ISO 27001

ISO 27001-sertifisering — Fra forberedelse til sertifisering

Rating: 5
Author: Jenny Boman

ISO 27001-sertifisering er stadig oftere et krav fra kunder, partnere og regulatorer. Opsio tar deg hele veien — fra gapanalyse gjennom ISMS-implementering og internrevisjon til vellykket ekstern sertifiseringsrevisjon.

Få en ISO 27001-vurdering Se hva som er inkludert

Over 100 organisasjoner i 6 land stoler på oss

ISO 27001

Spesialist

50+

Sertifiseringer

100 %

Bestått første gang

ISMS

Implementering

ISO 27001

ISO 27002

ISO 27017

ISO 27018

NIS2

SOC 2

Hva er ISO 27001-sertifisering?

ISO 27001-sertifisering bekrefter at en virksomhet har implementert et systematisk informasjonssikkerhetsstyringssystem (ISMS) som oppfyller internasjonalt anerkjente krav for å beskytte informasjonsaktiva.

Veien til ISO 27001-sertifisering

ISO 27001 er den internasjonale standarden for informasjonssikkerhetsstyring og det mest anerkjente beviset på at en virksomhet tar sikkerhet på alvor. For norske virksomheter er ISO 27001-sertifisering i økende grad et krav i anbudsprosesser, partneravtaler og kundekontrakter. NIS2-direktivet anerkjenner ISO 27001 som relevant referanseramme, og Datatilsynet ser positivt på sertifisering som dokumentasjon på systematisk sikkerhetsstyring. Opsios ISO 27001-sertifiseringstjenester dekker hele prosessen: gapanalyse mot ISO 27001:2022-kravene, ISMS-design og -implementering, risikostyring etter ISO 27005, implementering av kontroller fra vedlegg A, utvikling av policyer og prosedyrer, opplæring og bevissthet, internrevisjon, ledelsensgjennomgang, og full støtte gjennom den eksterne sertifiseringsrevisjonen.

Uten erfaren veiledning tar ISO 27001-prosjekter ofte dobbelt så lang tid og koster mer enn nødvendig. Virksomheter overimplementerer kontroller de ikke trenger, lager dokumentasjon som er for omfangsrik til å vedlikeholde, og oppdager mangler først under sertifiseringsrevisjonen. Opsio har veiledet over 50 virksomheter til vellykket sertifisering — alle bestått ved første revisjon.

Hvert ISO 27001-oppdrag inkluderer gapanalyse mot ISO 27001:2022, ISMS-omfangsdefinering, risikovurdering og risikobehandlingsplan, Statement of Applicability (SoA), kontrollimplementering fra vedlegg A, policyer og prosedyrer for alle relevante områder, opplæringsprogram, internrevisjon og ledelsensgjennomgang, og støtte gjennom ekstern sertifiseringsrevisjon.

Vanlige ISO 27001-utfordringer vi løser: usikkerhet om omfang og hva som skal inkluderes, risikovurderinger som ikke er koblet til kontrollvalg, overdimensjonert dokumentasjon som ingen vedlikeholder, manglende forankring hos ledelsen og ansatte, og utilstrekkelig forberedelse til sertifiseringsrevisjonen.

Opsios tilnærming er pragmatisk: vi implementerer et ISMS som passer virksomhetens størrelse og kompleksitet, med dokumentasjon som er nødvendig og vedlikeholdbar — ikke et papirfjell. Vi bruker ISO 27001:2022 med de oppdaterte kontrollene i vedlegg A, og integrerer med NIS2-krav der relevant. Enten du er en oppstartsbedrift som trenger sertifisering for å vinne en storkontrakt eller en etablert virksomhet som oppgraderer fra 2013-versjonen, leverer Opsio en effektiv vei til sertifisering.

