·Audun Martinussen

Prosessdokumentasjon for ISO 27001 informasjonssikkerhet

ISO 27001 har spesifikke krav til hvordan informasjonssikkerhetsprosesser skal dokumenteres. Her er hva sertifiseringen krever — og hvor mange feiler.

ISO 27001 er den dominerende internasjonale standarden for informasjonssikkerhets-styringssystem (ISMS). Norske selskaper som selger til offentlig sektor, til større private kunder, eller til utenlandske kunder med strenge sikkerhetskrav, finner ofte at ISO 27001-sertifisering kreves eller forventes.

ISO 27001:2022-versjonen er gjeldende per 2026. Den har omfattende krav til prosess-dokumentasjon — kanskje mer omfattende enn mange forstår når de starter sertifiseringsløpet.

Denne artikkelen oppsummerer hva sertifiseringen krever av prosess-dokumentasjon, hvor mange selskap feiler, og hvordan du bygger opp en fungerende ISMS uten å drukne i byråkrati.

Hva ISO 27001 er

ISO 27001 er en standard for hvordan en organisasjon styrer informasjonssikkerhet. Den definerer krav til et ISMS — et helhetlig system for å identifisere, vurdere, og håndtere informasjonsrisikoer.

Standarden er prosess-orientert, ikke teknisk. Det betyr at den ikke sier "du skal bruke kryptering X" — den sier "du skal ha en risikobasert tilnærming til kryptering, dokumentert med policy og kontroller".

Sertifisering gjøres av akkrediterte sertifiseringsorgan. Sertifikatet gjelder typisk tre år, med årlige overvåkings-revisjoner.

ISO 27001-strukturen

Standarden består av:

Hoveddel (klausuler 4–10)

Krav til selve ISMS:

  • Klausul 4: Konteksten. Forstå organisasjonen og interessenter.
  • Klausul 5: Lederskap. Topp-ledelsens engasjement og roller.
  • Klausul 6: Planlegging. Risikovurdering, mål, planer.
  • Klausul 7: Støtte. Ressurser, kompetanse, kommunikasjon, dokumentert informasjon.
  • Klausul 8: Drift. Operasjonell planlegging og kontroll.
  • Klausul 9: Vurdering av prestasjon. Overvåking, interne revisjoner, ledelsens gjennomgang.
  • Klausul 10: Forbedring. Avvikshåndtering og forbedring.

Anneks A — kontroller

93 kontroller (i 2022-versjonen, ned fra 114 i 2013-versjonen) gruppert i fire kategorier:

  • Organisatoriske kontroller
  • Personell-kontroller
  • Fysiske kontroller
  • Teknologi-kontroller

For sertifisering må selskapet vurdere hver av de 93 kontrollene mot egen risiko og dokumentere hvilke som er implementert (og hvorfor de eventuelt ikke er det — "applicability statement").

Dokumentasjons-krav

ISO 27001 har eksplisitte dokumentasjons-krav. Følgende være dokumentert:

  1. Omfang av ISMS — hva inkluderes og ekskluderes
  2. Informasjonssikkerhets-policy
  3. Risikovurderings-prosess
  4. Risikobehandlings-prosess
  5. Erklæring om anvendelse (Statement of Applicability)
  6. Risikobehandlings-plan
  7. Informasjonssikkerhets-mål
  8. Bevis på kompetanse
  9. Operasjonell informasjon
  10. Resultater av overvåking og måling
  11. Internrevisjons-program og resultater
  12. Resultater av ledelsens gjennomgang
  13. Bevis på avvikshåndtering

I tillegg er det ikke-obligatoriske men nyttige dokumenter som:

  • Asset-register
  • Adgangskontroll-policy
  • Klassifiserings-policy
  • Hendelseshåndterings-prosedyre
  • Business continuity-plan

Hvor mange feiler

Etter samtaler med ISO 27001-konsulenter og selskap som har vært gjennom sertifisering, ser jeg disse fellene oftest:

Felle 1: Dokumentasjon er ikke koblet til praksis

Selskap lager dokumentasjon for sertifiseringen, men daglig drift følger ikke dokumentasjonen. Det avdekkes typisk i overvåkings-revisjon år 2.

Felle 2: Risikovurdering er overflatisk

ISO 27001 krever risikobasert tilnærming. Hvis risikovurderingen er en generisk Excel med 20 standard-risikoer og ingen analyse spesifikk for virksomheten, holder det ikke ved sertifisering.

Felle 3: Asset-register er ufullstendig

Du må vite hvilke informasjons-eiendeler du har. I praksis er asset-register ofte mangelfullt — særlig for SaaS-løsninger, mobile enheter, og data hos eksterne leverandører.

