Virksomhed, Sundhed & Forebyggelse

Hvad indebærer en ISO 27001-certificering i praksis?

S
sundtfirma.dk
Redaktør, Sundt Firma
 · 17. marts 2026 · 10 min læsning

Hvis du overvejer ISO 27001, er det sandsynligvis fordi kunder, bestyrelse eller compliance-krav har gjort informationssikkerhed til mere end “IT-afdelingens problem”. Men hvad indebærer en certificering egentlig i praksis — og hvad skal du som virksomhed være forberedt på?

I denne artikel får du en konkret, trin-for-trin forklaring af, hvad en ISO 27001-certificering typisk kræver: hvordan et ISMS bygges, hvordan risikovurdering gennemføres, hvilken dokumentation auditor forventer, og hvordan løbende forbedringer bliver en del af driften. Undervejs får du typiske faldgruber, realistiske eksempler og håndgribelige takeaways, så du kan vurdere, om I er klar til at gå i gang.

Hvad er ISO 27001 — og hvorfor betyder den noget?

ISO 27001 er en international standard for ledelsessystem for informationssikkerhed (ISMS), der hjælper virksomheden med at styre risici for fortrolighed, integritet og tilgængelighed af information. Kort sagt: det er en struktureret metode til at sikre, at I kan dokumentere og styre informationssikkerhed på tværs af mennesker, processer og teknologi.

For mange virksomheder er værdien todelt: Dels reducerer I reelle risici (fx datalæk, driftstop, leverandørsvigt), dels gør I det lettere at svare på kunders og myndigheders krav. I praksis ser jeg ofte, at ISO 27001 bliver “sproget”, der gør det muligt at diskutere sikkerhed konkret med indkøb, jura, IT og ledelse på samme tid.

Mini-konklusion: ISO 27001 handler ikke om perfekte systemer, men om dokumenteret styring af risici og kontinuerlig forbedring.

Hvad betyder “certificering” konkret?

En certificering betyder, at en uafhængig certificeringsinstans auditerer jeres ISMS og vurderer, om det opfylder ISO 27001-kravene. Typisk er processen delt i to audit-faser: Stage 1 (dokumentgennemgang og readiness) og Stage 2 (verifikation af implementering i praksis). Består I, får I et certifikat, som skal vedligeholdes via løbende overvågningsaudits (ofte årligt) og recertificering (ofte hvert tredje år).

Stage 1: Er jeres ledelsessystem “bygget rigtigt”?

I Stage 1 ser auditor især på, om grundpillerne er på plads: scope, politikker, risikometode, Statement of Applicability (SoA) og om I har en realistisk plan for drift og intern audit. Mange undervurderer denne fase, men den er afgørende, fordi den afslører huller, før I skal bevise drift i Stage 2.

Stage 2: Lever ISMS i virkeligheden?

Stage 2 handler om evidens. Auditor vil se, at kontroller ikke bare er besluttet, men faktisk udføres. Det kan være alt fra onboarding af medarbejdere, ændringsstyring og log-review til leverandøropfølgning og håndtering af sikkerhedshændelser. Her falder virksomheder ofte på manglende sporbarhed: “Vi gør det”, men kan ikke vise det.

Mini-konklusion: Certificering er en test af både jeres dokumentation og jeres daglige praksis.

ISMS: Motoren i ISO 27001 (ikke et dokumentarkiv)

ISMS står for Information Security Management System. Det er jeres samlede styringssetup: roller, ansvar, politikker, procedurer, risikostyring, kontroller, målinger og forbedringer. Et velfungerende ISMS er “let nok” til at blive brugt og “stramt nok” til at kunne auditeres.

Scope og kontekst: Hvor gælder sikkerheden?

Et typisk startpunkt er at definere scope: Hvilke forretningsområder, lokationer, systemer og processer er omfattet? I praksis er scope ofte en balance. Sætter I det for bredt, drukner I i implementering. Sætter I det for snævert, mister certificeringen værdi for kunderne eller giver “huller” i leverancen.

Et konkret eksempel: Et SaaS-selskab kan vælge at scoping dækker udvikling, drift og kundesupport for kerneplatformen, men ikke et separat R&D-labmiljø. Det kan være acceptabelt, hvis afgrænsningen er logisk, dokumenteret og ikke underminerer kundernes sikkerhed.

Roller og ansvar: Hvem ejer hvad?

ISO 27001 kræver tydelig ledelsesforankring. Det betyder ikke, at direktøren skal skrive procedurer, men at ledelsen skal kunne vise prioritering, ressourcer og beslutninger. En klassisk opsætning er en ISMS-ejer (ofte CISO, IT-chef eller compliance-ansvarlig), et tværgående sikkerhedsforum og procesansvarlige for fx HR, IT-drift og leverandørstyring.

