Många små och medelstora företag frågar samma sak direkt i början: hur mycket tid tar egentligen ISO 27001-certifieringen? Frågan är viktig eftersom en alltför optimistisk tidsplan leder till stress, ofullständiga dokument och att revisionen bokas innan informationssäkerhetssystemet verkligen är i bruk. Å andra sidan kan en alltför försiktig uppskattning skjuta upp nyttorna med flera månader.
I den här artikeln går vi igenom vad som påverkar tiden för ISO 27001-certifieringsprocessen, en realistisk tidsplan för svenska småföretag och hur ni kan påskynda processen utan genvägar. Ni får också en praktisk plan för hur ni kan bedöma om det handlar om 3 månader, 6 månader eller närmare 9–12 månader.
Vad består ISO 27001-certifieringens tid av?
ISO 27001 är inte en enstaka revisionsdag utan ett projekt där man bygger och implementerar ett ledningssystem, alltså ett sätt att systematiskt leda informationssäkerheten. Tid går åt både för dokumentation och för att de överenskomna rutinerna ska hinna finnas i vardagen.
I praktiken beror den totala tiden oftast på följande faktorer:
- företagets storlek och komplexitet
- hur mycket säkerhetspolicys som redan finns
- om andra standarder används, som ISO 9001
- hur snabbt ledningen fattar beslut
- hur många personer som kan delta i arbetet varje vecka
- när certifieringsorganet får revisionstid inbokad
Om företaget redan har till exempel riskhantering, behörighetsprocess, leverantörshantering och avvikelsehantering på plats, är utgångsläget helt annat än för en organisation som börjar från scratch. Därför kan två lika stora företag få mycket olika tidsramar.
Observera
ISO 27001 mäter inte bara om dokumenten är skrivna. Vid revisionen kontrolleras också att rutinerna är i bruk och att det finns bevis, som godkända riskbedömningar, ändringar i behörigheter eller protokoll från ledningens genomgång.
Realistisk tidsplan för små och medelstora företag
För de flesta svenska små och medelstora företag är en realistisk total tid 4–8 månader. Den snabbaste versionen, för en mycket avgränsad och mogen organisation, kan nå certifiering på cirka 3–4 månader, men då krävs färdiga rutiner, ett tydligt tillämpningsområde dvs. vad certifieringen omfattar samt en aktiv projektägare.
Om däremot utgångsläget är utspritt, ansvarsområden oklara och dokumentation saknas, bör man räkna med 6–12 månader. Det betyder inte att arbetet är tungt hela tiden, utan att bygga rutiner, personalintroduktion, internrevision och korrigerande åtgärder tar kalender tid.
Nedan finns en grov tidsplan som ni kan använda som underlag för planering:
| Steg | Typisk tid | Vad görs här |
|---|---|---|
| Kartläggning av nuläge och avgränsning | 1–3 veckor | Definiera tillämpningsområde, identifiera luckor och bestäm ansvar |
| Riskbedömning och kontrollval | 2–4 veckor | Identifiera 3–10 nyckelrisker, välj kontrollåtgärder och skriv tillämpningsförklaring |
| Dokumentation och införande av rutiner | 4–10 veckor | Skapa policyer, processer, register och vardagsrutiner |
| Samla bevis på rutinerna | 4–8 veckor | Samla bevis för att processerna fungerar i praktiken |
| Internrevision och ledningens genomgång | 1–3 veckor | Kontrollera funktion och besluta om korrigeringar |
| Certifieringsrevision, steg 1 och 2 | 2–6 veckor | Revisionsdagar och eventuella korrigerande åtgärder före beslut |
Många blir särskilt förvånade över en sak: själva revisionen är ofta en kort del av hela processen. Den största tiden går åt innan.
Vad bromsar processens mest?
Certifieringsprojektet fördröjs vanligtvis inte för att standarden är för svår. Vanligare är att beslut fattas för långsamt eller att arbetet blir ett sidoprojekt för en person.
