Ofta är det båda. Därför är det också bäst att ha gemensam styrning.
Observera
ISO 27001 och ISO 9001 bygger till stor del på samma ledningslogik: definiera mål, identifiera risker, styr verksamheten, mät resultat och förbättra kontinuerligt. Det är just detta som gör kombinationen praktisk.
Vad har standarderna gemensamt i praktiken?
Både ISO 27001 och ISO 9001 är ledningssystemstandarder. Det innebär att de inte bara är kravlistor utan sätt att leda verksamheten systematiskt. Samma grundläggande frågor betonas i båda: vad ska uppnås, vem ansvarar, hur dokumenteras arbetet och hur sker förbättring.
Gemensamma strukturer finns särskilt inom följande områden:
- förståelse för organisationens verksamhetsmiljö och intressenter
- definiering av tillämpningsområde, dvs vilka delar systemet omfattar
- ledningens roller, ansvar och engagemang
- risk- och möjlighetsbedömning
- mål, mätetal och uppföljning
- kompetenssäkring och medvetenhet hos personalen
- dokumenterad information som instruktioner, policyer och register
- interna revisioner
- ledningens genomgång
- hantering av avvikelser och kontinuerlig förbättring
Tabellen nedan hjälper till att se var kombinationen oftast är enklast.
| Område | ISO 9001-perspektiv | ISO 27001-perspektiv | Kombinationssätt |
|---|---|---|---|
| Verksamhetsmiljö | Kundkrav, processer, kvalitet | Informationsresurser, hot, efterlevnad | Skapa en gemensam beskrivning av verksamhetsmiljön |
| Riskhantering | Kvalitetsrisker och processrisker | Informationssäkerhetsrisker | Använd samma riskmetod men med olika utvärderingskriterier vid behov |
| Dokumentation | Processbeskrivningar, instruktioner, register | Policyer, procedurer, loggar, register | Hantera allt i samma dokumentstruktur |
| Intern revision | Processernas funktion | Kontrollernas och kravens efterlevnad | Gör ett gemensamt revisionsprogram per år |
| Ledningens genomgång | Mål, avvikelser, kundrespons | Risker, avvikelser, informationssäkerhetsstatus | Håll en gemensam genomgång 2–4 gånger per år |
| Förbättring | Korrigerande åtgärder | Hantering av avvikelser och förbättringar | Använd en gemensam CAPA-process (korrigerande åtgärder) |
I praktiken är den största fördelen att ni bygger en ram och kopplar standardernas specifika krav under denna. Personalen behöver då inte lära sig två olika ledningssystem.
Vad bör man undvika att pressa ihop?
Trots mycket gemensamt bör inte allt slås ihop till en enda massa. ISO 27001 innehåller särskilda krav gällande informationssäkerhet som ISO 9001 inte behandlar med samma detaljrikedom. Om dessa döljs bakom allmän kvalitetsterminologi blir systemet snyggt på ytan men styr inte rätt utförande.
Håll i alla fall följande områden tydligt identifierbara även om de finns i samma system:
- bedömning av informationssäkerhetsrisker och godkännandekriterier
- suitability statement eller Statement of Applicability som motiverar valda kontroller
- behörighetshantering
- hantering av informationssäkerhetsrelaterade avvikelser
- leverantörers informationssäkerhetskrav
- beredskap, återställning och logghantering
En bra tumregel: kombinera ledningsstrukturen men sudda inte ut informationssäkerhetens särskilda krav. Om till exempel behörigheter ska tas bort inom 24 timmar efter anställningens slut, bör detta beskrivas som en egen tydlig kontroll och inte bara som en allmän processnotering.
Varning
Ett vanligt misstag är att skapa en gemensam risklista där kvalitets-, informationssäkerhets-, arbetsmiljö- och projekt risker finns samlade utan särskild klassificering. Då riskerar viktiga informationssäkerhetsrisker att drunkna bland andra faktorer.
Ett system, många perspektiv
En fungerande kombination innebär inte en jättelik handbok. Det är bättre att bygga ett ledningssystem med gemensamma ledningsrutiner samt standard-specifika delar där dessa behövs.
Dokumentstrukturen kan till exempel se ut så här:
- gemensam policynivå: ledningsprinciper, ansvar, mål
- gemensamma processer: riskhantering, avvikelsehantering, revisioner, ledningens genomgång
- standard-specifika procedurer: informationssäkerhetskontroller, kvalitetsavvikelsehantering, leverantörsutvärderingar
- register och mätetal: revisionsrapporter, riskregister, utbildningsanteckningar, avvikelselogg
Om ni redan har ISO 9001 behöver ni inte börja från noll. Börja gärna med att kontrollera dessa 3–5 nyckelområden först:
- är befintlig riskhantering tillräckligt detaljerad för informationssäkerhetsrisker
- finns redan informationssäkerhetsrelaterade mätetal i ledningens genomgång
- omfattar intern revision även informationssäkerhetskontroller
- är ansvarsfördelningen mellan IT, HR och verksamhet tydligt dokumenterad
- hanteras dokumenten centralt eller spritt i olika mappar
Så går ni tillväga i praktiken
Identifiera befintliga gemensamma strukturer
Gå igenom nuvarande ISO 9001- eller annat ledningssystem och lista vad som kan användas som det är. Börja åtminstone med: riskhantering, avvikelsehantering, internrevision, ledningens genomgång och dokumenthantering. Denna kartläggning kräver ofta 1–2 workshops och totalt 2–4 timmar.
