ISO 27001

ISO 27001-sertifisering — Fra forberedelse til sertifisering

ISO 27001-sertifisering er stadig oftere et krav fra kunder, partnere og regulatorer. Opsio tar deg hele veien — fra gapanalyse gjennom ISMS-implementering og internrevisjon til vellykket ekstern sertifiseringsrevisjon.

Få en ISO 27001-vurdering Se hva som er inkludert

Over 100 organisasjoner i 6 land stoler på oss

ISO 27001

Spesialist

50+

Sertifiseringer

100 %

Bestått første gang

ISMS

Implementering

ISO 27001

ISO 27002

ISO 27017

ISO 27018

NIS2

SOC 2

Del av Skysikkerhet og samsvar

Hva er ISO 27001-sertifisering?

ISO 27001-sertifisering er en strukturert prosess der virksomheter implementerer og dokumenterer et Information Security Management System (ISMS) i samsvar med den internasjonale standarden ISO 27001:2022, og deretter gjennomgår en uavhengig revisjon for å oppnå formell sertifisering. For norske virksomheter er sertifiseringen i økende grad obligatorisk i anbudsprosesser og partneravtaler, og NIS2-direktivet anerkjenner ISO 27001 som relevant referanseramme for sikkerhetsstyring. Datatilsynet ser positivt på sertifisering som dokumentasjon på systematisk etterlevelse av GDPR via EØS-regelverket. Prosessen omfatter gapanalyse mot ISO 27001:2022-kravene, ISMS-design, risikostyring etter ISO 27005, implementering av kontroller fra vedlegg A, utvikling av policyer, internrevisjon og støtte gjennom den eksterne sertifiseringsrevisjonen. Opsio har veiledet over 50 virksomheter til vellykket sertifisering, alle bestått ved første revisjon, og leverer tjenestene fra et ISO 27001-sertifisert delivery centre i Bangalore med skyinfrastruktur på AWS-regionen eu-north-1 i Stockholm.

Veien til ISO 27001-sertifisering

ISO 27001 er den internasjonale standarden for informasjonssikkerhetsstyring og det mest anerkjente beviset på at en virksomhet tar sikkerhet på alvor. For norske virksomheter er ISO 27001-sertifisering i økende grad et krav i anbudsprosesser, partneravtaler og kundekontrakter. NIS2-direktivet anerkjenner ISO 27001 som relevant referanseramme, og Datatilsynet ser positivt på sertifisering som dokumentasjon på systematisk sikkerhetsstyring. Opsios ISO 27001-sertifiseringstjenester dekker hele prosessen: gapanalyse mot ISO 27001:2022-kravene, ISMS-design og -implementering, risikostyring etter ISO 27005, implementering av kontroller fra vedlegg A, utvikling av policyer og prosedyrer, opplæring og bevissthet, internrevisjon, ledelsensgjennomgang, og full støtte gjennom den eksterne sertifiseringsrevisjonen.

Uten erfaren veiledning tar ISO 27001-prosjekter ofte dobbelt så lang tid og koster mer enn nødvendig. Virksomheter overimplementerer kontroller de ikke trenger, lager dokumentasjon som er for omfangsrik til å vedlikeholde, og oppdager mangler først under sertifiseringsrevisjonen. Opsio har veiledet over 50 virksomheter til vellykket sertifisering — alle bestått ved første revisjon.

Hvert ISO 27001-oppdrag inkluderer gapanalyse mot ISO 27001:2022, ISMS-omfangsdefinering, risikovurdering og risikobehandlingsplan, Statement of Applicability (SoA), kontrollimplementering fra vedlegg A, policyer og prosedyrer for alle relevante områder, opplæringsprogram, internrevisjon og ledelsensgjennomgang, og støtte gjennom ekstern sertifiseringsrevisjon.

Vanlige ISO 27001-utfordringer vi løser: usikkerhet om omfang og hva som skal inkluderes, risikovurderinger som ikke er koblet til kontrollvalg, overdimensjonert dokumentasjon som ingen vedlikeholder, manglende forankring hos ledelsen og ansatte, og utilstrekkelig forberedelse til sertifiseringsrevisjonen.

