ISO 27001-sjekkliste for norske SMB-er
En praktisk sjekkliste som tar et norsk SMB-foretak fra "vi burde bli sertifisert" til en bestått trinn 2-revisjon.
Slik kommer et norsk SMB-foretak til ISO 27001-sertifisering første gang, steg for steg.
ISO 27001 er den internasjonale standarden for å drive et styringssystem for informasjonssikkerhet, et ISMS. Systemet samler rutinene, beslutningene og dokumentasjonen som viser at dere styrer sikkerheten med vilje, ikke ved flaks. Denne sjekklista er for IT-lederen eller den compliance-ansvarlige som skal få det til. Gjeldende utgave er ISO/IEC 27001:2022, og den gamle 2013-versjonen er ute: alle 2013-sertifikater måtte legges om innen 31. oktober 2025, ellers bortfalt de. Sikt mot 2022-versjonen fra dag én.
1. Skriv ned hva dere beskytter, og hvorfor
Bestem omfanget før alt annet, for det avgjør størrelsen på hele prosjektet (punkt 4).
List opp de delene av foretaket som ISMS-et dekker: hvilke tjenester, hvilke kontorer, hvilke systemer, hvilke data. Et foretak på 30 personer kan avgrense stramt, for eksempel “SaaS-plattformen vår og teamet som drifter den”, og holde kaffemaskinen utenfor. Skriv én side. Revisoren leser den først, og et uklart omfang trekker hvert senere steg videre enn nødvendig.
2. Få ledelsen til å forankre det skriftlig
ISO 27001 legger sikkerheten rett på toppledelsen, ikke på IT alene (punkt 5).
Få daglig leder til å godkjenne en kort policy for informasjonssikkerhet og navngi hvem som er ansvarlig for ISMS-et. Protokollfør beslutningen. Dette er ingen formalitet. Trinn 2-revisoren spør ledelsen hvordan de styrer sikkerheten, og “det overlater jeg til IT” blir et avvik.
3. Sett mål dere kan måle
Bestem hva som er godt nok, i tall (punkt 6).
Skriv tre eller fire sikkerhetsmål med et tall festet til hvert, for eksempel “rett kritiske sårbarheter innen 14 dager” eller “100 prosent av de ansatte fullfører sikkerhetsopplæring hvert år”. Vage ambisjoner som “bedre sikkerhet” gir revisoren ingenting å kontrollere og dere ingenting å rapportere mot.
4. Gjennomfør en risikovurdering
List opp risikoene, gi dem poeng, og bestem hva dere gjør med hver enkelt (punkt 6.1).
Lag et enkelt risikoregister: ressursen eller prosessen, hva som kan gå galt, hvor sannsynlig, hvor alvorlig, og deres beslutning (behandle, akseptere, overføre eller unngå). Et regneark holder for et lite foretak. Metoden betyr mindre enn å bruke den samme metoden hver gang, så resultatene kan sammenlignes fra år til år.
5. Velg kontrollene og skriv erklæringen om anvendelighet
Velg hvilke tiltak i vedlegg A som gjelder, og begrunn dem dere utelater (punkt 6.1.3).
Vedlegg A i ISO 27001:2022 lister 93 tiltak i fire grupper: organisatoriske (37), personrelaterte (8), fysiske (14) og teknologiske (34). Statement of Applicability, SoA, eller erklæring om anvendelighet, er dokumentet som lister alle 93, sier om hvert gjelder, og knytter hvert valgte tiltak til en risiko. Utelater dere et tiltak, skriv hvorfor. Dette er dokumentet revisorene gransker hardest, så hold det ærlig og fullstendig.
6. Gjør en gap-analyse mot ståstedet i dag
Sammenlign tiltakene dere trenger mot tiltakene dere kjører, og list opp hullene (sammensatt steg, ikke et eget punkt).
Sett tiltaket fra vedlegg A på den ene siden og praksisen dere kjører i dag på den andre. Merk hvert som på plass, delvis eller manglende. Hullene blir arbeidsplanen deres. Hos de fleste SMB-er er det tekniske grunnlaget allerede på plass, og det som mangler er dokumentasjon: en policy for tilgangsstyring, en sikkerhetsklausul mot leverandører, en loggstandard. Å tette hullene tar som regel tre til seks måneder for et lite foretak, ifølge sertifiseringsorganenes egen overgangsveiledning.
7. Sett tiltakene i drift og ta vare på bevisene
Innfør de manglende tiltakene og begynn å samle bevis på at de kjører (punkt 8).
Standarden sertifiserer det dere gjør, ikke det dere skrev. Slå på loggingen, håndhev tilgangsgjennomgangene, kjør leverandørkontrollene, og lagre dokumentasjonen: eksporter fra tilgangsgjennomganger, fullføringslister fra opplæring, hendelsessaker, endringsgodkjenninger. Vil dere teste de tekniske kontrollene mot reelle angrepsveier, kjører vi det gjennom Aikido AI Pentest, slik at funnene går rett tilbake til risikoregisteret deres.
8. Kjør en intern revisjon
Kontroller deres eget ISMS mot standarden før noen utenfra gjør det (punkt 9.2).
La noen som står uavhengig av arbeidet revidere hver del av ISMS-et og skrive ned funnene. I et lite foretak kan det være et annet teammedlem eller en ekstern gjennomgang. Det kan ikke være den som skrev det som revideres. Rett det revisjonen finner, og behold rapporten. Sertifiseringsorganet ber om å få se den.
