Många små och medelstora företag tror att ISO 27001 bara är relevant för stora bolag, myndigheter eller koncerner med stora säkerhetsavdelningar. Det stämmer inte.
ISO 27001 är en generell standard för ledningssystem för informationssäkerhet. Den kan användas av organisationer i olika storlekar, branscher och tekniska miljöer. Det viktiga är att arbetet anpassas efter verksamhetens faktiska risker, behov och omfattning.
För en mindre organisation handlar ISO 27001 inte om att bygga ett tungt system med onödigt många dokument. Det handlar om att skapa kontroll över information, risker, ansvar, rutiner och uppföljning på ett sätt som fungerar i vardagen.
| Passar mindre organisationer ISO 27001 kan användas av både små och stora organisationer. Det viktiga är att scope, dokumentation och arbetssätt anpassas efter verksamhetens faktiska behov. |
Behöver inte bli tungt För små och medelstora företag handlar det inte om mängden dokument, utan om att skapa tydlig struktur för risker, ansvar, rutiner och uppföljning. |
| Nyckeln är scope Ett tydligt och rimligt scope gör projektet mer hanterbart, minskar komplexiteten och gör det lättare att komma vidare mot en eventuell ISO 27001-certifiering. |
Praktiskt införande Ecowise hjälper små och medelstora företag att införa ISO 27001 på ett proportionerligt sätt, med fokus på vad som faktiskt krävs och fungerar i vardagen. |
| Vill ni veta om ISO 27001 är rimligt för er organisation? Kontakta Ecowise så hjälper vi er att ta reda på var ni står idag och vilken väg som är mest rimlig framåt. Kontakta oss |
|
Är ISO 27001 rimligt för en liten organisation?
Ja, ISO 27001 kan absolut vara rimligt för en liten organisation. Men det kräver att arbetet avgränsas rätt från början.
En väldefinierad ISO 27001-certifiering för 20 personer kan vara betydligt enklare att genomföra än ett otydligt projekt för 500 personer. Det är inte bara antalet anställda som avgör omfattningen. Det handlar minst lika mycket om hur väl verksamheten är avgränsad, hur komplex IT-miljön är, hur många leverantörer som är inblandade och hur moget säkerhetsarbetet redan är.
För små och medelstora företag kan ISO 27001 vara särskilt värdefullt när:
- Kunder börjar ställa krav på informationssäkerhet
- Ni vill delta i upphandlingar
- Ni hanterar personuppgifter, kunddata eller affärskritisk information
- Ni säljer till större bolag eller offentlig sektor
- Ni driver en SaaS-tjänst eller digital plattform
- Ni vill skapa mer ordning i riskhantering, dokumentation och ansvar
- Ni vill stärka förtroendet hos kunder och partners
ISO 27001 behöver alltså inte vara för stort för en mindre organisation. Men projektet behöver läggas upp på rätt sätt. Om scopet blir för brett kan projektet snabbt bli större, dyrare och mer tidskrävande än nödvändigt.
För en mindre organisation är det därför särskilt viktigt att börja med frågan: vilka delar av verksamheten behöver faktiskt omfattas?
Ett scope kan till exempel avgränsas utifrån:
| Tjänst eller verksamhetsdel Scope kan avgränsas till en viss tjänst, en specifik verksamhetsdel, ett kontor eller ett särskilt leveransområde. |
Produkt eller plattform För SaaS-bolag eller digitala verksamheter kan scope exempelvis avgränsas till en produkt, plattform eller teknisk miljö. |
| Kunduppdrag eller leverans Scope kan kopplas till ett kunduppdrag, en viss typ av leverans eller de processer som krävs för att möta kundkrav. |
Känslig eller affärskritisk information Ett scope kan också fokusera på de processer där känslig, reglerad eller affärskritisk information hanteras. |
| Fördelen med ett tydligt scope Ett smalare och tydligare scope kan ge kortare projekttid, lägre kostnad och färre revisionsdagar. Det gör också ledningssystemet lättare att förankra i organisationen. |
|
Vad behöver finnas på plats?
