Guide för ISO 27001 Bilaga A-kontroller i AmpliFlow

Patrik Björklund
Uppdaterad
Jul 3, 2025

Välkommen till vår guide för att genomföra implementering av ISO 27001 Bilaga A-kontroller med AmpliFlow som en del av ert ISO-certifieringsprojekt.

Denna guide hjälper er att komma igång med vår modul för ISO 27001-kontroller och säkerställer att processen genomförs smidigt och effektivt.

Grundförståelse

ISO 27001 Bilaga A innehåller 93 säkerhetskontroller som skyddar er information. Dessa kontroller fungerar som säkerhetsregler för ert företag - precis som ni har brandlarm för att skydda byggnaden, behöver ni dessa kontroller för att skydda er information.

Grundförståelse

För att komma igång är det bra att ha grundläggande kunskap om vad ett medarbetarsamtal är och varför det är viktigt.

Varför är detta viktigt för er?

För dig som medarbetare: Du får tydliga riktlinjer för hur du ska hantera information säkert i ditt dagliga arbete.

För ert team: Ni får gemensamma rutiner som gör att alla jobbar på samma sätt med informationssäkerhet.

För företaget: Ni får ISO 27001-certifiering som visar kunder att ni tar informationssäkerhet på allvar, vilket ofta krävs för att få stora kontrakt.

Läs vår artikel om "Vad är kontrollerna i ISO 27001 Bilaga A?" för att få veta mer.

Hur ska det göras?

En stor del av arbetet är redan förberett genom våra exempel på alla 93 kontroller från ISO 27001 Bilaga A samt implementationsguider för varje kontroll.

Det ni behöver göra nu är att:

  1. Tilldela behörigheter till de som ska arbeta med kontrollregistret
  2. Gå igenom varje kontroll och uppdatera informationen så att den stämmer överens med er verksamhet
  3. Bedöma relevans för varje kontroll (nästan alltid JA)
  4. Bedöma uppfyllelse - uppfyller ni kontrollen redan eller inte
  5. Implementera kontroller ni inte uppfyller genom att använda våra implementationschecklistor
  6. Anpassa exempeltexterna till er verksamhet
  7. Gå igenom och bocka av kontrollpunkterna i implementationschecklistan
  8. Länka till den publicerade dokumentationen som visar hur ni uppfyller kontrollerna
  9. Länka till verktyg som ni använder för att uppfylla kontrollerna
  10. Om ni arbetar med en konsult från AmpliFlow, meddela denne att arbetet är redo för genomgång

Tips för framgångsrikt genomförande

  • Se till att alla som arbetar med ISO 27001-kontrollerna förstår vad informationssäkerhet innebär och varför arbetet görs
  • Börja med kontroller ni redan uppfyller - det ger snabba framsteg och motivation
  • Prioritera kontroller som är kritiska för er verksamhet eller som kunder ofta frågar efter
  • Om arbetet delas upp, var tydlig med ansvarsfördelningen och sätt deadlines
  • Sätt en tydlig tidsplan och boka in eventuella avstämningsmöten redan nu
  • Involvera rätt personer - olika kontroller kräver olika expertis (IT, HR, juridik, verksamhet)
  • Dokumentera allt ni gör - certifieringsorganet vill se bevis för att ni faktiskt genomför det ni säger
  • Tänk på att detta inte bara är pappersarbete - varje kontroll ni implementerar gör ert företag säkrare
  • Förmedla resultatet till relevanta interna team och intressenter

Förklaring av respektive kolumn

Area: Visar vilket område kontrollen tillhör, t.ex. "Organisatoriska kontroller", "Personkontroller" eller "Tekniska kontroller". Detta hjälper er att förstå vilken typ av åtgärd som krävs och vem som bör vara ansvarig.

Requirement section reference: Anger den exakta referensen till kontrollen i ISO 27001 Bilaga A, t.ex. "5.1" eller "8.8". Denna referens används i ert SoA-dokument.

Control: Den exakta kontrolltexten från ISO 27001 Bilaga A som beskriver vad som krävs.

Requirement explanation: Innehåller en detaljerad förklaring av kontrollen, varför den är viktig, hur den relaterar till andra kontroller och vilka branschstandarder som är relevanta. Denna information hjälper er att förstå kontexten och implementera kontrollen korrekt. Denna kolumn skrivs inte ut i SoA-dokumentet utan är endast för er interna förståelse.

