Vad är kontrollerna i ISO 27001 bilaga A?

Skrivet Av
Patrik Björklund
Patrik Björklund
Publicerad
July 3, 2025
Ämne
ISO 27001

När du arbetar med ISO 27001-certifiering stöter du snabbt på "Bilaga A" och dess 93 kontroller. Men vad är egentligen dessa kontroller, och varför är de så viktiga för din informationssäkerhet?

Vad är kontrollerna?

Kontrollerna i ISO 27001 Bilaga A är konkreta säkerhetsåtgärder som skyddar din organisations information. Tänk på dem som säkerhetsregler - precis som du har brandlarm för att skydda byggnaden, har du dessa kontroller för att skydda din information.

Varje kontroll beskriver en specifik säkerhetsåtgärd som din organisation kan implementera. Till exempel:

  • Kontroll 5.1 handlar om att ha tydliga policyer för informationssäkerhet
  • Kontroll 8.2 handlar om att hantera privilegierade användarrättigheter
  • Kontroll 8.16 handlar om nätverkssäkerhet

Vad kontrollerna INTE är

Det är viktigt att förstå vad kontrollerna inte är:

De är inte obligatoriska alla 93. Du väljer vilka som är relevanta för din verksamhet (även om de flesta organisationer behöver nästan alla).

De är inte detaljerade instruktioner. Kontrollerna säger VAD du ska göra, inte exakt HUR du ska göra det. Det är upp till dig att bestämma hur du implementerar dem.

De är inte en checklista att bara bocka av. Varje kontroll kräver reflektion över hur den passar din specifika verksamhet.

De är inte statiska. Kontrollerna utvecklas över tid - den senaste versionen från 2022 innehåller uppdaterade kontroller som speglar dagens säkerhetshot.

Varför finns kontrollerna?

Kontrollerna finns av flera anledningar:

Standardisering: De ger alla organisationer ett gemensamt språk för informationssäkerhet. När du säger att du följer ISO 27001, vet alla vad det innebär.

Beprövad säkerhet: Kontrollerna bygger på decennier av säkerhetserfarenhet från organisationer världen över. Du behöver inte uppfinna hjulet på nytt.

Riskhantering: Varje kontroll adresserar specifika säkerhetrisker. Tillsammans täcker de de flesta säkerhetshot som organisationer möter.

Certifieringsgrund: Kontrollerna är grunden för ISO 27001-certifiering. Utan dem finns ingen standard att certifiera mot.

Hur används kontrollerna?

Kontrollerna används i flera steg:

1. Relevansanalys

Du går igenom alla 93 kontroller och bedömer vilka som är relevanta för din verksamhet. Nästan alla kontroller är relevanta för de flesta organisationer.

2. Gapanalys

För varje relevant kontroll bedömer du om din organisation redan uppfyller den eller inte. Detta visar var du behöver förbättra.

3. Implementering

För kontroller du inte uppfyller skapar du en plan för hur du ska implementera dem. Detta kan innebära nya policyer, tekniska lösningar eller utbildning.

4. Dokumentation

Du dokumenterar hur du uppfyller varje kontroll. Detta görs på två nivåer:

  • SoA-dokumentet: Övergripande beskrivning för externa revisorer
  • Intern dokumentation: Detaljerade instruktioner för din personal

5. Uppföljning

Du följer regelbundet upp att kontrollerna fungerar som tänkt och uppdaterar dem vid behov.

Vem arbetar med kontrollerna?

Arbetet med kontrollerna involverar flera roller:

Ledningen fattar beslut om vilka kontroller som ska implementeras och tilldelar resurser.

Säkerhetsansvarig eller CISO leder arbetet och säkerställer att kontrollerna implementeras korrekt.

IT-avdelningen implementerar tekniska kontroller som brandväggar, säkerhetsuppdateringar och åtkomsthantering.

HR-avdelningen hanterar personrelaterade kontroller som bakgrundskontroller och säkerhetsutbildning.

Alla medarbetare påverkas av kontrollerna genom policyer, rutiner och säkerhetsmedvetenhet.

Externa konsulter kan hjälpa till med implementering och certifieringsförberedelser.

När används kontrollerna?

