Fra gap-analyse til audit: sådan ser et ISO 27001-forløb ud

ISO 27001-projekter går sjældent galt, fordi folk mangler vilje — de går galt, fordi forløbet ikke er tænkt som et forløb. I denne artikel…

Emil Larsen
Emil Larsen
Skribent, Diamantvej
 · · 10 min læsning

ISO 27001-projekter går sjældent galt, fordi folk mangler vilje — de går galt, fordi forløbet ikke er tænkt som et forløb.

I denne artikel får du et praktisk overblik over de typiske faser i et ISO 27001-forløb: fra kortlægning og projektplan til dokumentation, implementering og ekstern audit. Du får også konkrete råd til tidsplan, roller, typiske fejl og hvad du kan forvente af indsatsen undervejs.

Du kan bruge artiklen som en “ruteplan” til at styre forventninger internt, prioritere de rigtige aktiviteter og undgå de klassiske faldgruber, der gør auditdagen unødigt stressende.

Hvad er ISO 27001, og hvorfor betyder det noget?

ISO 27001 er en international standard for ledelsessystemer for informationssikkerhed (ISMS), der beskriver, hvordan en organisation systematisk etablerer, driver og forbedrer sikkerhed med udgangspunkt i risiko. Certificering er ikke “et stempel på at alt er sikkert”, men en verificeret dokumentation af, at I styrer informationssikkerhed på en kontrolleret og gentagelig måde.

Det betyder noget, fordi kunder, myndigheder og samarbejdspartnere i stigende grad kræver evidens: at I kender jeres aktiver og risici, at kontroller er valgt med begrundelse, og at hændelser og forbedringer håndteres disciplineret. I praksis bliver ISO 27001 ofte en fælles referenceramme mellem IT, forretning, compliance og ledelse.

Mini-konklusion: ISO 27001 handler mindre om “flere dokumenter” og mere om at gøre sikkerhed målbar, prioriteret og auditérbar.

Fase 1: Kortlægning og scope – fundamentet der afgør alt

Den første fase er en struktureret kortlægning: Hvad skal certificeres (scope), hvilke processer og systemer indgår, og hvor går grænserne? Et uklart scope er en af de hyppigste årsager til forsinkelser, fordi dokumentation, risikovurdering og kontroller ellers skyder i alle retninger.

Scope: afgræns med forretningen, ikke kun med IT

Et praktisk greb er at beskrive scope ud fra “leverancer” og “kritiske informationsflows”. Eksempel: En SaaS-virksomhed kan vælge at scopet er “udvikling, drift og support af platform X”, inkl. cloud-miljø, CI/CD, kundesupport og relevante HR-processer for adgangsstyring. En konsulentvirksomhed kan derimod scope “leverance af managed services” og knytte det til kundekontrakter og datatyper.

Interessenter, krav og eksisterende praksis

Kortlæg også kravkilder: kontrakter, GDPR, NIS2-krav (hvis relevant), interne policies, samt kundespørgeskemaer. Saml “hvad gør vi allerede?”: change management, onboarding/offboarding, backup, leverandørstyring, incident response. Det er sjældent, man starter fra nul; udfordringen er at samle det og gøre det konsekvent.

Mini-konklusion: Et godt scope gør resten af projektet 30–50% lettere, fordi det reducerer omfanget af både risikovurdering og evidens.

Fase 2: Projektplan, roller og styring – gør det til et ledelsesprojekt

ISO 27001 lykkes, når det bliver styret som et tværgående projekt med tydelige beslutningsveje. Det er her, mange undervurderer ressourcebehovet: der er både dokumentationsarbejde og implementering, og audit kræver beviser for, at tingene faktisk fungerer.

Typiske roller i et ISO 27001-forløb

  • ISMS-ejer (ofte CISO, IT-chef eller compliance-ansvarlig): driver ledelsessystemet i praksis.
  • Ledelsesrepræsentant: sikrer prioritet, beslutninger og ressourcer.
  • Procesejere (HR, IT-drift, udvikling, support, indkøb): leverer input og efterlever kontroller.
  • Risk owner(s): tager stilling til accept/mitigation af risici.
  • Intern audit-ansvarlig: planlægger og gennemfører interne audits.

Realistisk tidsplan: hvad ser man i praksis?

Et typisk forløb i en mindre/mellemstor organisation tager ofte 3–6 måneder til certificeringsklarhed, hvis meget allerede er på plads, og 6–12 måneder hvis der er større modenhedsgab. En praktisk tommelfingerregel er, at I bør kunne vise mindst 2–3 måneders “drift” af centrale processer (fx access reviews, change approvals, incident log), før ekstern audit, så auditor kan se sporbarhed.

Mini-konklusion: Hvis projektplanen kun består af “skriv politikker”, er den ufuldstændig — planlæg også implementering og bevisindsamling.

