I många små och medelstora företag har säkerheten byggts upp bit för bit: behörigheter hanteras på något sätt, backup fungerar oftast och instruktioner finns lite här och där. Problemet uppstår senast när en kund begär bevis på vad som görs, ledningen vill ha en nulägesbild eller när förberedelser för certifiering inleds. Då behövs ett systematiskt sätt att granska vad som faktiskt görs och om arbetet motsvarar ISO 27001-standardens krav.
I denna artikel går vi igenom hur ni i praktiken auditerar er informationssäkerhet enligt ISO 27001. Ni får en tydlig modell för genomförande, en revisionschecklista, ett exempel på tidplan samt de vanligaste fallgroparna, så att revisionen ger mer än bara en mapp med observationer.
Förutsättningar
- Definierat tillämpningsområde: vilken verksamhet, vilka anläggningar, system och tjänster revisionen gäller
- Utnämnd ansvarig för att samordna revisionen, till exempel IT-chef, kvalitetschef eller säkerhetsansvarig
- Tillgång till nyckeldokument: riskbedömning, säkerhetspolicy, behörighetsinstruktioner, avvikelsehantering och leverantörslistor
- Minst 1–2 arbetsdagar för förberedelser och 0,5–1 arbetsdag för själva revisionen i en liten organisation
- Beslut om hur observationer hanteras och hur korrigerande åtgärder avslutas, till exempel vid månatliga lednings- eller säkerhetsmöten
Vad betyder ISO 27001-revision i praktiken?
Revision innebär en systematisk granskning där organisationens informationssäkerhetshanteringssystem bedöms mot standarden, egna riktlinjer och praktiska verksamheten. Det handlar inte bara om att läsa dokument. I revisionen jämförs tre saker med varandra:
- vad ni har beslutat att göra
- vad ISO 27001 kräver
- vad som faktiskt händer i vardagen
En bra revision svarar åtminstone på följande frågor:
- Har risker identifierats och hanterats?
- Är kontroller, det vill säga skyddande rutiner, i bruk?
- Följds överenskomna arbetssätt konsekvent?
- Finns det bevis på verksamheten, såsom loggar, godkännanden, utbildningsanteckningar eller ärenden?
- Reageras på avvikelser och förbättras verksamheten?
Ur ISO 27001:s perspektiv är revisionen inte ett engångsprojekt, utan en del i ständig förbättring. I praktiken betyder det att intern revision bör göras minst en gång per år, och högriskområden som behörigheter eller leverantörshantering kan granskas kvartalsvis.
Observera
ISO 27001 innebär inte att varje kontroll i bilagan måste genomföras på exakt samma sätt i alla företag. Revisionen bedömer framför allt om valda kontroller är motiverade utifrån er egen riskmiljö och om de fungerar i praktiken.
Vad bör ni auditeras först?
Om ni försöker granska allt på en gång blir revisionen lätt tung och det viktigaste försvinner. I småföretag är det bra att börja med de områden där risken är störst eller där kunder oftast kräver bevis.
En bra första revisionsrunda täcker vanligtvis dessa 3–5 centrala områden:
| Område | Vad som granskas | Exempel på bevis | Rekommenderad frekvens |
|---|---|---|---|
| Behörighetshantering | Tilldelning, ändringar, borttagningar | HR-avslut, AD-grupper, ärenden | Kvartalsvis |
| Riskhantering | Risker, hanteringsbeslut, uppföljning | Riskregister, åtgärdslista | 2 gånger per år |
| Avvikelsehantering | Identifiering och hantering av säkerhetsavvikelser | Incidentärenden, rotorsaksanalys | Kvartalsvis |
| Leverantörshantering | Avtal, krav, bedömningar | DPA, leverantörsbedömningar | Årligen |
| Backup och återställning | Backup, teståterställningar | Backuprapporter, återställningstest | 2–4 gånger per år |
Börja med att fråga er: var syns ett fel snabbast för kund, verksamhet eller myndighet? Om exempelvis en medarbetares konton ligger kvar efter anställningens avslut är det en konkret risk. Då bör revisionen kontrollera att kontot verkligen tas bort inom 24 timmar efter avslut.
Vilka bevis behöver revisorn?