Assessed as relevant: Här anger ni om kontrollen är relevant för er verksamhet eller inte. Nästan alla kontroller är relevanta för alla organisationer - det är mycket ovanligt att kunna anse kontroller som inte relevanta.

If No - justification: Om ni bedömer att en kontroll inte är relevant (vilket är ovanligt), måste ni motivera varför med en detaljerad förklaring. Denna motivering granskas noga av certifieringsorganet och måste vara välgrundad.

Do we fulfill the requirement: Markera om ni uppfyller kontrollen idag eller inte. Detta ger en snabb överblick över er nuvarande status och visar vad som behöver implementeras.

Implementation checklist: En steg-för-steg guide för vad som konkret behöver göras för att uppfylla kontrollen. Använd denna som arbetslista för implementeringen - bocka av varje punkt när den är klar. Denna information skrivs inte ut i SoA-dokumentet utan är endast för ert interna arbete.

Example description of how we fulfill the requirement: Förslag på detaljerad text som beskriver hur ni uppfyller kontrollen. Denna text är avsedd för att hjälpa er att jobba med det specifika kravet isolerat. När allt är klart kan texten ligga kvar eller flyttas till exempelvis AmpliFlow pages för att tillgängliggöras för resten av organisationen. Denna kolumn skrivs inte ut i SoA-dokumentet.

Example how we fulfill the requirement (SoA): Förslag på generisk text som beskriver att ni uppfyller kontrollen. Denna text är i stort sett en spegling av själva ISO-texten - om kontrollen säger "ni ska" så säger den här "vi gör". Den säger inte hur ni gör det, bara att ni gör det. Denna text är avsedd för ert SoA-dokument och ska vara övergripande och generisk.

Link to documentation: Lägg till en länk till det ställe där er detaljerade dokumentation finns som visar exakt hur ni uppfyller kontrollen. Notera att det ska vara en (1) länk för att tvinga fram bra struktur - om ni har flera dokument, skapa en samlingsplats för dessa. Denna information skrivs inte ut i SoA-dokumentet utan är endast för ert interna arbete.

Link to tool: Lägg till en (1) länk till verktyg eller system som ni använder för att uppfylla kontrollen. Om flera verktyg används bör detta vara en länk till dokumentation om alla de olika verktygen som används. Denna information skrivs inte ut i SoA-dokumentet utan är endast för ert interna arbete.

Viktigt att förstå: Skillnaden mellan SoA och intern dokumentation

SoA-dokumentation (Statement of Applicability) ska vara:

  • Övergripande och generisk
  • Fokuserad på VAD ni gör, inte HOW i detalj
  • Fri från känsliga tekniska detaljer eller specifika systemnamn

Intern dokumentation ska vara:

  • Detaljerad och specifik
  • Innehålla exakta steg-för-steg instruktioner
  • Inkludera tekniska detaljer, systemnamn och konfigurationer
  • Användbar för er personal i det dagliga arbetet

Varför denna uppdelning? SoA-dokumentet granskas av externa revisorer vid certifieringsrevisionen, men det är framför allt ni själva som kommer att använda det regelbundet för att visa kunder, partners och andra intressenter att ni uppfyller ISO 27001-kraven. SoA-dokumentet är ert "visitkort" för informationssäkerhet. Genom att hålla det generiskt skyddar ni känslig information samtidigt som ni visar att ni uppfyller kraven. Den detaljerade dokumentationen behåller ni internt för att säkerställa att arbetet faktiskt utförs korrekt.

Vilka kolumner skrivs ut i SoA-dokumentet?

Följande kolumner inkluderas i ert SoA-dokument:

  • Area
  • Requirement section reference
  • Control
  • Assessed as relevant
  • If No - justification
  • Do we fulfill the requirement
  • Example how we fulfill the requirement (SoA)

Följande kolumner är endast för ert interna arbete och skrivs INTE ut i SoA-dokumentet:

  • Requirement explanation
  • Implementation checklist
  • Example description of how we fulfill the requirement
  • Link to documentation
  • Link to tool

Genom att följa denna guide får ni en smidig och effektiv upplevelse med ISO 27001-implementeringen i AmpliFlow. Om ni har frågor eller behöver ytterligare stöd, kontakta vår support.

Kontakt:

Behöver du hjälp?
Hör av dig, vi finns här för att hjälpa dig.
Tack! Nu får du snart ett e-post från oss!
Oj! 

Något gick fel.

Hör av dig till support@ampliflow.com.