Gapanalyse og planleggingISO 27001

ISMS-design og -implementeringISO 27001

RisikostyringISO 27001

KontrollimplementeringISO 27001

InternrevisjonISO 27001

SertifiseringsstøtteISO 27001

ISO 27001ISO 27001

ISO 27002ISO 27001

ISO 27017ISO 27001

Gapanalyse og planleggingISO 27001

ISMS-design og -implementeringISO 27001

RisikostyringISO 27001

KontrollimplementeringISO 27001

InternrevisjonISO 27001

SertifiseringsstøtteISO 27001

ISO 27001ISO 27001

ISO 27002ISO 27001

ISO 27017ISO 27001

Slik sammenligner vi oss

Evne	DIY	Generisk konsulent	Opsio ISO 27001
Bestått ved første revisjon	Usikkert	Varierer	100 % historikk
ISO 27001:2022	Selvlæring	Varierer	Full 2022-ekspertise
Teknisk kontrollimplementering	Intern kapasitet	Rådgivning kun	Implementeringsstøtte
NIS2-integrasjon	Ikke mulig	Sjelden	Integrert tilnærming
Internrevisjon	Intern kompetanse	Tilleggskostnad	Inkludert
Sertifiseringsstøtte	Ingen	Varierer	Full støtte under revisjon
Typisk kostnad	$15–40K (intern tid)	$25–60K	$30–100K (inkl. ekstern revisjon)

Dette leverer vi

Gapanalyse og planlegging

Systematisk vurdering av nåværende tilstand mot alle krav i ISO 27001:2022 og vedlegg A-kontroller. Identifiserer gap, estimerer innsats og utvikler prosjektplan med tidslinjer og milepæler for hele sertifiseringsprosessen.

ISMS-design og -implementering

Design og implementering av informasjonssikkerhetsstyringssystem (ISMS) tilpasset virksomheten: omfangsdefinering, sikkerhetspolicy, organisasjonsstruktur for informasjonssikkerhet, roller og ansvar, og integrrasjon med eksisterende styringssystemer.

Risikostyring

Risikovurdering etter ISO 27005 med verdikartlegging, trusselmodellering, sårbarhetsvurdering og risikobehandlingsplan. Utvikler Statement of Applicability (SoA) som begrunner valg og fravalg av kontroller fra vedlegg A basert på risikovurderingen.

Kontrollimplementering

Implementering av utvalgte kontroller fra vedlegg A: organisatoriske, personellrelaterte, fysiske og teknologiske kontroller. Vi fokuserer på kontroller som gir reell sikkerhetsverdi — ikke bare hake-i-boksen.

Internrevisjon

Gjennomfører internrevisjon av ISMS-et for å identifisere avvik og forbedringsmuligheter før den eksterne sertifiseringsrevisjonen. Leverer revisjonsrapport med funn og anbefalinger, og hjelper med å lukke avvik.

Sertifiseringsstøtte

Full støtte gjennom ekstern sertifiseringsrevisjon: forberedelse med stage 1-simulering, dokumentasjonsgjennomgang, tilstedeværelse under revisjon for å støtte teamet, og hjelp med å lukke eventuelle funn etter revisjonen.

Klare til å komme i gang?

Få en ISO 27001-vurdering

Dette får dere

Gapanalyse mot ISO 27001:2022

ISMS-design med omfangsdefinering

Risikovurdering og Statement of Applicability

Kontrollimplementering fra vedlegg A

Komplett policysett og prosedyrer

Opplæringsprogram for alle ansatte

Internrevisjon med funn og anbefalinger

Ledelsensgjennomgang med rapportering

Støtte gjennom ekstern sertifiseringsrevisjon

Årlig vedlikeholdsplan for ISMS

“Opsios fokus på sikkerhet i arkitekturoppsettet er avgjørende for oss. Ved å kombinere innovasjon, smidighet og en stabil administrert skytjeneste ga de oss grunnlaget vi trengte for å videreutvikle virksomheten vår. Vi er takknemlige for vår IT-partner, Opsio.”

Jenny Boman

CIO, Opus Bilprovning

Prisoversikt

Transparent prising. Ingen skjulte kostnader. Tilbud basert på omfang.