Kontrollerna används i olika faser:

Före certifiering

  • Analys av vilka kontroller som behövs
  • Implementering av saknade kontroller
  • Dokumentation av hur kontrollerna uppfylls

Under certifieringsprocessen

  • Revisorer granskar hur ni uppfyller kontrollerna
  • SoA-dokumentet visar er tillämpning av kontrollerna
  • Bevis för implementering presenteras

Efter certifiering

  • Regelbunden uppföljning av kontrollernas effektivitet
  • Uppdatering när verksamheten förändras
  • Förberedelse för övervakningsrevisioner

Löpande verksamhet

  • Kontrollerna blir en del av det dagliga säkerhetsarbetet
  • Incidenthantering baserat på kontrollernas riktlinjer
  • Kontinuerlig förbättring av säkerhetsnivån

Praktiska exempel

Kontroll 5.1 - Policyer för informationssäkerhet

  • Vad: Du ska ha dokumenterade säkerhetspolicyer
  • Vem: Ledningen godkänner, säkerhetsansvarig skriver, alla följer
  • När: Innan certifiering, uppdateras årligen

Kontroll 8.8 - Hantering av säkerhetsbrister

  • Vad: Du ska ha rutiner för att hantera säkerhetsproblem
  • Vem: IT-avdelningen implementerar, alla rapporterar problem
  • När: Aktiveras vid säkerhetsincidenter, testas regelbundet

Kontroll 6.1 - Screening

  • Vad: Du ska kontrollera nya medarbetares bakgrund
  • Vem: HR genomför, ledningen godkänner process
  • När: Vid alla nyanställningar, uppdateras vid behov

Sammanfattning

Kontrollerna i ISO 27001 Bilaga A är dina verktyg för att bygga robust informationssäkerhet. De ger dig en beprövad mall för säkerhetsarbetet, men det är upp till dig att anpassa dem till din verksamhet.

Framgång med kontrollerna kräver:

  • Förståelse för vad varje kontroll innebär
  • Engagemang från ledningen
  • Involvering av rätt personer
  • Systematisk implementering
  • Kontinuerlig uppföljning

När du arbetar med kontrollerna, kom ihåg att målet inte är att bara uppfylla en standard - det är att skydda din organisation och skapa förtroende hos dina kunder och partners.

Nästa steg: Använd vår implementeringsguide för att komma igång med arbetet i AmpliFlow. Där får du konkret hjälp med att gå från teori till praktik.

Gratis e-bok
Allt från vad standarder kräver till hur du genomför ett projekt för att etablera ett certifierbart ledningssystem.
Tack! Nu får du snart ett e-post från oss!
Oj! 

Något gick fel.

Hör av dig till support@ampliflow.com.
Free e-book
Everything from what standards require to how you implement a project to establishing a certifiable management system.
Tack! Nu får du snart ett e-post från oss!
Oj! 

Något gick fel.

Hör av dig till support@ampliflow.com.
Behöver ni hjälp att nå ISO-certifiering?
AmpliFlow kan hjälpa dig med allt som behövs för att nå certifiering. Från smarta IT-system till projektledning, utbildning, internrevision och mycket mer. Boka ett möte idag för att få veta mer!
Tack! Vi hör snart av oss!
Oj! 

Något gick fel.

Hör av dig till support@ampliflow.com.
Artiklar

Fler artiklar

Verktyg, information och andra resurser du behöver.
Lagstiftningshantering

ISO 9001 och ISO 14001: Krav på lagstiftningshantering för kvalitets- och miljöledningssystem

ISO 9001 och 14001 kräver lagstiftningshantering för kvalitets- och miljöledningssystem. Organisationer måste identifiera, uppfylla, och övervaka gällande lagar och regler, samt sträva efter kontinuerlig förbättring.
Joakim Stenström
May 15, 2023
Krishantering

Vad är krishantering och nödlägesberedskap?

Lär dig om krishantering och nödlägesberedskap. En tydlig plan skyddar organisationen mot oförutsedda händelser, säkerställer kontinuitet och bevarar varumärkets rykte. Skydda er verksamhet!
Patrik Björklund
February 14, 2025
Tillväxt

Vi är för små för ett ledningssystem, eller?

Upptäck hur ett ledningssystem kan fungera som en tillväxtmotor för små företag och varför det är klokt att börja etablera det tidigt. Läs mer här!
Patrik Björklund
September 12, 2023

Gör som många andra - ta hjälp av AmpliFlow

Boka ett möte idag för att diskutera hur vi kan hjälpa dig med system och/eller stöd.
Litet eller börsnoterat. Rekrytering eller betongindustri. AmpliFlow är för alla.