En vanlig missuppfattning är att revision handlar om dokumentgranskning. Dokument är bara början. I ISO 27001-revision behövs bevis på att överenskomna rutiner följs.
Samla bevis från minst dessa källor:
- instruktioner och policies
- systemloggar och rapporter
- anteckningar i ärende- eller tjänstehanteringssystem
- utbildnings- och introduktionsregistreringar
- avtal och godkännanden
- intervjuer med ansvariga
- stickprov, t.ex. kontroll av 5–10 användarkonton
Till exempel räcker det inte med instruktionen "chef godkänner konton" inom behörighetshantering. Revisorn kontrollerar några genomförda fall: vem bad om kontot, vem godkände, när öppnades kontot och när togs det bort. Då ser ni snabbt om processen är under kontroll.
Tips
Välj en liten, verifierbar urval från varje revisionsområde, till exempel 3 avvikelser, 5 användare eller 2 leverantörer. Ett mindre men bevisbart urval avslöjar oftast mer än en allmän diskussion.
Avgränsa revisionsobjekt och mål
Bestäm först vad ni ska auditeras och varför. I en liten organisation kan avgränsningen till exempel vara "behörighetshantering och borttagningsprocess" eller "hantering av säkerhetsavvikelser de senaste 12 månaderna". Skriv samtidigt ner revisionskriterier: ISO 27001-krav, egna instruktioner och eventuella kundkrav.
Förbered en checklista baserat på standard och egen verksamhet
Skapa en praktisk checklista där varje fråga leder till verifierbart bevis. Till exempel: har riskbedömningen uppdaterats under de senaste 12 månaderna, finns godkännare utsedda för behörigheter och gjordes borttagningar inom överenskommen tid? Håll listan kort: 10–20 frågor per revisionsområde räcker för de flesta små företag.
Intervjua ansvariga och kontrollera bevis
Genomför revisionen tillsammans med dem som faktiskt utför arbetet. Intervjua till exempel IT, HR, serviceägare och vid behov ledningen. Kontrollera samtidigt dokument, loggar och stickprov så att ni inte bara förlitar er på beskrivningar.
Dokumentera observationer tydligt och kategorisera dem
Dela observationerna i minst tre kategorier: avvikelse, utvecklingsmöjlighet och styrka. En bra dokumentation berättar vad som observerades, vilket krav som ligger till grund, vilka risker det medför och vad som bör göras. Exempel: "I två av fem kontrollerade fall togs användarkontot bort först efter mer än 72 timmar efter anställningens slut, trots målet på 24 timmar."
Avtal korrigerande åtgärder, ansvariga och tidsfrister
Revisionen ger värde först när observationerna leder till förändringar. Utse för varje avvikelse ansvarig, åtgärd och tidsfrist, t.ex. 30 dagar för mindre korrigeringar och 60–90 dagar för större ändringar. Följ upp avslut med nytt bevis, inte bara meddelande.
Exempel på tidplan för revision i ett småföretag
När revisionen delas upp i tydliga steg belastar den inte organisationen orimligt. Modellen nedan fungerar bra i företag med 20–250 anställda och avgränsat ISO 27001-tillämpningsområde.
| Vecka | Uppgift | Ansvar | Mål |
|---|---|---|---|
| 1 | Avgränsning och tidplanering | Revisionsledare | Beslut om mål och deltagare |
| 1 | Framtagning av checklista | Revisionsledare | 10–20 revisionsfrågor |
| 2 | Insamling av dokument | Ägare av området | Nödvändiga bevis samlade |
| 2 | Intervjuer och stickprov | Revisorn | Observationer dokumenterade |
| 3 | Rapportering och kategorisering | Revisorn | Avvikelser och utvecklingspunkter synliga |
| 4 | Överenskommelse om korrigerande åtgärder | Ledning + ägare | Ansvar och tidsfrister fastställda |
| 8–12 | Uppföljning | Revisionsledare | Korrigeringar avslutade eller eskalerade |
Om resurserna är begränsade, gör hellre 4 mindre revisioner per år än en alltför omfattande. Då hinner åtgärder också genomföras före nästa rond.
Vanligaste misstagen vid revision
Många revisioner misslyckas av samma orsaker. Känner ni igen något från er vardag?
- Revision görs endast för certifiering, inte som ett ledningsverktyg.