Gapanalyse og plan

$5 000–$10 000

Inkl. prosjektplan

Mest populær

Implementeringsstøtte

$20 000–$70 000

Gapavhengig

Løpende ISMS-vedlikehold

$2 000–$6 000/mnd

Internrevisjon + vedlikehold

Transparent prising. Ingen skjulte kostnader. Tilbud basert på omfang.

Spørsmål om prising? La oss diskutere deres spesifikke behov.

Be om tilbud

Derfor velger bedrifter Opsio

100 % bestått første gang

Over 50 virksomheter veiledet til sertifisering — alle bestått ved første revisjon.

ISO 27001:2022

Oppdatert ekspertise med den nyeste versjonen og de reviderte vedlegg A-kontrollene.

Pragmatisk implementering

ISMS tilpasset virksomheten — ikke overdimensjonert dokumentasjon.

NIS2-integrasjon

Integrerer ISO 27001 med NIS2-krav for effektiv dobbeltetterlevelse.

Teknisk dybde

Vi implementerer tekniske kontroller — ikke bare skriver om dem.

Fra gapanalyse til sertifisering

Helhetlig støtte gjennom hele prosessen — ikke stykkevis rådgivning.

Ikke sikker ennå? Start med en pilot.

Begynn med en fokusert to-ukers vurdering. Se reelle resultater før dere forplikter dere. Hvis dere går videre, krediteres pilotkostnaden mot prosjektet.

Start en pilot

Vår leveranseprosess

Gapanalyse

Vurderer nåværende tilstand mot ISO 27001:2022 og utvikler prosjektplan. Tidslinje: 1–2 uker.

ISMS-implementering

Implementerer ISMS, risikostyring, SoA, kontroller, policyer og prosedyrer. Tidslinje: 8–16 uker.

Internrevisjon

Gjennomfører internrevisjon, identifiserer avvik og lukker funn. Tidslinje: 2–3 uker.

Sertifiseringsrevisjon

Støtte gjennom stage 1 og stage 2 av ekstern sertifiseringsrevisjon. Tidslinje: 2–4 uker.

Oppsummering

Gapanalyse og planlegging
ISMS-design og -implementering
Risikostyring
Kontrollimplementering
Internrevisjon

Bransjer vi betjener

SaaS og teknologi

ISO 27001 som krav i kundekontrakther og anbudsprosesser.

Finans

ISO 27001 som grunnlag for DORA-etterlevelse og partneravtaler.

Helse

ISO 27001 for systematisk sikkerhetsstyring av helseinformasjon.

Offentlig sektor

ISO 27001 som dokumentasjon på sikkerhetsstyring i offentlige anskaffelser.

Utforsk mer

Compliance Analysis

Security & Compliance — Samsvar

NIST

Security & Compliance — Samsvar

NIS2 Directive

Security & Compliance — Samsvar

ISO 27001-sertifisering — Fra forberedelse til sertifisering — Ofte stilte spørsmål

Hva er ISO 27001?

ISO 27001 er den internasjonale standarden for informasjonssikkerhetsstyringssystemer (ISMS). Den definerer krav til å etablere, implementere, vedlikeholde og kontinuerlig forbedre et ISMS. Sertifisering bekrefter at virksomheten har et systematisk, risikostyrt og dokumentert sikkerhetsprogram som møter internasjonalt anerkjente krav. ISO 27001:2022 er den nyeste versjonen med oppdaterte kontroller i vedlegg A.

Hva koster ISO 27001-sertifisering?

Total kostnad for ISO 27001-sertifisering er typisk $30 000–$100 000, inkludert rådgivning, implementering og sertifiseringsrevisjon. Rådgivning og implementeringsstøtte fra Opsio koster $20 000–$70 000 avhengig av virksomhetens størrelse og kompleksitet. Ekstern sertifiseringsrevisjon koster $10 000–$30 000. Årlig overvåkingsrevisjon koster $5 000–$15 000. Løpende ISMS-vedlikehold koster $2 000–$6 000/måned.

Hvor lang tid tar ISO 27001-sertifisering?