För att arbeta enligt ISO 27001 behöver organisationen ha ett ledningssystem för informationssäkerhet. Det betyder att det ska finnas struktur för hur informationssäkerheten styrs, riskbedöms, dokumenteras, följs upp och förbättras.
För en liten eller medelstor organisation bör arbetet vara proportionerligt. Dokumentationen ska vara tillräcklig för att styra och visa hur ni arbetar, men inte så omfattande att den blir svår att använda.
Några centrala delar behöver vanligtvis finnas på plats:
Informationssäkerhetspolicy
En informationssäkerhetspolicy beskriver organisationens övergripande riktning och ambition. Den visar vad ledningen vill uppnå, varför informationssäkerhet är viktigt och vilka principer som gäller.
Policyn behöver vara beslutad, kommunicerad och begriplig. Den ska inte bara vara ett dokument som sparas i en mapp, utan ge stöd för hur organisationen arbetar.
Scope för ledningssystemet
Ni behöver definiera vad ledningssystemet omfattar. Det kan vara hela organisationen eller en avgränsad del av verksamheten. För mindre företag är scope ofta den viktigaste frågan. Ett genomtänkt scope gör det lättare att avgöra vilka risker, processer, system, leverantörer och dokument som ska ingå.
Riskbedömning
Riskbedömningen är en central del av ISO 27001. Ni behöver identifiera vilka informationstillgångar som är viktiga, vilka hot och sårbarheter som finns och vilka konsekvenser olika händelser kan få. Det behöver inte vara komplicerat, men det behöver vara metodiskt. Ni behöver kunna visa hur risker bedöms, vem som ansvarar för dem och vilka åtgärder som beslutas.
Riskbehandling och åtgärder
När riskerna är identifierade behöver ni bestämma hur de ska hanteras. Vissa risker kan accepteras. Andra behöver minskas genom tekniska, organisatoriska eller avtalsmässiga åtgärder.
Det viktiga är att besluten dokumenteras och följs upp.
Statement of Applicability, SoA
Statement of Applicability, ofta kallat SoA, är dokumentet där ni visar vilka säkerhetskontroller som är relevanta för er organisation.
SoA kopplar ihop riskbedömningen med kontrollvalet. Det visar vilka kontroller som är tillämpliga, varför de behövs, hur de hanteras och om några kontroller har valts bort.
Centrala rutiner
Ni behöver normalt ha några centrala rutiner som stödjer informationssäkerhetsarbetet. Exakt vilka som behövs beror på verksamheten.
För en mindre organisation är det ofta bättre med färre och tydligare dokument än många detaljerade dokument som ingen använder.
Internrevision
Internrevisionen är organisationens egen kontroll av att ledningssystemet fungerar. Den visar om rutiner följs, om risker hanteras och om det finns brister som behöver åtgärdas.
Även mindre organisationer behöver göra internrevision om de vill certifiera sig. Den behöver inte vara onödigt omfattande, men den behöver vara planerad, dokumenterad och oberoende i den mån det är möjligt.
Ledningens genomgång
Ledningens genomgång innebär att ledningen följer upp hur ledningssystemet fungerar. Här går man igenom resultat, risker, incidenter, revisioner, mål, avvikelser och förbättringsbehov.
För mindre företag är detta ofta en av de mest värdefulla delarna. Det gör informationssäkerheten till en ledningsfråga och inte bara en teknisk eller administrativ fråga.
Mål och uppföljning
Organisationen behöver sätta mål och följa upp informationssäkerhetsarbetet. Målen kan vara enkla, men de ska vara relevanta. Exempel kan vara genomförda riskåtgärder, utbildningsgrad, uppföljning av leverantörer, incidenthantering eller genomförd internrevision.
