ISO/IEC 27001:2022 · 93 kontroller

ISO 27001 – komplett guide till informationssäkerhet & ISMS

ISO/IEC 27001:2022 är världens ledande standard för ledningssystem för informationssäkerhet. Den här guiden går igenom de 93 Annex A-kontrollerna, certifieringsprocessen och hur ISO 27001 förhåller sig till NIS2, GDPR och ISO 27005.

Vad är ISO 27001?

ISO/IEC 27001 är den internationella standarden för ett ledningssystem för informationssäkerhet (ISMS). Standarden specificerar krav på att etablera, implementera, underhålla och kontinuerligt förbättra informationssäkerheten i en organisation. ISO 27001 är certifierbar, vilket innebär att ett ackrediterat tredjepartsorgan kan utfärda ett formellt certifikat efter granskning.

Den senaste versionen är ISO 27001:2022, som ersatte 2013-versionen. Huvudändringen är en omstrukturering av Annex A från 114 till 93 kontroller, grupperade i fyra teman: organisatoriska, människor, fysiska och teknologiska. Befintliga certifierade organisationer hade fram till oktober 2025 att övergå till 2022-versionen.

ISO 27001 är inte enbart en teknisk standard – kärnan är ett managementsystem som kräver att ledningen tar ansvar, att risker bedöms systematiskt och att förbättringar drivs cykliskt (Plan-Do-Check-Act). Annex A-kontrollerna är verktyg för att behandla identifierade risker; vilka kontroller som tillämpas dokumenteras i ett Statement of Applicability (SoA).

Bygg ert ISMS med Securapilot

ISO 27001 kräver ett ledningssystem för informationssäkerhet. Se hur Securapilots ISMS-plattform automatiserar klausul 4–10 och Annex A-kontroller – från första riskbedömning till certifieringsredo Statement of Applicability.

Utforska ISMS-plattformen

ISO 27001 vs NIS2 – hur hänger de ihop?

NIS2-direktivet (EU 2022/2555) implementeras i Sverige via cybersäkerhetslagen från 15 januari 2026. ISO 27001 är frivillig men ger en stark grund för NIS2-efterlevnad.

Område ISO 27001:2022 NIS2 / Cybersäkerhetslagen
Juridisk statusFrivillig standardBindande lag för väsentliga/viktiga entiteter
RiskhanteringKlausul 6.1, ISO 27005Artikel 21.1, 21.2(a)
IncidenthanteringA.5.24–A.5.28Artikel 23 (24h/72h/1 månad)
LeverantörsstyrningA.5.19–A.5.23Artikel 21.2(d)
LedningsansvarKlausul 5Artikel 20 (personligt ansvar)
SanktionerIngen direkt sanktionUpp till 10 M€ eller 2 % av omsättning

En genomtänkt ISO 27001-implementering täcker uppskattningsvis 70-80 % av NIS2-kraven – men inte allt. NIS2 ställer specifika krav på rapportering (24h-frist), supply chain-säkerhet och styrning som behöver kompletteras. Se vår detaljerade NIS2 ↔ ISO 27001-mappning.

Annex A – 93 kontroller i fyra teman

ISO 27001:2022 grupperar kontrollerna i fyra tematiska kategorier. Varje kontroll har en attribut-tag (preventiv/detekterande/korrigerande, säkerhetsegenskap, operativ kapacitet, säkerhetsdomän) som hjälper urval och prioritering.

Organisatoriska kontroller (37)

A.5.1 – A.5.37

Policyer, roller, ansvar, leverantörsstyrning, hotinformation, incidenthantering, kontinuitet och regelefterlevnad.

  • A.5.1 Policyer för informationssäkerhet
  • A.5.9 Inventering av informationstillgångar
  • A.5.19 Informationssäkerhet i leverantörsrelationer

Människor (8)

A.6.1 – A.6.8

Bakgrundskontroller, medvetenhet och utbildning, disciplinära åtgärder, ansvar efter anställning och visselblåsning.

  • A.6.3 Medvetenhet, utbildning och kompetens
  • A.6.7 Distansarbete
  • A.6.8 Rapportering av säkerhetshändelser

Fysiska kontroller (14)

A.7.1 – A.7.14

Skalskydd, åtkomstkontroll till lokaler, utrustningsskydd, kontorsmiljö och säker bortskaffande av media.

  • A.7.2 Fysisk åtkomst
  • A.7.9 Säkerhet för tillgångar utanför lokalerna
  • A.7.14 Säker bortskaffande av utrustning

Teknologiska kontroller (34)

A.8.1 – A.8.34

Åtkomstkontroll, kryptering, säker utveckling, sårbarhetshantering, logghantering, nätverkssäkerhet och säker konfiguration.