Mini-konklusion: Et ISMS er et ledelsessystem, ikke en mappe med politikker — og det skal kunne fungere på tværs af organisationen.

Risikovurdering: Fra mavefornemmelse til metode

Risikovurdering er hjertet i ISO 27001. Standardens logik er enkel: I identificerer aktiver og risici, vurderer sandsynlighed og konsekvens, vælger kontroller, og dokumenterer begrundelserne. Nøglen er konsistens: auditor leder efter en gentagelig metode, ikke “den perfekte” risikoscore.

En pragmatisk risikomodel, der virker i audit

En typisk tilgang er en 3×3 eller 5×5 matrix (sandsynlighed x konsekvens). Det vigtige er, at I definerer skalaerne, så de kan bruges ensartet. Eksempel på konsekvensniveauer kan kobles til driftstid, økonomi og datatyper:

  • Lav: Begrænset intern påvirkning, ingen persondata, kortvarig nedetid
  • Mellem: Kundeimpact, mindre kontraktbrud, nedetid i timer
  • Høj: Brud på GDPR, væsentlig omdømmeskade, nedetid i dage

Risikoaccept og risikobehandling: Hvad gør I ved det?

Efter vurdering skal I tage stilling: reducér, overfør (fx forsikring), undgå eller acceptér. Mange overser, at risikoaccept skal være en bevidst ledelsesbeslutning, især når det gælder høj risiko. Det er her, ISO 27001 skaber værdi: Den tvinger en “reality check” mellem ambitioner og ressourcer.

Mini-konklusion: En god risikovurdering er ikke lang — den er sporbar og brugbar til beslutninger.

Kontroller, SoA og Annex A: Hvad forventes der af jer?

ISO 27001 peger på et katalog af sikkerhedskontroller i Annex A (opdateret i 2022-versionen). I skal ikke implementere dem alle. I skal vælge relevante kontroller ud fra jeres risikovurdering og dokumentere det i en Statement of Applicability (SoA): hvilke kontroller I har valgt, hvorfor, og hvordan de er implementeret.

Det er ofte her, virksomheder får brug for et mere konkret overblik over, hvad en ISO 27001-certificering kræver i praksis, fordi Annex A kan virke som en “tjekliste”, men i virkeligheden skal valgene være risikobaserede og sammenhængende.

Et praktisk eksempel: Hvis I driver et cloud-miljø, vil kontroller omkring adgangsstyring, logning, ændringsstyring og leverandørstyring typisk være centrale. Har I samtidig en supportfunktion med adgang til kundedata, bliver awareness-træning, adskillelse af roller og kontrol af privilegeret adgang hurtigt “must-haves”.

Mini-konklusion: SoA er jeres “kvittering” på, at kontroller er valgt ud fra risiko — ikke tilfældigt eller fordi “alle andre gør det”.

Dokumentation: Hvad skal der være på plads (uden at drukne i papir)?

Dokumentation er et af de mest misforståede områder. ISO 27001 kræver ikke et bestemt antal politikker, men auditor vil forvente, at I kan vise styring, konsekvens og evidens. I praksis bør dokumentationen være så enkel, at den kan vedligeholdes, også når nøglepersoner er på ferie.

De dokumenter og evidenser, auditor typisk kigger efter

Som tommelfingerregel bør I kunne fremvise følgende, tilpasset jeres scope:

  1. ISMS-scope og beskrivelse af kontekst/interessenter
  2. Informationssikkerhedspolitik og overordnede mål
  3. Risikometode, risikovurdering og risikobehandlingsplan
  4. Statement of Applicability (SoA)
  5. Procedurer/arbejdsgange for centrale kontroller (fx access, change, incident)
  6. Trænings- og awareness-evidens (deltagerlister, materiale, testresultater)
  7. Intern audit-plan, auditrapporter og opfølgning
  8. Ledelsens evaluering (management review) og beslutninger

Evidence: “Show me” slår “tell me”

Auditor spørger ofte: Hvordan ved I, at det virker? Her er eksempler på evidens, der typisk styrker jeres sag: adgangsrecertificeringer (fx kvartalsvis), ticket-historik fra ændringer, logudtræk med review-signoff, incident-registreringer og leverandørevalueringer. Hvis I kun har en procedure, men ingen spor af udførelse, bliver det et afvigelsespunkt.

Mini-konklusion: God dokumentation er dokumenteret drift — ikke lange PDF’er.

Løbende forbedringer: Sådan bliver ISO 27001 en rutine (og ikke et projekt)

ISO 27001 bygger på tanken om kontinuerlig forbedring: planlæg, udfør, tjek, forbedr. Den største forskel på virksomheder, der “består én gang”, og dem der får vedvarende værdi, er om ISMS bliver en rytme i kalenderen.