- Dokument kontrolleras, men inte praktisk genomförande.
- Observationer skrivs för vagt, utan tidsfrist eller ansvarig.
- Revisorn granskar eget arbete utan oberoende perspektiv.
- Hela standarden försöks gås igenom på en gång, medan de viktigaste riskerna förblir osynliga.
En särskilt vanlig miss är att kopiera checklistor direkt från mallar. Då tar revisionen inte hänsyn till er miljö, som molntjänster, underleverantörer eller distansarbete. ISO 27001 fungerar bäst när revisionen kopplas till er egen riskbedömning och verksamhetens verklighet.
Varning
En vanlig fallgrop är att skriva "processen behöver utvecklas" som observation. En sådan formulering leder inte till handling. Skriv alltid vad som saknas, var det syntes, hur många gånger och inom vilken dag åtgärden ska vara genomförd.
Är det bättre att göra revisionen själv eller med extern hjälp?
Intern revision kan göras med egen personal så länge tillräcklig oberoende säkerställs. I praktiken betyder det att t.ex. IT-chefen helst inte ensam reviderar sin egen behörighetsprocess, utan att en annan person, som kvalitetsansvarig, säkerhetsansvarig eller extern expert, deltar.
Nedan en enkel jämförelse för att välja rätt modell:
| Alternativ | Passar för | Fördelar | Begränsningar |
|---|---|---|---|
| Egen intern revision | När grundprocessen finns | Kostnadseffektivt, snabbt, lär organisationen | Blinda fläckar och oberoendeproblem |
| Extern revision | Vid första övergripande granskning eller vid certifieringsförberedelser | Objektiv syn, referenserfarenhet | Högre kostnad |
| Kombinationsmodell | Småföretag som vill ha kontinuitet | Eget team lär sig, expert handleder | Kräver samordning |
För många små företag är kombinationsmodellen mest effektiv: interna kontroller görs regelbundet och extern expert går igenom helheten exempelvis 1 gång per år. Då förblir revisionen lätt men kvaliteten bygger inte enbart på egna bedömningar.
I en lösning som Tietoturvapankki är fördelen att underlag, ansvar och åtgärder samlas på samma ställe. Det minskar tiden som annars går åt till att leta dokument i olika mappar, mejl och ärendehanteringssystem.
Hur gör man revisionen till ett kontinuerligt arbetssätt?
Den bästa revisionen är inte en årlig panikövning, utan en del av ordinarie ledarskap. När tempot är tydligt känns inte revisionen som ett separat projekt.
I praktiken fungerar det så här:
- gör en årsplan med 4–6 kontrollpunkter per år
- följ åtminstone 3 nyckeltal, som öppna avvikelser, försenade borttagningar av behörigheter och genomförda utbildningar
- rapportera observationer till ledningen minst 1–2 gånger per år
- säkerställ att korrigerande åtgärder avslutas med bevis, inte på antaganden
Till exempel kan en liten men fungerande nyckeltalsuppsättning se ut så här:
| Nyckeltal | Mål | Uppföljningsfrekvens |
|---|---|---|
| Borttagning av behörigheter i tid | 95 % inom 24 timmar | Månadsvis |
| Hantering av hög risk-avvikelser | 100 % inom 7 dagar | Månadsvis |
| Genomförandegrad obligatorisk säkerhetsutbildning | 98 % inom 30 dagar | Kvartalsvis |
| Öppna revisionsavvikelser | 0 kritiska, övriga inom överenskommen tid | Månadsvis |
När nyckeltalen syns blir revisionen från efterhandskontroll till proaktiv styrning. Det är just den punkt där ISO 27001 börjar skapa affärsvärde.
Sammanfattning
- ISO 27001-revision jämför krav, egna rutiner och vardagens genomförande med varandra.
- Börja med 3–5 viktigaste riskområden, som behörigheter, avvikelser och backup.
- Samla alltid verifierbara bevis: utöver dokument också loggar, ärenden, intervjuer och stickprov.
- Dokumentera observationer noggrant och utse för varje korrigerande åtgärd ansvarig och tidsfrist, till exempel 30–90 dagar.
- Gör revision till ett kontinuerligt arbetssätt med årsplan och tydliga nyckeltal, inte bara för certifiering.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.