Exempel på centrala rutiner:
- Rutin för riskhantering
- Rutin för incidenthantering
- Rutin för dokumentstyrning
- Rutin för behörighetshantering
- Rutin för leverantörsbedömning
- Rutin för avvikelsehantering
- Rutin för internrevision
- Rutin för ledningens genomgång
Hur mycket dokumentation behövs?
En vanlig oro hos små och medelstora företag är att ISO 27001 ska leda till stora mängder dokumentation. Det behöver inte bli så.
ISO 27001 kräver dokumenterad information där det behövs för att styra, visa och följa upp ledningssystemet. Men dokumentationen ska vara proportionerlig.
För en mindre organisation bör dokumentationen vara:
| Tydlig och kortfattad Dokumenten ska vara enkla att förstå och möjliga att använda i vardagen. Det är bättre med tydliga dokument än långa texter som ingen följer. |
Användbar och kopplad till arbetssätt Dokumentationen ska spegla hur ni faktiskt arbetar, inte bara finnas för revisionens skull. |
| Versionsstyrd och beslutad Det ska vara tydligt vilken version som gäller, vem som ansvarar för dokumentet och när det har beslutats eller uppdaterats. |
Lätt att hitta Dokument som är svåra att hitta blir sällan använda. Därför behöver dokumentationen vara samlad och tillgänglig för rätt personer. |
| Lagom omfattning Det är bättre att ha ett mindre antal dokument som används på riktigt än ett stort dokumentpaket som bara finns för revisionens skull. |
|
Ecowise hjälper er att ta fram dokumentation som är anpassad efter organisationens storlek och behov. Målet är inte att göra ISO 27001 större än nödvändigt. Målet är att skapa ett fungerande ledningssystem som håller över tid.
Vanliga misstag mindre bolag gör
Mindre organisationer kan ofta arbeta snabbt och effektivt med ISO 27001, men det finns några vanliga fallgropar som kan göra projektet onödigt tungt.
För mycket dokumentation
Många tror att ISO 27001 handlar om att skapa så många dokument som möjligt. Det gör det inte. För mycket dokumentation kan skapa merarbete, otydlighet och låg efterlevnad. Om rutinerna blir för omfattande är risken stor att de inte används.
Ecowise hjälper er att skapa ett dokumentpaket som är tillräckligt, praktiskt och möjligt att hålla uppdaterat.
Svag riskbedömning
Riskbedömningen är en av de viktigaste delarna i ISO 27001. Mindre organisationer kan ibland göra den för ytlig, för teknisk eller för osammanhängande. En bra riskbedömning behöver vara begriplig, spårbar och kopplad till verksamhetens informationstillgångar. Den ska visa varför vissa åtgärder prioriteras och hur risker följs upp.
Ecowise hjälper er att ta fram en riskmetod som är tillräckligt robust men inte onödigt komplicerad.
Policyer som inte används
En informationssäkerhetspolicy har inget värde om den inte är känd, förstådd och kopplad till vardagens arbetssätt.
Ett vanligt misstag är att ta fram policyer och rutiner som ser bra ut på papper men som inte påverkar hur organisationen arbetar.
Ecowise hjälper er att koppla dokumentationen till verkliga processer, ansvar och uppföljning.
Att vänta för länge med ledningens involvering
I mindre företag är ledningen ofta nära verksamheten, men det betyder inte alltid att informationssäkerheten hanteras strukturerat på ledningsnivå.
ISO 27001 kräver att ledningen är involverad. Det gäller ansvar, mål, resurser, risker och uppföljning.
Ecowise hjälper er att skapa en enkel men tydlig struktur för ledningens genomgång och beslut.
ISO 27001 och befintliga ledningssystem
Många små och medelstora företag har redan någon form av ledningssystem, till exempel ISO 9001 för kvalitet eller ISO 14001 för miljö.
