Informationssikkerhed › ISO2700X

ISO 27001 certificering: En praktisk guide til certificerings-processen

Alt hvad du behøver at vide om ISO 27001 certificering. Trin-for-trin guide til certificeringsprocessen, tidslinje, omkostninger og de fejl, der oftest forsinker processen.

Book a Demo
ISO 27001 certificering illustration – compliance-professionel med overblik over informationssikkerhedssystem

Indholdsfortegnelse

    Der er et øjeblik i mange organisationers liv, hvor nogen stiller spørgsmålet: "Skal vi ikke bare tage en ISO 27001 certificering?"

    ISO 27001 certificering er den formelle bekræftelse på, at din organisation har et velfungerende ISMS (Information Security Management System), der lever op til kravene i den internationale standard for informationssikkerhed. For at opnå den skal du definere scope, gennemføre en risikovurdering, implementere kontroller og politikker, bestå en ekstern audit i to trin og vedligeholde systemet løbende. For de fleste mellemstore organisationer tager processen 6-18 måneder og koster typisk 150.000-400.000 kr. alt inklusiv.

    Illustration der viser strukturen i ISO 27001 certificeringsprocessen med seks faser fra scope-definition til løbende vedligeholdelse

    Det lyder som meget. Men det er heller ikke umuligt, og det er faktisk langt mere opnåeligt end de fleste forestiller sig, første gang de kigger på kravlisten.

    Denne guide gennemgår certificeringsprocessen trin for trin: hvad den kræver, hvad den koster, og hvad der oftest forsinker den.

    Hvad er ISO 27001 certificering?

    ISO 27001 er den internationale standard for informationssikkerhed. Mere præcist: den definerer, hvad et velfungerende ISMS (Information Security Management System) kræver.

    Et ISMS er ikke bare en samling politikker og dokumenter. Det er et ledelsessystem, der sikrer, at informationssikkerhed er forankret i organisationens daglige drift og beslutningstagning. Fortrolighed, integritet og tilgængelighed af information (den såkaldte CIA-triade) er det centrale omdrejningspunkt.

    En ISO 27001 certificering er den formelle bekræftelse fra et akkrediteret certificeringsorgan på, at din organisation lever op til standardens krav. Certifikatet er gyldigt i tre år, men kræver løbende overvågningsaudit, typisk én gang om året.

    Den seneste version er ISO 27001:2022, som erstattede 2013-versionen. Alle certifikater baseret på 2013-versionen udløb i oktober 2025, så det er 2022-versionen, der gælder i dag.

    Læs mere om hvad ISO 27001 compliance indebærer.

    Hvad kræver ISO 27001 certificeringen?

    Standarden består af to hoveddele: de obligatoriske klausulkrav (kapitel 4-10) og kontrolkravene i Annex A.

    Klausulkravene handler om selve ledelsessystemet:

    • Kontekst og scope: Hvad er ISMS'ets omfang? Hvilke aktiver, processer og systemer er inkluderet?
    • Ledelsesopbakning: Topledelsen skal aktivt forpligte sig. Det kan ikke uddelegeres til IT-afdelingen alene.
    • Risikovurdering og -behandling: Systematisk identifikation og håndtering af informationssikkerhedsrisici.
    • Dokumentation og bevidsthed: Politikker, procedurer og medarbejderkendskab skal dokumenteres og vedligeholdes.
    • Intern audit og ledelsesgennemgang: Regelmæssig evaluering af ISMS'ets effektivitet.
    • Kontinuerlig forbedring: Afvigelser og forbedringsmuligheder håndteres struktureret.

    Annex A indeholder 93 kontroller i 2022-versionen, fordelt på organisatoriske, personalemæssige, fysiske og teknologiske kontroller. Organisationen skal tage stilling til alle kontroller via en Statement of Applicability (SoA), som dokumenterer hvilke kontroller der er relevante, og om de er implementeret.

