Ett levande ledningssystem för informationssäkerhet
Securapilots ISMS-plattform täcker hela ISO 27001. Klausul 4–10, alla 93 Annex A-kontroller, intern revision och ledningens genomgång hänger ihop i samma system. Byggt för att klara en certifieringsrevision, och för att täcka NIS2.
Vad är ett ISMS?
Ett ledningssystem för informationssäkerhet (ISMS, eller informationssäkerhetsledningssystem) är ett strukturerat sätt att styra säkerheten utifrån risk. ISO 27001 är den internationella standarden och säger ungefär: ledningen måste vara med, ni måste arbeta med risk och kontroller, och ni måste själva revidera arbetet och göra det bättre. NIS2 ställer i praktiken samma krav på väsentliga och viktiga entiteter, även om ni inte certifierar er.
Securapilot ersätter Excel och Word med ett verktyg som håller ledningssystemet på plats, och som står sig när revisorn kommer.
Allt ett ISMS-verktyg behöver
Plattformen täcker hela ISMS-livscykeln. Inte bara dokumenten, utan kopplingarna mellan risk, kontroll och bevis.
Kontext och omfång
Definiera ISMS-omfång, intressenter, interna och externa frågor – med versionshanterade dokument.
Riskbedömning enligt ISO 27005
Riskregister med 5×5 matris, residualrisk, behandlingsplaner och godkännandeflöden.
Statement of Applicability (SoA)
Auto-genererad SoA mot ISO 27001 Annex A med motivering per kontroll och justifiering vid uteslutning.
Annex A-kontroller
Alla 93 kontroller i ISO 27001:2022 Annex A med ägare, status, bevis och granskningsperioder. ISO 27002 ger vägledningstext per kontroll.
Intern revision
Revisionsplan, fynd, avvikelser (NCs) och korrigerande åtgärder med spårbarhet.
Ledningens genomgång
Strukturerade ingångar och utgångar enligt klausul 9.3 – KPI:er, risker, åtgärder och beslut.
ISO 27001 klausul 4–10 i plattformen
Plattformen täcker hela kravstrukturen i ISO 27001:2022, inte bara Annex A.
Kontext
Organisationens kontext, intressenter och ISMS-omfång (4.1–4.4).
Ledarskap
Ledningens åtagande, policy och roller (5.1–5.3).
Planering
Riskhantering, mål och informationssäkerhetsplanering (6.1–6.3).
Stöd
Resurser, kompetens, medvetenhet och dokumenterad information (7.1–7.5).
Drift
Operativ planering, riskbedömning och riskbehandling (8.1–8.3).
Utvärdering
Övervakning, intern revision och ledningens genomgång (9.1–9.3).
Förbättring
Avvikelser, korrigerande åtgärder och kontinuerlig förbättring (10.1–10.2).
Funktioner som tar er till certifiering
Funktioner som tar säkerhetsarbetet ur dokumentpärmen.
SoA-generator
Auto-genererad Statement of Applicability mappad mot Annex A med motiveringar.
Kontrollbibliotek
Alla 93 Annex A-kontroller med ägare, status, bevis och granskningsfrekvens.
Riskmatris 5×5
Riskregister enligt ISO 27005 med inneboende och residual risk.
Audit trail
Komplett granskningslogg för varje ändring – krav från revisor uppfyllt direkt.
NIS2-mappning
Annex A-kontroller mappade mot NIS2 artikel 21 – samma kontroll, två ramverk.
Intern revision
Revisionsplan, checklist, fynd och avvikelser med uppföljning.
Ledningens genomgång
Mallar för klausul 9.3 med KPI:er och beslutsstöd för ledningen.
AI-policygenerator
AI föreslår policytext baserat på organisationskontext och tillämpade kontroller.
Vanliga frågor om ISMS-plattformar
Vad är ett ISMS?
Ett ISMS (Information Security Management System / ledningssystem för informationssäkerhet) är ett strukturerat sätt att styra informationssäkerhet baserat på risk. ISO 27001 definierar kraven – ledningens engagemang, riskhantering, kontroller, intern revision och kontinuerlig förbättring. Ett ISMS är inte ett dokument utan ett levande system.
Vad är skillnaden mellan ISO 27001 och ett ISMS?
ISO 27001 är standarden som beskriver kraven på ett ledningssystem för informationssäkerhet. ISMS är själva systemet ni bygger för att uppfylla kraven. Certifiering enligt ISO 27001 innebär att en ackrediterad revisor bekräftar att ert ledningssystem uppfyller standardens krav.
Hur lång tid tar det att bygga ett ISMS?
Med startmallar och ett samlat verktyg kommer organisationer i regel igång med ISMS på 2–4 veckor och kan vara certifieringsredo på 6–12 månader. Den största variabeln är ledningens engagemang och tillgång till data om tillgångar och processer. Vanligen är det en CISO eller säkerhetschef som driver arbetet med stöd från IT, juridik och process-ägare.
Behöver vi certifiering enligt ISO 27001 för att uppfylla NIS2?
Nej. NIS2 kräver inte ISO 27001-certifiering men kräver i praktiken motsvarande struktur. Många väljer ISO 27001 som ramverk för NIS2-efterlevnad eftersom kontrollerna täcker NIS2 artikel 21 till stor del.
Vad är Statement of Applicability (SoA)?
SoA är ett centralt dokument i ISO 27001 där varje Annex A-kontroll ska tas ställning till: är den tillämplig, om inte – varför inte, och hur är den implementerad. Securapilot genererar SoA automatiskt från ert ISMS-arbete.
Hur stödjer plattformen ledningens genomgång?
Plattformen levererar färdiga ingångar till klausul 9.3 – status på risker, kontrollers efterlevnad, KPI:er, fynd från revision och uppföljning av åtgärder – så ledningens genomgång blir beslutsstödjande, inte ett dokumentmöte.
Bygg ert ISMS systematiskt
Boka en demo så går vi igenom var ert ISMS-arbete står idag, och vad nästa steg mot ISO 27001 blir.