Intern audit og ledelsens evaluering

Intern audit er jeres eget kvalitetstjek. Den behøver ikke være tung, men den skal være ærlig. En effektiv praksis er at auditere 1–2 processer per kvartal, så I når hele scope i løbet af året. Ledelsens evaluering (typisk årligt eller halvårligt) skal samle resultater: status på risici, afvigelser, KPI’er, hændelser, leverandører og forbedringstiltag.

Målinger der giver mening

Undgå målinger for målingens skyld. Vælg få indikatorer, der viser om kontroller virker. Eksempler, der ofte er brugbare:

  • Andel af medarbejdere, der har gennemført awareness-træning til tiden
  • Antal kritiske sårbarheder ældre end X dage
  • Tid fra incident-opdagelse til triage
  • Andel af ændringer med godkendt risikovurdering/rollback-plan
  • Gennemførte adgangsreviews i forhold til plan

Mini-konklusion: Hvis forbedringer kan ses i få, stabile målinger, bliver ISO 27001 vedligeholdelse realistisk.

Hvad koster det — og hvor lang tid tager det?

Omkostninger og tid afhænger af modenhed, scope og branchekrav. For en mindre eller mellemstor virksomhed er det ikke ualmindeligt, at forløbet tager 3–9 måneder fra kickoff til certificering, hvis der kan afsættes tid internt. Har I allerede styr på processer, logging, adgangsstyring og leverandører, kan det gå hurtigere; starter I fra næsten nul, tager det typisk længere.

Omkostninger består ofte af tre dele: interne timer, eventuel ekstern rådgivning og certificeringsaudit. Certificeringsaudit prissættes af certificeringsorganet og afhænger blandt andet af medarbejderantal og kompleksitet. Dertil kommer løbende overvågningsaudits. Det vigtigste er at budgettere for drift: tid til intern audit, ledelsesevaluering, risikoreviews og opfølgning på afvigelser.

Mini-konklusion: Det dyreste er sjældent auditten — det er manglende tid til at implementere og dokumentere drift.

Typiske fejl og faldgruber (og hvordan I undgår dem)

De samme fejl går igen på tværs af brancher. Her er de mest almindelige, jeg ser i praksis, samt hvordan de forebygges:

  • “Papir-ISMS”: Politikker findes, men ingen efterlever dem. Løsning: byg processer ind i eksisterende værktøjer (ticketing, HR-onboarding, change management).
  • For bredt scope: I prøver at certificere alt på én gang. Løsning: start med kerneleverancen og udvid senere med klar plan.
  • Umoden risikometode: scoring ændrer sig fra gang til gang. Løsning: definér skalaer og eksempler, og hold jer til dem.
  • Manglende evidens: “Vi gør det” uden spor. Løsning: beslut hvilke artefakter der er evidens (logs, signoffs, rapporter) og gem dem konsekvent.
  • Leverandører glemmes: cloud, drift, support og SaaS-værktøjer er en del af risikobilledet. Løsning: etabler minimumskrav til leverandører og en årlig review-cyklus.
  • Underprioriteret awareness: træning bliver en engangsøvelse. Løsning: korte, gentagne indsatser og mål på gennemførsel og adfærd.

Mini-konklusion: De fleste afvigelser handler ikke om avanceret sikkerhed — de handler om konsistent udførelse og sporbarhed.

Sådan kommer I i gang: En praktisk plan for de første 30–60 dage

Når virksomheder lykkes, skyldes det ofte en realistisk plan og tydelige ejere. Her er en enkel startplan, der typisk skaber momentum uden at overkomplicere:

  1. Fastlæg scope og succes-kriterier (hvad skal certifikatet dække, og hvorfor?).
  2. Udpeg ISMS-ejer og etabler en lille styregruppe (IT, HR, jura/compliance, forretning).
  3. Vælg risikometode og gennemfør første risikovurdering (fokus på de største “top 10” risici).
  4. Lav første SoA og identificér de vigtigste kontroller, I mangler at implementere.
  5. Skab dokumentstruktur og beslut, hvad der er “evidence” (hvor gemmes det, og hvem godkender?).
  6. Planlæg intern audit og ledelsens evaluering allerede nu, så ISMS får en fast rytme.

Et godt pejlemærke er at tænke i “minimum viable ISMS”: nok til at styre de væsentligste risici og kunne vise drift. Derefter kan I udvide og modne.

Mini-konklusion: Den hurtigste vej til ISO 27001 er ikke at skrive mere — det er at beslutte scope, risici og evidens tidligt og få det ind i hverdagen.

S
sundtfirma.dk
Skribent & redaktør · Sundt Firma

Relaterede artikler