    Valgfri betyder her ikke ligegyldig. Annex A-kontrollerne er output af risikovurderingen. Standarden forudsætter, at du dokumenterer, hvorfor en kontrol eventuelt er fravalgt.

    Tjek vores ISO compliance tjekliste for et komplet overblik over kravene, og læs om informationssikkerhedsrisiko-styring for dybere indsigt i risikovurderingsprocessen.

    ISO 27001 certificeringsprocessen trin for trin

    Vejen mod certificeringen følger typisk seks faser. Tidslinjen varierer afhængigt af organisationens størrelse, kompleksitet og startpunkt.

    Infografik over ISO 27001 certificeringsprocessen med seks trin: forberedelse, gap-analyse, ISMS-implementering, intern audit, ekstern audit og certificering

    1. Forberedelse og scope-definition

    Første skridt er at fastlægge omfanget af ISMS'et. Skal det dække hele organisationen, eller kun specifikke afdelinger, systemer eller services?

    Scope-valget har stor betydning for, hvad der skal dokumenteres og auditeres. Et for smalt scope er risikabelt, fordi kritiske systemer kan stå uden for ISMS'et. Et for bredt scope gør projektet unødigt komplekst. Det rigtige scope kræver en bevidst og afbalanceret vurdering.

    Det er også her, ledelsesforankringen bør etableres, og ressourcerne til projektet afklares.

    2. Gap-analyse

    Hvor står I nu? En grundig gap-analyse kortlægger, hvad der allerede er på plads, hvad der mangler, og hvad der skal forbedres. Mange organisationer opdager her, at de allerede gør meget rigtigt, men bare ikke har det dokumenteret.

    Gap-analysen giver grundlaget for projektplanen og er afgørende for et realistisk tidsskøn.

    3. ISMS-implementering

    Dette er den mest ressourcekrævende fase. Politikker og procedurer udarbejdes, risikovurderinger gennemføres, Annex A-kontroller implementeres, og medarbejdere oplæres.

    Strukturen og dokumentationskravene er klare, men arbejdet er reelt. Det er her, et compliance-system kan spare mange timer og reducere risikoen for at misse noget undervejs.

    4. Intern audit

    Inden den eksterne auditering skal organisationen gennemføre en intern audit. Formålet er at verificere, at ISMS'et fungerer som beskrevet, og at identificere eventuelle afvigelser, inden den formelle gennemgang.

    En intern audit er ikke en formalitet. Den er en reel kvalitetssikring af, om papirarbejdet matcher praksis.

    5. Ekstern audit: Stage 1 og Stage 2

    Den eksterne audit foregår i to trin.

    Stage 1 er en dokumentationsgennemgang. Certificeringsorganet undersøger, om organisationens dokumentation er klar og dækker standardens krav. Det er en vurdering af, om I er klar til den egentlige audit. Typiske fund her er manglende eller ufuldstændige dokumenter, for eksempel en SoA der ikke er opdateret, eller manglende bevis for ledelsesgennemgang.

    Stage 2 er den egentlige audit. Her verificerer auditøren, om det dokumenterede faktisk er implementeret i praksis. Medarbejdere interviewes, systemer inspiceres, og processer gennemgås. Det er ikke en eksamen med rigtige og forkerte svar, men en systematisk vurdering af, om jeres ISMS er reelt og funktionelt.

    Illustration der sammenligner ISO 27001 Stage 1 dokumentationsaudit med Stage 2 on-site audit og viser forskellen på de to auditformer

    6. Certificering og løbende vedligeholdelse

    Godkendes Stage 2, udstedes ISO 27001 certifikatet. Det er gyldigt i tre år, men kræver to overvågningsaudit (typisk efter år 1 og år 2) og en re-certificeringsaudit efter tre år.

    Certificeringen er ikke et projekt, der afsluttes. Det er en løbende forpligtelse. Organisationer, der behandler det som et projekt og derefter "slapper af", oplever typisk problemer ved de efterfølgende overvågningsaudit.