Opsios tilnærming er pragmatisk: vi implementerer et ISMS som passer virksomhetens størrelse og kompleksitet, med dokumentasjon som er nødvendig og vedlikeholdbar — ikke et papirfjell. Vi bruker ISO 27001:2022 med de oppdaterte kontrollene i vedlegg A, og integrerer med NIS2-krav der relevant. Enten du er en oppstartsbedrift som trenger sertifisering for å vinne en storkontrakt eller en etablert virksomhet som oppgraderer fra 2013-versjonen, leverer Opsio en effektiv vei til sertifisering. Relaterte Opsio-tjenester: ISO-samsvarstjenester, NIS2 Compliance Guide — Komplett implementeringsveikart, GDPR-etterlevelse — Fra gapanalyse til personvernombud, and NIST Cybersecurity Framework — Strukturert sikkerhetsstyring.

Gapanalyse og planleggingISO 27001

ISMS-design og -implementeringISO 27001

RisikostyringISO 27001

KontrollimplementeringISO 27001

InternrevisjonISO 27001

SertifiseringsstøtteISO 27001

ISO 27001ISO 27001

ISO 27002ISO 27001

ISO 27017ISO 27001

Gapanalyse og planleggingISO 27001

ISMS-design og -implementeringISO 27001

RisikostyringISO 27001

KontrollimplementeringISO 27001

InternrevisjonISO 27001

SertifiseringsstøtteISO 27001

ISO 27001ISO 27001

ISO 27002ISO 27001

ISO 27017ISO 27001

Hvordan Opsio er sammenlignet

Evne	DIY	Generisk konsulent	Opsio ISO 27001
Bestått ved første revisjon	Usikkert	Varierer	100 % historikk
ISO 27001:2022	Selvlæring	Varierer	Full 2022-ekspertise
Teknisk kontrollimplementering	Intern kapasitet	Rådgivning kun	Implementeringsstøtte
NIS2-integrasjon	Ikke mulig	Sjelden	Integrert tilnærming
Internrevisjon	Intern kompetanse	Tilleggskostnad	Inkludert
Sertifiseringsstøtte	Ingen	Varierer	Full støtte under revisjon
Typisk kostnad	150K kr–400K kr (intern tid)	250K kr–600K kr	300K kr–1M kr (inkl. ekstern revisjon)

Tjenesteleveranser

Gapanalyse og planlegging

Systematisk vurdering av nåværende tilstand mot alle krav i ISO 27001:2022 og vedlegg A-kontroller. Identifiserer gap, estimerer innsats og utvikler prosjektplan med tidslinjer og milepæler for hele sertifiseringsprosessen.

ISMS-design og -implementering

Design og implementering av informasjonssikkerhetsstyringssystem (ISMS) tilpasset virksomheten: omfangsdefinering, sikkerhetspolicy, organisasjonsstruktur for informasjonssikkerhet, roller og ansvar, og integrrasjon med eksisterende styringssystemer.

Risikostyring

Risikovurdering etter ISO 27005 med verdikartlegging, trusselmodellering, sårbarhetsvurdering og risikobehandlingsplan. Utvikler Statement of Applicability (SoA) som begrunner valg og fravalg av kontroller fra vedlegg A basert på risikovurderingen.

Kontrollimplementering

Implementering av utvalgte kontroller fra vedlegg A: organisatoriske, personellrelaterte, fysiske og teknologiske kontroller. Vi fokuserer på kontroller som gir reell sikkerhetsverdi — ikke bare hake-i-boksen.

Internrevisjon

Gjennomfører internrevisjon av ISMS-et for å identifisere avvik og forbedringsmuligheter før den eksterne sertifiseringsrevisjonen. Leverer revisjonsrapport med funn og anbefalinger, og hjelper med å lukke avvik.

Sertifiseringsstøtte

Full støtte gjennom ekstern sertifiseringsrevisjon: forberedelse med stage 1-simulering, dokumentasjonsgjennomgang, tilstedeværelse under revisjon for å støtte teamet, og hjelp med å lukke eventuelle funn etter revisjonen.

Klare til å komme i gang?

Få en ISO 27001-vurdering

Dette får dere

Gapanalyse mot ISO 27001:2022

ISMS-design med omfangsdefinering

Risikovurdering og Statement of Applicability

Kontrollimplementering fra vedlegg A

Komplett policysett og prosedyrer

Opplæringsprogram for alle ansatte

Internrevisjon med funn og anbefalinger

Ledelsensgjennomgang med rapportering

Støtte gjennom ekstern sertifiseringsrevisjon

Årlig vedlikeholdsplan for ISMS

“Opsios fokus på sikkerhet i arkitekturoppsettet er avgjørende for oss. Ved å kombinere innovasjon, smidighet og en stabil administrert skytjeneste ga de oss grunnlaget vi trengte for å videreutvikle virksomheten vår. Vi er takknemlige for vår IT-partner, Opsio.”