De vanligaste orsakerna till förseningar är:
- tillämpningsområdet definieras för brett direkt från början
- riskbedömning görs en gång men leder inte till beslut
- dokument skrivs men processerna tas inte i bruk
- internrevision skjuts till sista stund
- ledningens genomgång saknar tid i kalendern
- revisionstid bokas för sent, vilket ger väntetider på 2–8 veckor hos certifieringsorganet
Ett konkret exempel: om målet är att certifiera hela koncernen, alla enheter och alla tjänster samtidigt, växer arbetsbelastningen snabbt. Ofta är det snabbare och mer rationellt att begränsa den första certifieringen till exempelvis en affärsenhet eller en SaaS-tjänst.
Varning
Ett vanligt misstag är att börja skriva dokument innan ansvar, avgränsning och viktiga risker är bestämda. Då måste samma instruktioner ändras flera gånger och projektet drar ut på tiden med lätt 4–6 veckor.
När är 3 månader möjligt – och när inte?
Om någon lovar ISO 27001-certifiering på tre månader bör ni ställa fördjupande frågor. Handlar det om verklig certifieringsberedskap eller bara ett dokumentpaket? Är revisionstid redan bokad? Finns bevis på praktisk tillämpning?
En tidsplan på 3–4 månader kan vara realistisk om följande villkor är uppfyllda:
- en ansvarig person är utsedd och kan lägga minst 0,5–1 dag per vecka på arbetet
- ledningen fattar beslut utan veckors fördröjning
- nyckelprocesser som behörighetshantering, backup och avvikelsehantering finns redan
- antal anställda är rimligt, exempelvis 10–50 personer
- certifieringens avgränsning är tydlig och ganska snäv
- verktyg eller färdiga metoder används som minskar manuellt arbete
Istället är 6–12 månader mer sannolikt om:
- säkerhetsarbetet är utspritt i olika dokument
- leverantörsnätverket är stort och avtal måste uppdateras
- den tekniska miljön är komplex
- företaget verkar i flera länder eller branscher
- andra stora förändringar pågår samtidigt, som ERP- eller molnmigration
Hur går processen till i praktiken?
Nedan finns en praktisk steg-för-steg-modell som gör tidsplanen realistisk och hjälper er att undvika vanliga flaskhalsar.
Avgränsa certifieringens omfattning noga
Bestäm först vilken tjänst, team eller affärsområde certifieringen ska omfatta. En bra avgränsning är så tydlig att alla kan förstå med en mening vad som ingår och vad som inte gör det. Om avgränsningen är otydlig växer arbetsbelastningen snabbt och det uppstår tolkningsproblem vid revisionen.
Gör nulägesanalys på två veckor
Gå igenom vad ni redan har: policyer, riskregister, behörighetsprocess, leverantörslista, beredskapsplaner och loggövervakning. Målet är inte perfektion utan en felista som visar vilka 5–10 saker som just nu hindrar certifieringsberedskapen.
Bygg först obligatorisk grund, inte allt på en gång
Fokusera initialt på rutiner som ger mest revisionsbevis: riskhantering, tillgångsförvaltning, behörigheter, avvikelsehantering, leverantörshantering och ledningens uppföljning. Till exempel bör anställdas användarkonton definieras att tas bort inom 24 timmar efter anställningens slut, så att processen går att både mäta och verifiera.
Samla bevis från minst 4–8 veckor
När rutinerna är definierade måste de synas i vardagen. Samla till exempel godkända riskhanteringsbeslut, introduktionsanteckningar, ändringar i behörigheter, avvikelserapporter och rapporter från ledningens uppföljning. Utan bevis baseras revisionen lätt bara på löften.
Gör internrevision före extern revision
Avsätt minst 1 arbetsdag för internrevision i en liten organisation och mer om tillämpningsområdet är brett. Åtgärda fynd direkt, håll ledningens genomgång och boka först sedan steg 2 av certifieringsrevisionen. Så undviker ni att externa revisorer hittar brister som kunde ha åtgärdats i förväg.
