Revisjonsklar på 90 dager, ikke 9 måneder.
Gratis, ingen registrering kreves for kartleggingen.
- 01B2B SaaS- og teknologiselskaper som selger inn mot mid-market eller enterprise. Sikkerhetsspørreskjemaer blokkerer nå avtaler i stedet for å være «nice-to-have».
- 02Selskaper der kundene kontraktsmessig krever ISO 27001 eller SOC 2, vanligvis i det du passerer 50 ansatte eller får din første enterprise-kunde.
- 03Regulerte bransjer (fintech, healthtech, govtech, edtech) der ISO 27001 er en grunnleggende forventning, ikke et fortrinn.
- 04Virksomheter som forbereder seg på NIS2. ISO 27001 dekker det meste av risikostyringskravene i artikkel 21, så arbeidet overføres direkte.
- 05Enhver virksomhet som ønsker en troverdig, internasjonalt anerkjent sikkerhetsgrunnlinje med navngitte kontroller og ekstern verifisering.
Hva kreves
Klart språk, ikke juridisk sjargong. Kildehenvisninger lenker til selve regelverket.
Styringssystem for informasjonssikkerhet (ISMS)
Dokumentert omfang, sikkerhetspolicy, mål og risikometode som dekker mennesker, prosesser og teknologi. ISMS-et er ryggraden resten av standarden henger på.
ISO/IEC 27001:2022 →Risikovurdering og -behandling
Identifiser, analyser og behandle informasjonssikkerhetsrisikoer. Før en Statement of Applicability mot Annex A. Det er dokumentet revisorene bruker mest tid på.
Annex A-kontroller (93 kontroller fordelt på 4 temaer)
Organisatoriske, menneskelige, fysiske og teknologiske kontroller, valgt og begrunnet ut fra risikovurderingen din. Revisjonen i 2022 reduserte antallet fra 114 og omorganiserte temaene.
Internrevisjoner
Gjennomfør internrevisjoner med planlagte intervaller for å bekrefte at ISMS-et samsvarer med ISO 27001 og er effektivt implementert. Revisorene må være uavhengige av det de reviderer.
Ledelsens gjennomgang
Toppledelsen går gjennom ISMS-et med planlagte intervaller (typisk årlig) for å sikre egnethet, tilstrekkelighet og effektivitet. Referatene fra disse gjennomgangene er i seg selv revisjonsdokumentasjon.
Kontinuerlig forbedring
Identifiser og håndter avvik. Driv korrigerende tiltak med dokumentert årsaksanalyse og effektivitetssjekker. ISMS-et forventes å modnes år for år.
Viktige datoer
- KundedrevetDe fleste selskaper starter med ISO 27001 fordi en stor kunde krever det, vanligvis med 60–90 dagers varsel
- Måned 0–2Avviksvurdering, policyutvikling, kontrollimplementering, dokumentasjonsinnhenting
- Måned 3Trinn 1-revisjon: dokumentgjennomgang fra sertifiseringsorganet
- Måned 4–6Trinn 2-revisjon: gjennomgang av implementering på stedet eller eksternt, sertifikatutstedelse
- ÅrligOvervåkingsrevisjoner i år 1 og 2. Full resertifiseringsrevisjon hvert tredje år.
Sanksjoner
ISO 27001 har ingen bøter. Kostnaden er sertifiseringsrevisjonen, som typisk ligger på SEK 50 000–150 000 avhengig av omfang og virksomhetens størrelse.
Utover sanksjoner kan manglende etterlevelse blokkere enterprise-salgsavtaler, eksponere ledelsen personlig og utløse rapporteringspliktige hendelser under tilgrensende regelverk.
Slik hjelper Skarpix
Avviksvurdering
Skår dagens tilstand mot de 93 Annex A-kontrollene på under 10 minutter, og få en prioritert tiltaksliste.
Policy-bibliotek
Ferdige, tilpassbare policyer som dekker alle 14 obligatoriske ISMS-dokumenter. Tilpass én gang, vedlikehold over tid.
Risikoregister
Spor risikoer, behandlingsplaner, eiere, restrisiko og gjennomgangskadens i nøyaktig den formen revisorene forventer.
Dokumentasjonsinnhenting
Knytt dokumentasjon til kontroller. Hent inn automatisk fra tilkoblede systemer der det er mulig (HRIS, identitetsleverandør, sky).
Revisjonsklar rapportpakke
Generer dokumentpakken revisorene forventer med ett klikk: Statement of Applicability, ISMS-omfang, risikoregister, dokumentasjonsindeks.
Kontinuerlig overvåking
Spor kontrolleffektivitet mellom revisjoner med planlagte gjennomganger, slik at sertifiseringen ikke drifter etter at revisoren har dratt.
Klar for å se hvor du står på ISO 27001?
Ofte stilte spørsmål
ISO 27001 mot SOC 2: hvilken trenger vi?+
Europeiske kunder forventer vanligvis ISO 27001. Amerikanske kunder forventer vanligvis SOC 2. Mange selskaper tar begge fordi de underliggende kontrollene overlapper kraftig (~80 %). Skarpix kartlegger kontroller på tvers av begge rammeverk, slik at det meste av dokumentasjonen samlet for ett gjelder for det andre.
Hvor lang tid tar sertifiseringen?+
Realistisk tidslinje: 3–6 måneder for en liten SMB med rimelig eksisterende sikkerhet, 6–12 måneder hvis du starter fra null. Selve revisjonen går raskt (1–2 uker totalt). Mesteparten av tiden går med til å lukke avvik og samle dokumentasjon. Skarpix komprimerer begge faser betydelig.
Trenger vi en konsulent?+
Ikke nødvendigvis. Mange små selskaper sertifiseres med suksess ved å bruke en plattform som Skarpix kombinert med selve revisjonsoppdraget. Større eller regulerte virksomheter velger ofte en konsulent for første syklus og håndterer påfølgende sykluser internt når ISMS-et er modent.
Hva koster sertifiseringen?+
Eksklusive intern arbeidstid: omtrent SEK 50 000–150 000 for en revisjon i et lite selskap (avhengig av omfang og sertifiseringsorgan), pluss Skarpix-abonnementet. Vesentlig mindre enn konsulentledede programmer, som typisk koster 5–10× mer.
Hvordan henger ISO 27001 sammen med NIS2?+
ISO 27001-kontrollene dekker det meste av risikostyringskravene i NIS2 artikkel 21: risikostyring, hendelseshåndtering, kontinuitet i virksomheten, forsyningskjede, tilgangskontroll, kryptografi og ressursforvaltning. Du trenger fortsatt NIS2-spesifikt arbeid for tidsfrister for hendelsesrapportering, opplæring i ledelsesansvar og registrering hos nasjonal myndighet, men sikkerhetsryggraden er felles.
Kan vi sertifisere bare en del av selskapet?+
Ja. ISMS-omfanget er det du definerer det til, så lenge det er tydelig avgrenset. Mange selskaper starter med ett produkt, kundevendte systemer eller én forretningsenhet, og utvider omfanget ved resertifisering. Revisorene vil bekrefte at grensen er fornuftig og at ekskluderte systemer ikke undergraver kontrollene som er i omfang.