ISO 27001 bliver ofte solgt som “et certifikat”. I praksis er det et styringssystem, der skal kunne overleve en hverdag med ændringer, nye medarbejdere, leverandører, kundekrav og uundgåelige sikkerhedshændelser. Hvis du gør det rigtigt, får du bedre kontrol over risiko og drift. Hvis du gør det forkert, får du et dokumentbibliotek ingen læser, og en audit der føles som en offentlig ydmygelse.
Hvis du vil have et realistisk forløb, hvor du prioriterer drift frem for papir, så tænk i én ting: evidens. Auditoren vil se, at I arbejder systematisk med informationssikkerhed. Ikke at I kan producere 47 politikker.
Hvis du vil have et overblik over, hvad en ISO 27001-certificering typisk indebærer, giver det mening at starte der og bruge det som reference for, hvad du faktisk skal kunne dokumentere og vise i praksis.
Nedenfor får du en step-by-step tilgang fra gap-analyse til audit, med minimum brugbar dokumentation, implementering i drift, awareness og audit-forberedelse. Fokus er operationel sikkerhed. Ikke papirproduktion.
1) Start rigtigt: afgræns scope, før du afgrænser dokumenter
Den største fejl i ISO 27001-projekter er at scope bliver “hele virksomheden”, fordi det lyder pænt. Det bliver også dyrt, langsomt og upræcist.
Et skarpt scope gør tre ting:
- det reducerer mængden af kontroller, der skal håndteres her og nu
- det gør risikovurdering og evidens mere realistisk
- det gør audit mere kontrollerbar
Scope bør typisk defineres ud fra:
- hvilke produkter/services I leverer
- hvilke systemer og data der er kritiske
- hvilke teams/processer der faktisk påvirker sikkerhed (IT, dev, support, HR, procurement osv.)
Pro tip: Hvis I ikke kan forklare jeres scope på 30 sekunder, er det for bredt.
2) Gap-analyse: find “hullerne”, men mål dem ikke ihjel
En gap-analyse er ikke et excelark med 300 linjer. Den er et beslutningsgrundlag.
Målet er at svare på:
- Hvad har vi allerede (processer, værktøjer, kontrolmiljø)?
- Hvad mangler vi for at leve op til ISO 27001-kravene?
- Hvad er “must-have” før audit, og hvad kan komme bagefter?
Byg gap-analysen på tre niveauer:
- Governance: ledelse, roller, politikker, risikostyring
- Kontroller: adgang, logging, backup, ændringer, leverandører, incident mgmt
- Evidens: kan vi vise, at vi gør det?
Det sidste punkt er det vigtigste. En procedure uden evidens er bare prosa.
3) Minimum brugbar dokumentation: det du faktisk skal bruge
ISO 27001 kræver dokumentation, men standarden siger ikke, at du skal drukne i den. Du skal have det, der understøtter styring, ansvar og gentagelighed.
Her er en pragmatisk “minimumspakke”, som i langt de fleste organisationer er nok til at komme sikkert til audit (hvis den også bliver brugt):
Grunddokumenter (styring)
- ISMS scope og kontekst (hvad er inde/ude og hvorfor)
- Informationssikkerhedspolitik (kort, konkret, ledelsesforankret)
- Metode for risikovurdering (hvordan I vurderer og prioriterer risiko)
- Risikovurdering + risikobehandlingsplan (hvad I gør ved risikoen)
- Statement of Applicability (SoA): hvilke kontroller I har valgt, og hvorfor
Procesdokumenter (drift)
- Incident management (hvordan I håndterer hændelser og lærer af dem)
- Adgangsstyring (brugere, privilegier, offboarding, MFA)
- Asset inventory / klassifikation (hvad har I, og hvad er vigtigt)
- Change management (hvordan ændringer styres og dokumenteres)
- Backup/restore (inkl. test af restore, ellers er det teater)
- Leverandørstyring (minimum: kritiske leverandører og krav)
- Intern audit + afvigelser/korrigerende handlinger
- Management review (ledelsens faste review af ISMS)
Det ser måske stadig ud af meget, men alt her kan holdes kort. Målet er brugbarhed, ikke romaner.
4) Implementering i drift: gør ISO til en del af hverdagen
Her kommer forskellen på organisationer, der klarer audit, og dem der får panik i sidste uge.
Du skal have en “driftsmotor”, hvor sikkerhed bliver noget man gør, ikke noget man skriver.
Byg det ind i de systemer I allerede bruger:
- Tickets til change requests, adgangsændringer og incidents
- IAM/SSO til identiteter og adgang
- MDM til endpoint-kontrol
- Logning/monitorering (SIEM-light er ofte fint i starten)
- Onboarding/offboarding flows i HR/IT
Evidens skal skabes automatisk eller som biprodukt:
- adgangsgodkendelser ligger som tickets
- change approvals ligger i deploy pipeline eller change board
- incident postmortems ligger i jeres wiki/ticket system
- backup job reports ligger i backup-systemet
Hvis evidens kræver manuelle “ISO-ritualer”, holder det ikke i drift.