    Læs mere om, hvad et ISMS indebærer i praksis.

    Hvor lang tid tager det at blive ISO 27001 certificeret?

    Det ærlige svar: det varierer. Men en realistisk tidslinje for en mellemstor organisation, der starter fra bunden, ser typisk sådan ud:

    Fase Typisk varighed
    Forberedelse og gap-analyse 1-2 måneder
    ISMS-implementering 3-9 måneder
    Intern audit og korrektion 1-2 måneder
    Ekstern audit og certificering 1-3 måneder
    Samlet 6-18 måneder

    Organisationer med en moden sikkerhedskultur og eksisterende dokumentation kan gennemføre det hurtigere. Organisationer med mange systemer, mange afdelinger eller komplekse forsyningskæder bruger typisk tid i den øvre ende af skalaen.

    Et accelereret forløb på 4-6 måneder er muligt, men kræver dedikerede ressourcer og stærk ledelsesopbakning fra dag ét.

    Hvad koster ISO 27001 certificering?

    Omkostningerne falder i tre kategorier.

    Visuel opdeling af ISO 27001 certificeringsomkostninger fordelt på interne ressourcer, ekstern konsulentbistand og certificeringsgebyr til certificeringsorgan

    Interne ressourcer er typisk den største post og den sværeste at estimere præcist. Et realistisk bud for en mellemstor organisation er 0,5-1 fuldtidsækvivalent dedikeret til projektet i implementeringsfasen.

    Ekstern konsulentbistand bruges af mange organisationer til gap-analyse, ISMS-implementering og forberedelse til audit. Priserne varierer meget, men regn med 100.000-300.000 kr. for et gennemsnitligt implementeringsforløb.

    Certificeringsomkostninger er gebyret til det akkrediterede certificeringsorgan. For en mellemstor organisation ligger det typisk i intervallet 30.000-80.000 kr. for det samlede forløb inklusive Stage 1, Stage 2 og den første overvågningsaudit.

    Et compliance-system, der understøtter ISMS-dokumentation, risikovurderinger og auditering, kan reducere de interne ressourceomkostninger mærkbart, fordi strukturen er på plads fra dag ét.

    ISO 27001 og EU-lovgivning: GDPR og NIS2

    Et spørgsmål vi hører ofte: Har vi brug for ISO 27001, når vi allerede er GDPR-compliant?

    GDPR og ISO 27001 overlapper, men de er ikke det samme. GDPR handler om beskyttelse af personoplysninger. ISO 27001 handler om informationssikkerhed i bred forstand, herunder systemer, aktiver og forretningsprocesser der måske slet ikke involverer personoplysninger. En stærk ISO 27001-implementering styrker din GDPR-compliance, men det er ikke en erstatning for den.

    For organisationer, der er omfattet af NIS2, er ISO 27001 endnu mere relevant. Standarden dækker 70-80% af NIS2's krav til sikkerhedsforanstaltninger, og en ISO 27001-certificering kan gøre det markant lettere at dokumentere NIS2-overholdelse over for de nationale myndigheder.

    Forholdet er altså ikke enten/eller. Det er snarere et spørgsmål om, hvad der er obligatorisk (GDPR og eventuelt NIS2) og hvad der giver strategisk mening at arbejde mod oven i (ISO 27001).

    Venn-diagram der viser overlap og forskelle mellem ISO 27001, GDPR og NIS2 med 70-80 procent overlap markeret mellem ISO 27001 og NIS2

    Læs vores komplette sammenligning af NIS2 og ISO 27001, hvor vi gennemgår overlap og gaps i detaljer.

    De mest almindelige fejl under ISO 27001 certificeringen

    At starte med kontrollerne frem for risiciene. Annex A-kontrollerne er svar på risici, ikke en tjekliste der udfyldes for sin egen skyld. Organisationer, der hopper direkte til kontrollerne uden en ordentlig risikovurdering, ender med kontroller der ikke matcher den faktiske risikoprofil. Det opdager auditøren.