Hur mycket tid bör olika roller avsätta?
En praktisk fråga är hur mycket tid arbetet kräver av personerna. I småföretag lyckas projektet oftast utan en dedikerad heltidsgrupp, men ni måste reservera rätt antal timmar i kalendern.
Nedan en vägledande ansvarsmatris:
| Roll | Typisk tidsåtgång under projektet | När behövs mest tid |
|---|---|---|
| VD eller ledningsgruppsrepresentant | 1–2 h / 2 veckor | Avgränsning, riskbeslut, ledningens genomgång |
| IT-chef eller säkerhetsansvarig | 4–8 h / vecka | Policydefinition, insamling av bevis, revisioner |
| HR/personalfunktion | 1–2 h / vecka | Introduktion, roller, avslutsprocesser |
| Affärsområdesägare | 1–3 h / 2 veckor | Riskbedömning, leverantörer, tjänstebeskrivningar |
| Extern expert eller verktyg | Varierar | Stöd vid struktur, mallar och framdrift |
Om ansvarig person kan lägga endast 1–2 timmar per vecka på arbetet blir projektet nästan oundvikligen försenat. Har ni istället ett tydligt verktyg, som Tietoturvapankki, och klara ansvarsroller, rör sig arbetet betydligt jämnare.
Tips
Boka redan i projektets början återkommande 30-minuters veckomöte och 60-minuters månadsavstämning med ledningen. Då fastnar inga beslut och tidsplanen hålls bättre i styr.
Hur kan Tietoturvapankki påskynda certifieringen?
Den största tidsbesparingen kommer sällan av att någon skriver dokumenten åt er. Den kommer av att ni vet vad som ska göras härnäst, i vilken ordning och på vilken nivå tillräckliga bevis skapas. Precis här drar många småföretag nytta av kombinationen av programvara och expertstöd.
Tietoturvapankki är byggt för att stödja ISO 27001-arbetet så att viktiga uppgifter, dokument och uppföljning finns samlat på ett ställe. När framdriften är strukturerad blir det lättare att undvika två vanliga problem: överplanering som blir tungrodd och å andra sidan alltför tunn dokumentation som inte räcker vid revision.
Om organisationen redan har erfarenhet av till exempel ISO 9001-systemet eller Kvalitetsbanken-lösningen går införandet oftast snabbare. I miljöer som Softapankki Oy och QMClouds Oy hjälper den kända arbetslogiken till att ansvarsområden, genomgångar och kontinuerlig förbättring inte blir helt nya saker.
Sammanfattning: hur mycket tid är rimligt att räkna med?
Om ni vill ha ett enda nummer är ett gott upplägg för de flesta små och medelstora företag 6 månader. Det är tillräckligt ambitiöst för att hålla fart, men ändå realistiskt nog att rutiner hinner komma på plats och revisionen går att genomföra med god marginal.
Har ni ett bra utgångsläge kan ni nå i mål snabbare. Saknas grunden är det bättre att acceptera en längre tidshorisont än att stressa in i revision med ett ofärdigt system. Fråga er själva: vill ni ha ett certifikat snabbt eller bygga en modell som verkligen står emot kunders, revisorers och vardagens krav?
Sammanfattning
- För de flesta små och medelstora företag tar ISO 27001-certifieringsprocessen realistiskt 4–8 månader.
- Den snabbaste möjliga tidsplanen är vanligtvis 3–4 månader om avgränsningen är tydlig och rutinerna redan är långt framme.
- De största förseningarna beror på otydligt tillämpningsområde, långsamt beslutsfattande och att bevis från rutiner inte samlas in.
- Själva revisionen är bara en liten del av helheten; mest tid tar införande och verifiering av ledningssystemet.
- Ett tydligt verktyg och expertstöd hjälper att hålla projektet i rörelse och undvika onödiga varv.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.