Typisk 4–9 måneder fra prosjektstart til sertifisering, avhengig av virksomhetens størrelse og nåværende modenhet. SMB med godt eksisterende sikkerhetsnivå: 4–6 måneder. Mellomstore virksomheter: 6–9 måneder. Store virksomheter: 9–12 måneder. Opsios erfaring og strukturerte tilnærming sikrer at tidslinjen holdes uten unødvendige forsinkelser.

Trenger vi ISO 27001-sertifisering?

ISO 27001 er frivillig, men stadig oftere et krav. Norske virksomheter bør vurdere sertifisering hvis: kunder krever det i anbud eller kontrakter, NIS2-direktivet gjelder for virksomheten (ISO 27001 dekker mange NIS2-krav), partnere eller investorer forventer det, eller virksomheten vil demonstrere sikkerhetsseriøsitet overfor markedet. Det er også et godt grunnlag for GDPR-etterlevelse.

Hva er forskjellen mellom ISO 27001:2013 og 2022?

ISO 27001:2022 har oppdatert vedlegg A med reorganiserte kontroller: fra 14 domener og 114 kontroller til 4 kategorier (organisatoriske, personell, fysiske, teknologiske) og 93 kontroller. Nye kontroller inkluderer trusselintelligens, skysikkerhet, datamaskering og DLP. Virksomheter med eksisterende 2013-sertifisering må oppgradere innen oktober 2025.

Hva er Statement of Applicability (SoA)?

Statement of Applicability er et kjernedokument i ISO 27001 som lister alle kontrollene fra vedlegg A og begrunner hvilke som er valgt (og hvorfor) og hvilke som er utelatt (og hvorfor). SoA kobler risikovurderingen til kontrollimplementeringen og er et av de første dokumentene sertifiseringsrevisjoren gjennomgår. Det må holdes oppdatert ved endringer i risikovurderingen.

Kan dere gjennomføre internrevisjon?

Ja. Vi gjennomfører internrevisjon som en del av sertifiseringsforberedelsen. Internrevisjonen sjekker at ISMS-et er implementert og fungerer i henhold til ISO 27001-kravene, og identifiserer avvik og forbedringsmuligheter før den eksterne sertifiseringsrevisjonen. Vi kan også tilby løpende internrevisjon som en tjeneste for å opprettholde sertifiseringen.

Hjelper ISO 27001 med NIS2-etterlevelse?

Ja, betydelig. ISO 27001 dekker mange av NIS2 artikkel 21-kravene: risikostyring, tilgangskontroll, hendelseshåndtering, sikkerhetskopiering, opplæring og leverandørstyring. De viktigste NIS2-tilleggskravene utover ISO 27001 er 24-timers hendelsesrapportering, personlig ledelsesansvar og spesifikke krav til leverandørkjedesikkerhet. En ISO 27001-sertifisert virksomhet har et solid grunnlag for NIS2-etterlevelse.

Hva kreves for å opprettholde sertifiseringen?

ISO 27001-sertifisering gjelder i tre år med årlige overvåkingsrevisjoner og resertifisering etter tre år. I mellomtiden må du opprettholde ISMS-et: gjennomføre risikovurderinger, internrevisjoner, ledelsensgjennomganger, behandle avvik, og holde dokumentasjon oppdatert. Opsio tilbyr løpende ISMS-vedlikeholdstjenester for virksomheter som trenger ekstern støtte.

Kan vi starte med ISO 27001 for en del av virksomheten?

Ja. ISMS-omfanget kan begrenses til spesifikke avdelinger, systemer eller tjenester. Mange virksomheter starter med å sertifisere SaaS-produktet eller IT-avdelingen, og utvider omfanget senere. Vi hjelper med å definere et fornuftig omfang som oppfyller kundekrav uten unødvendig kompleksitet.

Har du flere spørsmål? Teamet vårt hjelper deg gjerne.

Få en ISO 27001-vurdering

Editorial standards: Written by certified cloud practitioners. Peer-reviewed by our engineering team. Updated quarterly.