ISO 27001

Informationssäkerhet är inte längre valfritt. Cybersäkerhetslagen, CRA och försvarskrav gör det till en nödvändighet.

Era kunder, myndigheter och försäkringsbolag ställer frågan: "Hur skyddar ni er information?" ISO 27001 ger er svaret, och AmpliFlow gör det levande.

Boka demo Utforska Annex A

Från startup till börsnoterat. AmpliFlow passar alla.

CIA-triaden

Tre ord. Hela grunden.

Konfidentialitet, integritet och tillgänglighet. Allt informationssäkerhetsarbete handlar om att skydda dessa tre. AmpliFlow hjälper er med alla.

Konfidentialitet

Rätt person, rätt information. Ingen annan.

Åtkomstkontroll
Kryptering
Klassificering

Integritet

Informationen är korrekt och opåverkad. Varje ändring spåras.

Ändringslogg
Åtkomstkontroll
Spårbarhet

Tillgänglighet

Systemen fungerar när de behövs. Inte "snart", utan nu.

Redundans
Backup
Incidenthantering

Utforska Annex A

93 kontroller. Klicka på ett tema för att utforska.

93 kontroller låter överväldigande. AmpliFlow har alla inbyggda med AI-stöd, automatisk SoA, uppgifter och statusspårning per kontroll.

Varför nu?

Sex krafter som gör ISO 27001 till en nödvändighet

Det här är inte längre en fråga om "borde vi?" utan "när?" Regulatoriska krav, kundkrav och försäkringskrav driver alla mot dokumenterad informationssäkerhet. Och cyberhoten är redan här.

NIS2

Cybersäkerhetslagen (NIS2)

NIS2-direktivet är sedan 15 januari 2026 svensk lag genom cybersäkerhetslagen (SFS 2025:1506). 18 sektorer omfattas. Från energi och transport till digital infrastruktur och hälso- och sjukvård. Ledningen blir personligt ansvarig för bristande cybersäkerhet.

CRA

Cyber Resilience Act

Alla digitala produkter som säljs inom EU måste ha inbyggd cybersäkerhet. Tillverkar ni programvara eller IoT-enheter? CRA gäller er.

Försvar

Försvarsleverantörer

Ska ni leverera till försvaret behövs dokumenterad informationssäkerhet. ISO 27001 är branschstandard. Utan certifiering, ingen upphandling.

Ransomware

Små företag drabbas hårdast

43 % av alla cyberattacker riktas mot små och medelstora företag (Verizon 2025 DBIR). Ett genomsnittligt dataintrång kostar 4,44 MUSD, men även för företag under 500 anställda landar snittet på 2,98 MUSD (IBM Cost of a Data Breach 2025). Det tar i snitt 241 dagar att upptäcka och begränsa ett intrång.

Leverantörskedjan

Er leverantörskedja är en attackyta

30 % av alla intrång kopplas till tredjepartsinblandning, dubbelt så många som året innan (Verizon 2025 DBIR). Utnyttjande av sårbarheter ökade med 34 %. Statligt stödda aktörer intensifierar sina operationer mot EU-organisationer.

Kunder

Kundkrav i leverantörskedjan

Era stora kunder granskas av sina revisorer. Nästa steg: de granskar er. Frågan "Har ni ISO 27001?" kommer. Bättre att ha svaret klart.

Riskbaserat arbetssätt

Från tillgång till åtgärd

ISO 27001 kräver riskbaserat tänkande. AmpliFlow gör det konkret: koppla risker till tillgångar, bedöm dem systematiskt och spåra åtgärder hela vägen.

Tillgångar Vad ska skyddas?

Hot Vad kan hända?

Sårbarheter Var finns svagheterna?

Risker Hur stor är risken?

Åtgärder Vad gör vi åt det?

Levande riskregister

Koppla risker till tillgångar, hot och sårbarheter. Se hur riskbilden förändras över tid.

Statement of Applicability

Använd listor för att spåra alla 93 kontroller med motiveringar och implementeringsstatus.

Samlad riskbild

Koppla risker till processer och tillgångar. Se hur riskbilden förändras och vilka åtgärder som pågår.

Samlad dokumentation

Policyer, rutiner och riskbedömningar på ett ställe. Revisorn hittar det de behöver utan att ni jagar dokument.

Läs mer om riskhantering

Vanliga frågor

Frågor om ISO 27001

Raka svar. Ingen jargong.

Vad är Statement of Applicability (SoA)?

SoA listar alla 93 kontroller i Annex A och dokumenterar för varje kontroll: Är den tillämplig? Varför eller varför inte? Hur är den implementerad? Vem ansvarar? Det är ett av de viktigaste dokumenten vid certifieringsrevisionen.

Måste vi implementera alla 93 kontroller?

Nej. Ni måste överväga alla, men kan utesluta de som inte är relevanta för ert scope och er riskbild. Varje uteslutning måste motiveras. En kontroll för fysisk säkerhet i serverrum är t.ex. inte relevant om ni bara använder molntjänster.

Hur hänger ISO 27001 ihop med NIS2 och cybersäkerhetslagen?

NIS2-direktivet är sedan 15 januari 2026 svensk lag genom cybersäkerhetslagen (SFS 2025:1506). Lagen kräver lämpliga och proportionella tekniska, driftsmässiga och organisatoriska åtgärder. ISO 27001 ger er ett färdigt ramverk för att implementera, dokumentera och visa upp dessa åtgärder. Många organisationer använder ISO 27001 som sin väg till efterlevnad av cybersäkerhetslagen.

Hur lång tid tar certifieringen?

Det beror på storlek och mognad. Gap-analys och riskbedömning tar ett par månader. Implementering och drift tar längst, eftersom ni behöver tid att förankra arbetssätten och samla data. Revisorn vill se att systemet lever i vardagen. Behöver ni visa kunder att ni är på gång? Vi utfärdar ett intyg som bekräftar att ni påbörjat er certifiering.

Vad kostar certifieringen?

Totalkostnaden består av tre delar: 1) Implementering, det vill säga intern arbetstid, eventuellt konsultstöd och systemverktyg. Det här är den största posten. 2) Certifieringsrevision, som varierar beroende på certifieringsorgan och storlek. 3) Löpande underhåll, alltså årliga uppföljningsrevisioner och drift av systemet. Med AmpliFlow minskar implementeringstiden jämfört med att bygga allt från grunden i kalkylark.

Fler frågor?

Vi hjälper er gärna komma igång med ISO 27001.

Kontakta oss

Kontakt

Redo att gå från “vi borde” till “vi gör”?

Boka en demo så visar vi hur AmpliFlow hjälper er bygga ett ISMS som faktiskt lever. Praktiskt fokus, inte säljsnack.