Fase 3: Gap-analyse og modenhedstjek – find hullerne før audit gør

Gap-analysen sammenligner jeres nuværende praksis med ISO 27001-kravene og de relevante kontroller i Annex A. Formålet er at prioritere: Hvad er “must-have” for certificering, og hvad kan planlægges som forbedringer over tid?

Det er her, mange opdager, at de tekniske kontroller (MFA, logging, patching) ofte er bedre end de organisatoriske: formaliserede roller, risikobehandling, leverandørstyring og ensartet dokumentation. En simpel modenhedsskala (fx 0–3: ikke-eksisterende, ad hoc, defineret, styret) kan gøre prioritering konkret.

En praktisk leverance fra denne fase er en backlog med tydelige “evidence owners”: hvem leverer hvilke beviser, hvornår, og i hvilket format.

Mini-konklusion: En ærlig gap-analyse giver jer kontrol over risiko og tidsplan — og reducerer antallet af “audit surprises”.

Fase 4: Risikovurdering og risikobehandling – vælg kontroller med begrundelse

Risikodelen er hjertet i ISO 27001. I skal definere en metode (kriterier for sandsynlighed/konsekvens), gennemføre risikovurdering, vælge risikobehandling (mitigere, overføre, acceptere, undgå) og dokumentere beslutningerne.

Sådan gør du risikovurdering audit-robust

Audit-robust betyder ikke “kompliceret”, men konsistent. Auditor kigger efter, om I kan forklare, hvorfor en risiko er vurderet som den er, og om behandlingen hænger sammen med valgte kontroller. Eksempel: Hvis risikoen er “uautoriseret adgang til kundedata via supportkonto”, kan behandlingen være MFA, least privilege, logning og kvartalsvis access review. Det skal kunne ses i både politikker og beviser.

Statement of Applicability (SoA): det mest misforståede dokument

SoA er jeres oversigt over Annex A-kontroller: hvilke der er relevante, om de er implementeret, og begrundelser for inklusion/eksklusion. Den typiske fejl er at bruge SoA som en “checkliste”, uden at knytte den til risici, scope og evidens. En stærk SoA har tydelige referencer til politikker/procedurer og til de beviser, I forventer at vise (fx logs, tickets, rapporter).

Mini-konklusion: Hvis I kan forklare jeres SoA på fem minutter uden at blive uklare, er I tæt på audit-klarhed.

Fase 5: Dokumentation og ISMS-”pakke” – skriv det, I faktisk gør

Dokumentation er nødvendig, men bør være så let som muligt. Den bedste ISO 27001-dokumentation beskriver arbejdsformen, så medarbejdere kan følge den, og så auditor kan verificere den. Målet er ikke flere sider, men sporbarhed fra krav → proces → evidens.

Typiske dokumenter i et forløb (afhængigt af organisationens størrelse og kompleksitet) omfatter:

  1. ISMS-politik og sikkerhedsmål
  2. Risikometode, risikovurdering og risikobehandlingsplan
  3. SoA (Statement of Applicability)
  4. Adgangsstyringspolitik og onboarding/offboarding-procedure
  5. Incident management-proces og skabeloner (fx hændelseslog)
  6. Change management og release-proces
  7. Leverandørstyring (due diligence, kontraktkrav, reviews)
  8. Intern audit-proces og ledelsens evaluering

Her giver det ofte værdi at standardisere skabeloner: én struktur for politikker (formål, scope, roller, krav, evidens), én for procedurer (trin, ansvar, input/output), og én for registreringer (logfelter). Det sparer tid, når I senere skal udvide eller ændre.

Hvis I mangler sparring eller ønsker en mere struktureret tilgang til at samle dokumentation og evidens, kan det være relevant at hente hjælp til ISO 27001 som supplement til jeres interne projektteam.

Mini-konklusion: God dokumentation kan læses af både nye medarbejdere og auditor — og den matcher jeres reelle praksis, ikke ønsketænkning.

Fase 6: Implementering og evidens – det auditor faktisk leder efter

Audit handler i høj grad om beviser. Det er forskellen på “vi har en proces” og “vi følger den”. Implementeringsfasen er derfor ikke et punkt på en checkliste, men en periode hvor I får rutiner i drift og samler spor.

Eksempler på stærk evidens (uden at drukne i data)

  • Adgangsreviews: en kvartalsrapport med afvigelser og opfølgning
  • Onboarding/offboarding: et par tilfældige sager med godkendelser og tidsstempler
  • Change management: tickets med risikovurdering, test og godkendelse før release
  • Backup/restore: dokumenteret restore-test (fx hver 6. måned) og resultat
  • Incident management: hændelseslog med klassificering, root cause og forbedringstiltag
  • Leverandørstyring: vurdering af kritiske leverandører og opfølgningsplan

En praktisk tommelfingerregel: “to eksempler pr. kontrol”

Når I forbereder audit, så udpeg for hver central kontrol 1–2 konkrete eksempler. Det gør det nemt at navigere under interviews og reducerer risikoen for at lede febrilsk efter beviser på dagen. Ofte er det nok at vise et lille udvalg, hvis det tydeligt repræsenterer normal drift.