Definiera gemensam ram och separata informationssäkerhetsdelar
Bestäm vilka delar som är gemensamma för alla standarder och vilka som ska vara ISO 27001-specifika. Skapa en processkarta där ni markerar var det behövs detaljerade informationssäkerhetskontroller som behörigheter, backup och leverantörskrav.
Kombinera mätetal och årsplan
Skapa en gemensam årsplan där revisioner, riskgenomgångar, utbildningar och ledningens genomgångar schemaläggs enligt samma mönster. Till exempel kan riskgenomgång ske kvartalsvis, intern revision 1–2 gånger per år och ledningens genomgång minst en gång per år, gärna oftare.
Utse ägare och tidsramar
Ett kombinerat system fungerar bara om ansvar är tydligt. Utse processägare, ersättare och mål: till exempel ska avvikelse registreras inom 48 timmar, korrigerande åtgärd beslutas inom 14 dagar och behörighetsändringar genomföras inom 24 timmar.
Testa systemets funktion med intern revision
Innan certifiering eller extern granskning, kontrollera att den kombinerade modellen verkligen fungerar. Gör en intern revision där samma process granskas utifrån både kvalitet och informationssäkerhet, till exempel kundleverans, användarhantering eller leverantörsobordning. Då upptäcker ni brister innan de syns för kund eller revisor.
Mätetal som håller det kombinerade systemet levande
Ett vanligt problem är att kombinationen bara sker i dokumenten men vardagen förändras inte. Därför behöver ni gemensamma mätetal som ledningen regelbundet följer. Mätetalen måste inte vara komplicerade, bara styrande.
Ett fungerande mätetalssystem för småföretag kan innehålla följande:
| Mätetal | Målnivå | Uppföljningsintervall | Varför det fungerar |
|---|---|---|---|
| Antal informationssäkerhets- och kvalitetsavvikelser | Sjunkande trend eller kontrollerad nivå | Månatligen | Visar om problem ökar eller minskar |
| Tid för genomförande av korrigerande åtgärder | under 30 dagar | Månatligen | Säkerställer att brister verkligen åtgärdas |
| Hastighet för borttagning av behörigheter | inom 24 timmar | Månatligen | Minskar onödiga behörighetsrisker |
| Obligatoriska utbildningar genomförda | 95–100 % | Kvartalsvis | Säkerställer kompetens och medvetenhet |
| Andel slutförda observationsåtgärder inom tidsram | 90 % i tid | Kvartalsvis | Håller förbättringsarbetet levande |
| Kundavvikelser där säkerhet eller process påverkade | Antal fall följs upp | Kvartalsvis | Kopplar kvalitet och säkerhet till affärseffekt |
Fråga er: Kan ledningen på en blick se hur det går? Om inte bör mätverktygen förenklas.
Tips
Ha en gemensam dashboard vid ledningens genomgång med högst 8 mätetal. För många mätetal splittrar diskussionen och beslut uteblir.
Vanliga misstag i småföretag
Kombinationen misslyckas sällan för att standarderna är motstridiga. Ofta beror det på praktisk implementering. Känner ni igen något från er egen organisation?
- systemet byggs kring standarderna, inte runt vardagsprocesserna
- dokument kombineras men ansvar delar inte
- informationssäkerheten lämnas ensamt till IT trots att HR, ledning och verksamheten också borde vara med
- revisioner görs som checklistor utan att bedöma processernas funktion
- för många mål sätts utan tydliga ägare
Lösningen är ofta enkel. Börja med en gemensam process, som hantering av avvikelser eller ledningens genomgång, och bygg ut först därefter. Ofta syns tydliga förbättringar i systemets vardagsfunktion redan inom 30–60 dagar.
Var hjälper verktyget mest?
När ISO 27001 kombineras med ISO 9001 är den största utmaningen sällan förståelsen av kraven utan att hantera helheten. Var finns riskerna? Vem äger åtgärderna? Vad har granskats? Vad väntar på ledningens beslut? Om informationen ligger i mail, Excel-ark och olika mappar faller det kombinerade systemet snabbt sönder.
Här gör en central lösning arbetet enklare. Tietoturvapankki hjälper att bygga praktisk ISO 27001-implementering där risker, kontroller, ansvar och uppföljning samlas på ett ställe. Om det redan finns kvalitetslösningar som Kvalitetsbanken blir gemensamma ledningsrutiner betydligt smidigare att skapa.
Softapankki Oy och QMClouds Oy har utvecklat lösningar så att småföretag inte behöver bygga ledningssystem enbart utifrån mallar. Målet är inte att skapa fler dokument utan en verksamhetsmodell som klarar revision och fungerar i en pressad vardag.
Sammanfattning
- ISO 27001 och ISO 9001 bör kombineras särskilt i gemensamma ledningsrutiner: risker, revisioner, ledningens genomgång och hantering av avvikelser.
- Kombinera inte allt med våld: informationssäkerhetens särskilda krav såsom kontroller och suitability statement måste vara tydligt igenkännbara.
- En fungerande modell bygger på ett ledningssystem, en årsplan och klar ansvarsfördelning.
- Använd konkreta mätetal som 24 h för behörighetsändringar och under 30 dagar för korrigerande åtgärder.
- Börja med en nulägesanalys och testa kombinationen med intern revision innan extern granskning.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.