  • A.8.5 Säker autentisering (MFA)
  • A.8.16 Övervakningsaktiviteter
  • A.8.24 Användning av kryptografi

Så implementerar ni ISO 27001 – 11 steg till certifikat

Från första GAP-analys till färdigt certifikat. En typisk ISO 27001-implementering tar 6–18 månader beroende på organisationens mognad och storlek.

  1. 1

    Omfattning & kontext

    Bestäm ISMS-omfattning, intressenter och tillämpliga lagar.

  2. 2

    Ledningens åtagande

    Skriv informationssäkerhetspolicy, utse roller (CISO, ISO).

  3. 3

    Tillgångsregister

    Inventera informationstillgångar enligt A.5.9 / A.8.1.

  4. 4

    Riskbedömning

    Identifiera hot, sannolikhet, konsekvens (ISO 27005).

  5. 5

    Riskbehandling

    Välj Annex A-kontroller, dokumentera Statement of Applicability.

  6. 6

    Implementera kontroller

    Utbilda personal, inför tekniska och organisatoriska kontroller.

  7. 7

    Övervaka & mät

    KPI:er, kontinuerlig övervakning, audit-trail.

  8. 8

    Internrevision

    Oberoende intern revision (klausul 9.2).

  9. 9

    Ledningens genomgång

    Årlig genomgång enligt klausul 9.3 med åtgärdsplan.

  10. 10

    Stage 1-revision

    Dokumentationsgranskning av extern revisor.

  11. 11

    Stage 2 & certifikat

    Implementeringsgranskning, korrigeringar, certifikat utfärdas (3 år).

Vanliga frågor om ISO 27001

Vad är ISO 27001 och varför finns den?

ISO/IEC 27001 är den internationella standarden för ledningssystem för informationssäkerhet (ISMS). Standarden ger ett systematiskt ramverk för att bedöma risker, välja säkerhetsåtgärder och kontinuerligt förbättra organisationens informationssäkerhet. Den senaste versionen är ISO 27001:2022.

Är ISO 27001 obligatoriskt enligt NIS2?

Nej, ISO 27001 är frivillig. Men en ISO 27001-certifiering ger stark grund för NIS2-efterlevnad eftersom ramverken överlappar i krav kring riskhantering, incidenthantering och leverantörsstyrning. Många väsentliga och viktiga entiteter använder ISO 27001 som referensram för NIS2.

Vad är skillnaden mellan ISO 27001 och ISO 27002?

ISO 27001 är den certifierbara managementsystem-standarden – kraven på själva ledningssystemet. ISO 27002 är vägledning för hur Annex A-kontrollerna ska implementeras. Annex A i ISO 27001:2022 listar 93 kontroller; ISO 27002 förklarar varje kontroll i detalj.

Hur många kontroller har ISO 27001:2022?

ISO 27001:2022 har 93 säkerhetskontroller i Annex A, grupperade i fyra teman: organisatoriska (37), människor (8), fysiska (14) och teknologiska (34). Detta är en minskning från 114 kontroller i 2013-versionen efter omstrukturering.

Hur lång tid tar en ISO 27001-certifiering?

Typiskt 6–18 månader från start till certifikat. En GAP-analys (1–4 veckor) följs av implementeringsfas (3–9 månader), intern revision och ledningens genomgång, och slutligen en tvådelad extern certifieringsrevision (Stage 1 + Stage 2).

Vad är Statement of Applicability (SoA)?

SoA är ett centralt ISO 27001-dokument som listar alla 93 Annex A-kontroller och anger vilka som tillämpas, varför andra exkluderats samt status för varje. SoA är obligatoriskt för certifiering och är revisorns nyckeldokument vid extern revision.

Vad kostar en ISO 27001-certifiering?

För små och medelstora organisationer typiskt 150 000–500 000 SEK för själva certifieringsrevisionen plus interna kostnader för implementering. Securapilots ISMS-plattform minskar implementeringskostnaden avsevärt jämfört med konsultintensiva projekt.

Vad är skillnaden mellan ISO 27001 och SOC 2?

ISO 27001 är en internationell ISMS-standard med global certifiering. SOC 2 är ett amerikanskt auditrapport-ramverk från AICPA baserat på "Trust Services Criteria". ISO 27001 fokuserar på management-systemet; SOC 2 på operativa kontroller. Många bolag har båda för olika marknader.

Redo att börja er ISO 27001-resa?

Gör en kostnadsfri GAP-analys mot ISO 27001 och få en konkret åtgärdsplan – eller boka en demo av Securapilots ISMS-plattform.

Vi använder anonym statistik utan cookies för att förbättra webbplatsen. Läs mer