Felle 4: Adgangskontroll har gaps

Provisjonering og deprovisjonering av tilganger er en av de mest sjekkede områdene. Hvis det ikke er strukturert prosess — særlig deprovisjonering av personer som har sluttet — er det en sikker non-conformity.

Felle 5: Hendelseshåndtering finnes ikke i praksis

Mange selskap har en hendelseshåndterings-policy, men ingen reell incident response. Ved revisjon spør revisor om eksempler: "Hva var siste sikkerhets-hendelse, og hvordan ble den håndtert?" Hvis du ikke kan svare, har du et problem.

Prosess-dokumentasjon i ISO 27001-kontekst

ISO 27001 forutsetter at kjerneprosessene knyttet til informasjonssikkerhet er dokumentert. Det inkluderer:

Tilgangshåndtering

  • Provisjonering ved ansettelse
  • Endring ved rollebytte
  • Deprovisjonering ved oppsigelse
  • Periodisk review av tilganger

Hendelseshåndtering

  • Identifisering og rapportering
  • Triage og klassifisering
  • Respons og inneslutning
  • Etterarbeid og lessons learned

Asset-management

  • Identifisering av eiendeler
  • Klassifisering
  • Eierskap
  • Sletting/destruksjon

Leverandør-håndtering

  • Vurdering ved onboarding
  • Kontinuerlig overvåking
  • Exit-prosess

Risikovurdering og -behandling

  • Hvordan identifiseres risiko
  • Hvordan vurderes
  • Hvordan velges behandling

For mer om kontroll- og risikoregister, se denne artikkelen.

Hvordan komme i gang

For et SMB som vil starte ISO 27001-løpet:

Måned 1–2: Gap-analyse

Vurder hvor du står mot ISO 27001-krav. Det finnes mange gratis sjekklister online, men en strukturert gap-analyse fra ekspert er typisk verdt det.

Måned 3–4: Definer omfang

Hva inkluderes i ISMS? Hele organisasjonen, eller en spesifikk del? For mange SMB-er er det smart å starte med en spesifikk del — kjernevirksomheten — og utvide senere.

Måned 5–8: Bygg policy og prosesser

Dokumenter det som mangler. Det er typisk mye, men start med det viktigste:

  • Informasjonssikkerhets-policy
  • Risikovurderings- og behandlingsprosess
  • Tilgangshåndtering
  • Hendelseshåndtering
  • Asset-management

Måned 9–10: Implementer og test

ISMS må kjøre i praksis, ikke bare på papir. Test prosessene, gjør internrevisjon, juster.

Måned 11–12: Forberedelse til revisjon

Velg sertifiseringsorgan. Gjør pre-revisjon. Rett opp non-conformities.

Måned 12–14: Stage 1 og Stage 2 revisjon

Sertifiseringsorgan gjennomfører to-stegs revisjon. Etter Stage 2 utstedes sertifikat (forutsatt at non-conformities adresseres).

Hva NorthControl bidrar med

For ISO 27001-implementering kan vi dekke prosess- og kontroll-dokumentasjons-delen — særlig BPMN av kjerne-sikkerhetsprosesser og kontrollregister. Vi er ikke en spesialisert ISO 27001-konsulent, men leveransen vår er åpen og kan brukes som grunnlag i et større sertifiserings-prosjekt.

For mer om hvordan KS-system og ISO 9001 relaterer seg, se denne artikkelen.

Hvorfor det er verdt det

Til tross for arbeidet, gir ISO 27001 reell verdi for de fleste selskap som tar det på alvor:

  1. Markedstilgang. Mange større kunder krever det.
  2. Forsikring. Lavere cyberforsikrings-premier i mange tilfeller.
  3. Modenhet. Forbedrer faktisk informasjonssikkerhet, ikke bare papirer.
  4. Strukturert tenkning. Tvinger ledelse til å vurdere informasjonsrisiko strategisk.

Det er ikke en garantert ROI, men for selskap som har informasjonssikkerhet som forretnings-kritisk, er det blant de få sertifiseringene som rettferdiggjør investeringen.

Oppsummering

ISO 27001-sertifisering er omfattende, men ikke umulig for mid-size SMB-er. Det viktigste er å starte med god prosess-dokumentasjon — det er fundamentet alle andre krav bygger på. Hvis prosessene er rotete, blir også ISMS rotete, og sertifiseringen blir vanskelig.

Beste rådet er å ikke prøve å gjøre det hele på en gang. Bygg gradvis, hold deg fokusert på det som er kritisk, og iterer.

Vil du se hvordan vi dokumenterer prosesser i praksis?

Et komplett eksempel — innkjøp-til-betaling for en 80-personers grossist — er publisert med BPMN, kontroller og risikoer.