5) Kontroller: vælg de rigtige slag at kæmpe først
ISO 27001 handler om risikobaserede kontroller. Det betyder ikke “implementér alt”. Det betyder: implementér det, der reducerer jeres største reelle risici.
Typisk højt afkast tidligt:
- MFA overalt (især admin og SaaS)
- least privilege og review af privilegerede konti
- patching og endpoint management
- backup + restore-test
- logging på kritiske systemer
- leverandørstyring (hvem har jeres data, og på hvilke vilkår)
Hvis du skal prioritere benhårdt:
Adgang + backup + leverandører + incident flow. Det er dér, mange falder.
6) Awareness og workshops: stop med generiske e-læringer
Awareness er ofte “vi sender et kursuslink”. Auditoren køber ikke den slags som modenhed, og medarbejderne gør i hvert fald ikke.
Gør det i stedet:
- 30–45 min workshop pr. team (dev, support, salg, ledelse)
- 3 konkrete scenarier pr. team: hvad gør I, når X sker?
- enkel “do’s and don’ts” checkliste til hver rolle
- onboarding-pakke med 10-min sikkerhedsrutiner (MFA, password manager, datahåndtering)
Det, der virker: korte, konkrete sessions, der knytter sikkerhed til deres faktiske arbejde.
Det, der ikke virker: “sikkerhed er vigtigt”-slides og quizzer.
7) Intern audit: kør en tørtræning, før den rigtige forestilling
Intern audit er din chance for at finde svagheder uden at betale for dem i ekstern audit.
Hold den enkel:
- auditér de vigtigste processer først (adgang, changes, incidents, leverandører)
- udtag stikprøver (5–10 cases pr. område)
- dokumentér afvigelser og lav korrigerende handlinger med ansvar og deadline
En intern audit uden stikprøver er kosmetik. Auditoren vil se “vi kontrollerer os selv med samme logik, som vi bliver kontrolleret med”.
8) Management review: ledelsen skal faktisk mene det
Ledelsesreview er ikke en formalitet. Det er beviset for, at ISMS lever på ledelsesniveau.
Et brugbart management review bør dække:
- status på risici og ændringer i risikobilledet
- hændelser og læring
- performance på kontroller (fx MFA-coverage, patch compliance, restore-test)
- ressourcer og forbedringsplan
Hold det på 60 minutter kvartalsvist. Hellere kort og fast end langt og sjældent.
9) Audit-forberedelse: “show, don’t tell” (og lad være med at improvisere)
ISO-audit falder sjældent på manglende dokumenter. Den falder på manglende evidens eller uens praksis.
Lav en auditpakke:
- Scope, policy, risk method, risk assessment, SoA
- liste over kritiske leverandører + kontraktkrav/risici
- stikprøvepakke: 5 adgangscases, 5 changes, 3 incidents (eller “near misses”), 2 restore-tests
- træningslog: hvem har fået hvilken træning, hvornår
- intern audit + corrective actions
Forbered interviews:
- ISMS owner (kan forklare systemet og beslutninger)
- IT/security (kan vise kontroller og evidens)
- en team lead (kan forklare, hvordan det virker i praksis)
Regel: Hvis noget kun findes som “vi gør det normalt”, så findes det ikke.
Typiske faldgruber (så du kan undgå dem uden at lære det på den dyre måde)
- For bredt scope: alt bliver tungt og langsomt
- Template-overload: flotte dokumenter uden drift
- Ingen evidens: politikker uden cases og logs
- Leverandører ignoreres: især SaaS og hosting
- Awareness bliver teater: ingen effekt, ingen adfærdsændring
- Audit for sent i planen: I opdager mangler for sent til at rette dem ordentligt
En realistisk tidsplan (uden powerpoints og ønsketænkning)
Det afhænger af modenhed, scope og ressourcer, men en realistisk ramme for mange virksomheder er:
- 0–2 uger: scope + gap-analyse + plan
- 2–8 uger: risikovurdering + minimumsdokumentation + implementering af de vigtigste kontroller
- 8–12 uger: evidensopsamling + awareness + intern audit + management review
- Derefter: stage 1 + stage 2 audit, når drift og evidens er stabil
Hvis I har styr på drift i forvejen, kan det gå hurtigere. Hvis I starter fra “vi har intet”, tager det længere. Overraskende nok.
Når du skal over målstregen
ISO 27001 giver mest værdi, når det bliver et driftsværktøj: en måde at træffe bedre beslutninger om risiko, og en måde at bevise over for kunder, at I har kontrol.
Hvis du holder dokumentation kort, binder evidens til eksisterende systemer og kører intern audit som en reel stikprøveøvelse, så kan du komme fra gap-analyse til audit uden at drukne.
Og så kan du bruge tiden på at drive forretning, i stedet for at opdrage et Word-dokumentarkiv.
About the Author
