ISO 27001:2022

Informationssäkerhet med struktur —
certifiera dig med rätt stöd

ISO 27001:2022 är den internationella standarden för ledningssystem för informationssäkerhet (ISMS). Den innehåller 93 kontroller fördelade på fyra kontrollkategorier — och kräver en fullständig Statement of Applicability.

Starta gap-analys gratis

Vad är ISO 27001?

ISO/IEC 27001 är en internationell standard som specificerar krav för att upprätta, implementera, underhålla och kontinuerligt förbättra ett ledningssystem för informationssäkerhet (ISMS). Standarden reviderades senast 2022 och ersatte 2013 års version.

Syftet är att skydda information genom konfidentialitet, integritet och tillgänglighet — oavsett om informationen lagras digitalt, på papper eller i medarbetarnas huvuden.

En certifiering kräver att organisationen genomför en riskanalys, väljer lämpliga kontroller från Annex A och dokumenterar sina beslut i en Statement of Applicability (SoA).

ISO 27001 är i praktiken ett krav för att leverera till offentlig sektor, stora bolag och internationella kunder inom techsektorn. NIS2-direktivet och Cybersäkerhetslagen 2026 hänvisar också till standarden.

93 kontroller i Annex A

ISO 27001:2022 organiserar kontrollerna i fyra kategorier. Du väljer vilka som är tillämpliga för din organisation och motiverar undantagen i SoA.

A.537 kontroller

Organisatoriska kontroller

A.68 kontroller

Personkontroller

A.714 kontroller

Fysiska kontroller

A.834 kontroller

Tekniska kontroller

Totalt 93 kontroller. ISO 27001:2022 lade till 11 nya kontroller jämfört med 2013 års version — bl.a. hotintelligens, molnsäkerhet och DataLeakage Prevention (DLP).

Statement of Applicability (SoA)

SoA är det centrala dokumentet i en ISO 27001-certifiering. Det listar alla 93 kontroller, anger om varje kontroll är tillämplig, dokumenterar implementeringsstatus och motiverar undantag. Revisorerna granskar SoA noggrant — och ett ofullständigt dokument stoppar certifieringen.

Hur itsäkerhet.com hanterar SoA

Statement of Applicability (SoA) med alla 93 kontroller
AI-driven frågeguide per kontroll — steg-för-steg bedömning
Gap-analys: identifiera saknade kontroller direkt
Spara implementeringsstatus och motiveringar per kontroll
Exportera SoA som underlag för certifieringsrevision
Länk till relaterade ISO 27002-riktlinjer per kontroll

Vanliga frågor om ISO 27001

Hur lång tid tar en ISO 27001-certifiering?

Typiskt 6–18 månader för ett SME, beroende på nuläget. Med en tydlig gap-analys och ett strukturerat SoA-arbete kan processen kortas avsevärt.

Måste alla 93 kontroller implementeras?

Nej. Du väljer de kontroller som är relevanta för din organisation och motiverar varför övriga är undantagna. Det är just detta SoA-dokumentet ska visa.

Vad skiljer ISO 27001:2022 från 2013 års version?

2022-versionen har 93 kontroller (mot 114 tidigare), omorganiserade i fyra kategorier. Elva nya kontroller tillkom, bl.a. hotintelligens, molnsäkerhet och DLP.

Hur hänger ISO 27001 ihop med NIS2?

NIS2-direktivet (§ 21) hänvisar till ISO 27001 som ett sätt att uppfylla kraven. En certifiering ger dig ett strukturerat underlag för NIS2-efterlevnad.

Relaterade guider

Påbörja din ISO 27001-certifiering

Starta med en gap-analys — se exakt var ni står mot de 93 kontrollerna. 14 dagars provperiod, inget kreditkort krävs.