Mini-konklusion: Implementering er først “færdig”, når I kan fremvise gentagelige beviser — ikke når dokumentet er godkendt.

Fase 7: Intern audit og ledelsens evaluering – jeres generalprøve

Inden ekstern audit skal I gennemføre intern audit og ledelsens evaluering (management review). Formålet er at teste, om ISMS’et fungerer, og om ledelsen har indsigt i performance, risici og forbedringsbehov.

En intern audit bør være mere end en skrivebordsøvelse. Tag stikprøver: vælg 2–3 processer (fx adgangsstyring, incident management, leverandørstyring) og følg dem end-to-end. Notér afvigelser, årsager og korrigerende handlinger. Auditor vil forvente, at I kan vise, at I håndterer afvigelser systematisk.

Ledelsens evaluering bør indeholde input som: status på sikkerhedsmål, resultater af intern audit, væsentlige hændelser, status på risici og effektivitet af kontroller, samt ressourcebehov. Det kan være et møde på 60–90 minutter, men det skal være veldokumenteret og beslutningsorienteret.

Mini-konklusion: Intern audit er jeres chance for at finde fejl i ro og mag — og vise at I kan forbedre jer kontrolleret.

Fase 8: Ekstern audit (Stage 1 og Stage 2) – sådan foregår certificeringen

Certificering gennemføres typisk som en Stage 1 og Stage 2 audit. Stage 1 fokuserer på readiness: scope, nøgle-dokumentation, risikometode, SoA og om ISMS’et er designet til at opfylde kravene. Stage 2 går dybere og tester implementering og evidens gennem interviews og stikprøver.

Under Stage 2 vil auditor typisk interviewe ledelse, ISMS-ejer, IT, HR, indkøb/leverandøransvarlig og relevante procesejere. Forbered dem med korte budskaber: hvad er processen, hvad er deres rolle, og hvor kan evidens findes. Undgå indøvede “manuskripter”; auditor leder efter forståelse og praksis.

Hvad koster et ISO 27001-forløb typisk?

Omkostninger afhænger af størrelse, kompleksitet, nuværende modenhed og hvor meget I kan løfte internt. Som pejlemærke ser man ofte: certificeringsorganets audit (Stage 1+2) i niveauet ca. 40.000–150.000 kr. for mindre til mellemstore virksomheder, afhængigt af auditdage og scope. Hertil kommer intern tid (ofte den største post) og evt. ekstern rådgivning, værktøjer, samt tekniske tiltag (fx logning, EDR, MDM). Den reelle “pris” er derfor ofte en kombination af kroner og fokus i organisationen over flere måneder.

De mest almindelige faldgruber ved ekstern audit

  • Scope creep: I har reelt flere systemer/processer i scope end I har dokumenteret.
  • SoA uden klare begrundelser eller uden spor til evidens.
  • Risikovurdering der ikke er opdateret (fx nye systemer eller leverandører).
  • Politikker der siger én ting, men praksis viser noget andet.
  • Manglende registreringer: “vi gør det” uden logs, rapporter eller tickets.

Mini-konklusion: Den bedste audit-forberedelse er ikke mere snak — det er klare stikprøver, opdateret risiko og beviser, der hænger sammen med jeres SoA.

Bedste praksis: sådan holder du forløbet enkelt og bæredygtigt

ISO 27001 er ikke et engangsprojekt. Hvis I vil undgå, at ISMS’et bliver en “hyldevarer”, skal det designes til jeres hverdag: få, tydelige processer, klare ansvar og en fast kadence for reviews.

  • Hold dokumentationen kort og handlingsorienteret: én side kan være bedre end ti, hvis den bliver fulgt.
  • Byg på eksisterende arbejdsgange (tickets, CI/CD, HR-system), så evidens opstår naturligt.
  • Planlæg en fast rytme: månedlige sikkerhedsopgaver, kvartalsvise reviews, årlig intern audit.
  • Prioritér de kontroller, der reducerer de største risici i jeres scope, frem for at “implementere alt”.
  • Træn procesejere i at forklare deres proces og finde evidens på 2 minutter.

Mini-konklusion: Det mest modne ISO 27001-setup føles ikke som ekstra arbejde — det føles som bedre styring af det arbejde, I allerede gør.

Emil Larsen
Om forfatteren
Emil Larsen
Redaktør & ansvarlig · Diamantvej

Emil Larsen er boligekspert med over 10 års erfaring inden for ejendomshandel og boligmarkedet. Han hjælper danske boligkøbere med at træffe informerede beslutninger og forstå komplekse ejendomsprocesser.

Læs også