I sådana fall behöver ISO 27001 inte byggas helt separat. Tvärtom kan flera delar ofta samordnas.
Exempel på områden som kan integreras är:
Styrning och uppföljning
- Dokumentstyrning
- Internrevision
- Ledningens genomgång
- Mål och mätetal
Arbetssätt och ansvar
- Avvikelsehantering
- Förbättringsarbete
- Roller och ansvar
- Leverantörsuppföljning
Fördelen med integration
Genom att bygga vidare på befintliga ledningssystem kan införandet bli mer effektivt och dubbelarbete minska. Ecowise hjälper er att bygga in informationssäkerheten i befintliga strukturer i stället för att skapa ett parallellt system.
Spineweb som stöd för mindre organisationer
För mindre organisationer är det extra viktigt att ledningssystemet är enkelt att underhålla. Om risker, dokument, incidenter, leverantörer och mål ligger utspridda i olika filer och mappar blir arbetet snabbt svårt att följa upp.
Med Spineweb kan ni samla centrala delar av ISO 27001-arbetet på ett ställe.
| Riskhantering Samla risker, riskägare, åtgärder och uppföljning i en tydlig struktur. |
Dokumenthantering Håll ordning på policyer, rutiner, versioner, ansvar och godkännanden. |
| Leverantörsuppföljning Dokumentera leverantörer, krav, risker och uppföljning kopplat till externa parter. |
Lagbevakning Samla och följ upp lagkrav, kundkrav, branschkrav och andra bindande krav. |
| Mål och mätetal Följ upp informationssäkerhetsmål, åtgärder, revisioner, incidenter och förbättringsarbete. |
Ärendehantering och incidenter Registrera, hantera och följa upp incidenter, avvikelser och korrigerande åtgärder. |
Det gör det lättare att hålla ordning, följa upp ansvar och visa evidens vid internrevision, kundgranskning eller certifiering.
För små och medelstora företag kan detta vara särskilt värdefullt eftersom det minskar beroendet av manuella listor, spridda dokument och personberoende arbetssätt.
Se hur Spineweb kan stötta ert arbete
Hur Ecowise hjälper små och medelstora företag med ISO 27001
Ecowise hjälper er att införa ISO 27001 på ett sätt som passar er organisation. Vi anpassar arbetet efter er storlek, era risker, era resurser och era mål.
Vi kan bland annat hjälpa er med:
- Gap-analys
- Scope och projektplan
- Riskbedömning och informationsklassning
- Statement of Applicability
- Policyer och rutiner
- Dokumentstyrning
- Leverantörsuppföljning
- Incidenthantering
- Internrevision
- Ledningens genomgång
- Förberedelse inför ISO 27001-certifiering
- Implementering i Spineweb
Målet är att skapa ett ledningssystem som är tillräckligt robust för att möta kraven i ISO 27001, men tillräckligt praktiskt för att fungera i en mindre organisation.
Vanliga frågor om ISO 27001 för småföretag
Är ISO 27001 bara för stora företag?
Kan ett litet företag bli ISO 27001-certifierat?
Vad kostar ISO 27001 för en liten organisation?
Hur lång tid tar ISO 27001 för ett mindre företag?
Hur mycket dokumentation krävs?
Måste alla i företaget omfattas av certifieringen?
Behöver vi en heltidsanställd informationssäkerhetsansvarig?
Vill ni veta om ISO 27001 är rimligt för er organisation?
ISO 27001 behöver inte vara för stort eller för tungt för små och medelstora företag. Med rätt scope, lagom dokumentation och en tydlig projektplan kan standarden bli ett praktiskt stöd för att stärka informationssäkerheten och skapa förtroende hos kunder och partners.
Ecowise hjälper er att förstå vad som krävs, vad ni redan har på plats och vilken väg som är rimlig framåt.
Kontakta Ecowise så hjälper vi er att ta reda på om ISO 27001-certifiering är rätt nästa steg för er organisation.