Jenny Boman

CIO, Opus Bilprovning

Priser og investeringsnivåer

Transparent prising. Ingen skjulte kostnader. Tilbud basert på omfang.

Gapanalyse og plan

50 000 kr–100 000 kr

Inkl. prosjektplan

Mest populær

Implementeringsstøtte

200 000 kr–700 000 kr

Gapavhengig

Løpende ISMS-vedlikehold

20 000 kr–60 000 kr/mnd

Internrevisjon + vedlikehold

Transparent prising. Ingen skjulte kostnader. Tilbud basert på omfang.

Spørsmål om prising? La oss diskutere deres spesifikke behov.

Be om tilbud

Hvorfor velge Opsio for skytjenester

100 % bestått første gang

Over 50 virksomheter veiledet til sertifisering — alle bestått ved første revisjon.

ISO 27001:2022

Oppdatert ekspertise med den nyeste versjonen og de reviderte vedlegg A-kontrollene.

Pragmatisk implementering

ISMS tilpasset virksomheten — ikke overdimensjonert dokumentasjon.

NIS2-integrasjon

Integrerer ISO 27001 med NIS2-krav for effektiv dobbeltetterlevelse.

Teknisk dybde

Vi implementerer tekniske kontroller — ikke bare skriver om dem.

Fra gapanalyse til sertifisering

Helhetlig støtte gjennom hele prosessen — ikke stykkevis rådgivning.

Ikke sikker ennå? Start med en pilot.

Begynn med en fokusert to-ukers vurdering. Se reelle resultater før dere forplikter dere. Hvis dere går videre, krediteres pilotkostnaden mot prosjektet.

Start en pilot

Vår firefasede leveringsprosess

Gapanalyse

Vurderer nåværende tilstand mot ISO 27001:2022 og utvikler prosjektplan. Tidslinje: 1–2 uker.

ISMS-implementering

Implementerer ISMS, risikostyring, SoA, kontroller, policyer og prosedyrer. Tidslinje: 8–16 uker.

Internrevisjon

Gjennomfører internrevisjon, identifiserer avvik og lukker funn. Tidslinje: 2–3 uker.

Sertifiseringsrevisjon

Støtte gjennom stage 1 og stage 2 av ekstern sertifiseringsrevisjon. Tidslinje: 2–4 uker.

Oppsummering

Gapanalyse og planlegging
ISMS-design og -implementering
Risikostyring
Kontrollimplementering
Internrevisjon

Bransjer som betjenes av Opsio

SaaS og teknologi

ISO 27001 som krav i kundekontrakther og anbudsprosesser.

Finans

ISO 27001 som grunnlag for DORA-etterlevelse og partneravtaler.

Helse

ISO 27001 for systematisk sikkerhetsstyring av helseinformasjon.

Offentlig sektor

ISO 27001 som dokumentasjon på sikkerhetsstyring i offentlige anskaffelser.

Relatert innsikt og artikler om skyen

Cloud Security Architecture4 min

Nettapplikasjonspenetrasjonstesting: Metodikk og beste praksis

Når var siste gang noen prøvde å hacke nettapplikasjonen din – før en ekte angriper gjorde det? Penetrasjonstesting av nettapplikasjoner simulerer virkelige...

Cloud Security Architecture3 min

Essensielle cybersikkerhetsapplikasjoner: Beskytt bedriften din mot moderne trusler

Har virksomheten din de essensielle cybersikkerhetsapplikasjonene som trengs for å forsvare seg mot moderne trusler? Cyberangrep blir mer sofistikerte for...

Utforsk mer

Compliance Analysis

Security & Compliance — Samsvar

NIST

Security & Compliance — Samsvar

NIS2 Directive

Security & Compliance — Samsvar

ISO 27001-sertifisering — Fra forberedelse til sertifisering — Ofte stilte spørsmål

Hva er ISO 27001?

ISO 27001 er den internasjonale standarden for informasjonssikkerhetsstyringssystemer (ISMS). Den definerer krav til å etablere, implementere, vedlikeholde og kontinuerlig forbedre et ISMS. Sertifisering bekrefter at virksomheten har et systematisk, risikostyrt og dokumentert sikkerhetsprogram som møter internasjonalt anerkjente krav. ISO 27001:2022 er den nyeste versjonen med oppdaterte kontroller i vedlegg A.

Hva koster ISO 27001-sertifisering?