9. Hold en ledelsens gjennomgang
Få ledelsen tilbake i rommet for å vurdere hvordan ISMS-et fungerer (punkt 9.3).
Hold et møte der ledelsen ser på revisjonsresultatene, de åpne risikoene, hendelsene og målene fra steg 3, og deretter bestemmer hva som skal endres. Protokollfør det. Dette lukker sløyfen standarden er opptatt av: ledelsen satte retning i steg 2, og her kontrollerer de at det virket.
10. Velg et akkreditert sertifiseringsorgan og bestå trinn 1
Velg et organ som er akkreditert til å sertifisere ISO 27001, og bestå dokumentgjennomgangen (trinn 1).
I Norge er Norsk akkreditering det nasjonale akkrediteringsorganet, og et akkreditert sertifiseringsorgan er det som gir sertifikatet vekt i anbud. Trinn 1 er at revisoren leser ISMS-dokumentene deres for å bekrefte at dere er klare, vanligvis én til to dager. De flagger det som mangler, så dere kan rette det før trinn 2.
11. Bestå trinn 2 og bli sertifisert
Trinn 2 er selve revisjonen: revisoren kontrollerer at ISMS-et kjører slik det er dokumentert.
Trinn 2-revisoren intervjuer folk og tar stikkprøver av bevis på tvers av tiltakene i SoA-en deres. Bestå den, lukk eventuelle avvik, og organet utsteder et sertifikat som gjelder i tre år. Ha bevisene fra steg 7 ordnet og lette å hente fram. Et ryddig bevisspor avgjør om revisjonen går knirkefritt eller blir en stressdag.
12. Hold det i live
Sertifiseringen er ikke gjort en gang for alle: dere holder ISMS-et i drift gjennom hele treårssyklusen.
Organet kjører en kortere oppfølgingsrevisjon ved slutten av år ett og år to, og en fyldigere resertifiseringsrevisjon i år tre for å starte neste syklus. Gjenta den interne revisjonen og ledelsens gjennomgang hvert år. Arbeidet som holder sertifikatet ved like er det samme arbeidet som gjorde dere sikre i utgangspunktet, så la det ikke bortfalle mellom revisjonene.
Neste steg
Ta kontakt med compliance-teamet vårt for en tilstandsanalyse før ISO 27001: en gap-analyse mot tiltakene i vedlegg A i 2022-versjonen, et utkast til erklæring om anvendelighet, og en arbeidsplan dere kan ta med til sertifiseringsorganet dere velger. Vi jobber sammen med teamet deres, så ISMS-et dere sertifiserer er ett dere kan drive på egen hånd.
FAQ
Hvor lang tid tar ISO 27001 for en SMB?
For et lite foretak som starter fra null, regn med seks til tolv måneder til første sertifisering. Å tette hullene etter en gap-analyse tar typisk tre til seks måneder alene, ifølge sertifiseringsorganenes overgangsveiledning, og så legger dere til avgrensning, intern revisjon, ledelsens gjennomgang og trinn 1- og trinn 2-revisjonene. Et foretak som allerede kjører gode kontroller og bare trenger dokumentasjonen, kan gå raskere.
Hva koster ISO 27001?
Kostnaden faller i to deler: sertifiseringsorganets revisjonshonorarer, som skalerer med antall ansatte og omfang, og deres egen interne innsats pluss eventuell konsulenthjelp til å etablere ISMS-et. Oppfølgingsrevisjonene i år ett og år to er kortere og rimeligere enn trinn 2-revisjonen. Hent tilbud fra to eller tre akkrediterte organer, for både dagspriser og måten de teller omfanget deres på varierer.
Trenger vi ISO 27001 for å vinne norske offentlige anbud?
Ofte ja i praksis, selv når loven ikke navngir den. Mange norske innkjøpere, offentlige og private, ber tilbydere vise en anerkjent sikkerhetssertifisering, og ISO 27001 fra et akkreditert organ er den de fleste innkjøpsteam godtar. Taper dere anbud på et sikkerhetsspørsmål dere ikke kan svare på, betaler sertifiseringen seg som regel inn.
Hva er forskjellen på ISO 27001 og SOC 2?
ISO 27001 sertifiserer at dere driver et styringssystem etter en standard, og sertifikatet er anerkjent over hele verden. SOC 2 er en amerikansk attestasjonsrapport, skrevet av en revisor, om hvor godt kontrollene deres møtte fastsatte kriterier over en periode. Norske og europeiske innkjøpere ber som regel om ISO 27001. Foretak som selger til amerikanske kunder trenger noen ganger SOC 2 i tillegg. De overlapper nok til at arbeid på den ene reduserer arbeidet på den andre.
Kan vi gjenbruke ISO 27001-arbeidet til NIS2?
Ja, en stor del overføres. NIS2 og den norske innlemmelsen forventer risikostyring, leverandørsikkerhet, hendelseshåndtering og lederansvar, og et ISO 27001-ISMS produserer allerede alt dette med bevis. Koble tiltakene i vedlegg A mot NIS2-pliktene, så ser dere at mesteparten av sikkerhetsarbeidet er gjort. Det som gjenstår er stort sett de bestemte fristene for hendelsesrapportering.