Total kostnad for ISO 27001-sertifisering er typisk 300 000 kr–1 000 000 kr, inkludert rådgivning, implementering og sertifiseringsrevisjon. Rådgivning og implementeringsstøtte fra Opsio koster 200 000 kr–700 000 kr avhengig av virksomhetens størrelse og kompleksitet. Ekstern sertifiseringsrevisjon koster 100 000 kr–300 000 kr. Årlig overvåkingsrevisjon koster 50 000 kr–150 000 kr. Løpende ISMS-vedlikehold koster 20 000 kr–60 000 kr/måned.

Hvor lang tid tar ISO 27001-sertifisering?

Typisk 4–9 måneder fra prosjektstart til sertifisering, avhengig av virksomhetens størrelse og nåværende modenhet. SMB med godt eksisterende sikkerhetsnivå: 4–6 måneder. Mellomstore virksomheter: 6–9 måneder. Store virksomheter: 9–12 måneder. Opsios erfaring og strukturerte tilnærming sikrer at tidslinjen holdes uten unødvendige forsinkelser.

Trenger vi ISO 27001-sertifisering?

ISO 27001 er frivillig, men stadig oftere et krav. Norske virksomheter bør vurdere sertifisering hvis: kunder krever det i anbud eller kontrakter, NIS2-direktivet gjelder for virksomheten (ISO 27001 dekker mange NIS2-krav), partnere eller investorer forventer det, eller virksomheten vil demonstrere sikkerhetsseriøsitet overfor markedet. Det er også et godt grunnlag for GDPR-etterlevelse.

Hva er forskjellen mellom ISO 27001:2013 og 2022?

ISO 27001:2022 har oppdatert vedlegg A med reorganiserte kontroller: fra 14 domener og 114 kontroller til 4 kategorier (organisatoriske, personell, fysiske, teknologiske) og 93 kontroller. Nye kontroller inkluderer trusselintelligens, skysikkerhet, datamaskering og DLP. Virksomheter med eksisterende 2013-sertifisering må oppgradere innen oktober 2025.

Hva er Statement of Applicability (SoA)?

Statement of Applicability er et kjernedokument i ISO 27001 som lister alle kontrollene fra vedlegg A og begrunner hvilke som er valgt (og hvorfor) og hvilke som er utelatt (og hvorfor). SoA kobler risikovurderingen til kontrollimplementeringen og er et av de første dokumentene sertifiseringsrevisjoren gjennomgår. Det må holdes oppdatert ved endringer i risikovurderingen.

Kan dere gjennomføre internrevisjon?

Ja. Vi gjennomfører internrevisjon som en del av sertifiseringsforberedelsen. Internrevisjonen sjekker at ISMS-et er implementert og fungerer i henhold til ISO 27001-kravene, og identifiserer avvik og forbedringsmuligheter før den eksterne sertifiseringsrevisjonen. Vi kan også tilby løpende internrevisjon som en tjeneste for å opprettholde sertifiseringen.

Hjelper ISO 27001 med NIS2-etterlevelse?

Ja, betydelig. ISO 27001 dekker mange av NIS2 artikkel 21-kravene: risikostyring, tilgangskontroll, hendelseshåndtering, sikkerhetskopiering, opplæring og leverandørstyring. De viktigste NIS2-tilleggskravene utover ISO 27001 er 24-timers hendelsesrapportering, personlig ledelsesansvar og spesifikke krav til leverandørkjedesikkerhet. En ISO 27001-sertifisert virksomhet har et solid grunnlag for NIS2-etterlevelse.

Hva kreves for å opprettholde sertifiseringen?

ISO 27001-sertifisering gjelder i tre år med årlige overvåkingsrevisjoner og resertifisering etter tre år. I mellomtiden må du opprettholde ISMS-et: gjennomføre risikovurderinger, internrevisjoner, ledelsensgjennomganger, behandle avvik, og holde dokumentasjon oppdatert. Opsio tilbyr løpende ISMS-vedlikeholdstjenester for virksomheter som trenger ekstern støtte.

Kan vi starte med ISO 27001 for en del av virksomheten?

Ja. ISMS-omfanget kan begrenses til spesifikke avdelinger, systemer eller tjenester. Mange virksomheter starter med å sertifisere SaaS-produktet eller IT-avdelingen, og utvider omfanget senere. Vi hjelper med å definere et fornuftig omfang som oppfyller kundekrav uten unødvendig kompleksitet.

Har du flere spørsmål? Teamet vårt hjelper deg gjerne.

Få en ISO 27001-vurdering

Editorial standards: Written by certified cloud practitioners. Peer-reviewed by our engineering team. Updated quarterly.