    Compliance-teater. Dokumenterne er skrevet, men praksis er ikke ændret. Auditørerne er vant til det og er gode til at finde det. En ISO 27001-audit er ikke et papirscheck, det er en verifikation af, om jeres sikkerhedskultur er reel.

    Manglende topledelsesopbakning. ISO 27001 kræver aktiv involvering fra topledelsen, ikke blot en underskrift på en sikkerhedspolitik. Certificeringsforløb, der behandles som et IT-projekt uden ledelsesmandat, kæmper konsekvent mere.

    For bredt eller for smalt scope. Et scope der er defineret i hast, skaber problemer hele vejen igennem. Brug tid her i starten.

    At glemme vedligeholdelsen. Mange fokuserer på at få certifikatet og undervurderer, hvad det kræver at holde det. Et ISMS der ikke løbende vedligeholdes, mister sin effektivitet, og det viser sig ved de efterfølgende overvågningsaudit.

    Kom i gang med din ISO 27001 certificering

    Et compliance-system kan gøre en mærkbar forskel i et certificeringsforløb. Ikke fordi dokumenterne skriver sig selv, men fordi strukturen og logikken er på plads fra dag ét: risikovurderinger, kontroller, politikker, Statement of Applicability, audit-log og løbende opfølgning, alt samlet ét sted.

    Overblik over ISO27001 frameworket i aktion i .legal platformen

    .legals ISMS-løsning er bygget direkte til at understøtte ISO 27001-kravene. Se .legals platform til informationssikkerhed, eller udforsk vores frameworks-modul for at se, hvordan ISO 27001-rammeværket er struktureret i platformen.

    Oftest stillede spørgsmål om ISO 27001 certificering

    Hvad er ISO 27001 certificering?

    ISO 27001 certificering er en formel bekræftelse fra et akkrediteret certificeringsorgan på, at din organisations ISMS (Information Security Management System) lever op til kravene i ISO/IEC 27001-standarden. Certifikatet er gyldigt i tre år med løbende overvågningsaudit.

    Hvad er forskellen på ISO 27001:2013 og ISO 27001:2022?

    ISO 27001:2022 opdaterede Annex A fra 114 kontroller i 14 domæner til 93 kontroller i 4 temaer og tilføjede 11 nye kontroller, der dækker bl.a. cloud-sikkerhed, trusselsintelligens og sikker kodning. Klausulstrukturen forblev stort set uændret. Alle certifikater baseret på 2013-versionen udløb i oktober 2025.

    Hvem kan udstede en ISO 27001 certificering?

    Kun akkrediterede certificeringsorganer kan udstede ISO 27001 certifikater. I Danmark er det organer akkrediteret af DANAK. Eksempler på certificeringsorganer aktive i Danmark er Bureau Veritas, DNV og SGS.

    Hvor lang tid tager det at opnå ISO 27001 certificering?

    For de fleste mellemstore organisationer er 6-18 måneder et realistisk estimat. Fordelingen er typisk: 1-2 måneder til forberedelse og gap-analyse, 3-9 måneder til ISMS-implementering, 1-2 måneder til intern audit og korrektion, og 1-3 måneder til ekstern audit og certificering.

    Hvad koster ISO 27001 certificering?

    Totalomkostningen afhænger af organisationens størrelse og startpunkt. Regn med certificeringsgebyrer på 30.000-80.000 kr., potentiel konsulentbistand på 100.000-300.000 kr. og interne ressourcer svarende til 0,5-1 fuldtidsækvivalent i implementeringsfasen. Samlet ligger de fleste forløb i intervallet 150.000-400.000 kr.

    Hvad er en Statement of Applicability (SoA)?

    En SoA er et centralt dokument i ISO 27001, der for hver af standardens 93 Annex A-kontroller dokumenterer, om kontrollen er relevant for organisationen, om den er implementeret, og med hvilken begrundelse eventuelle fravalgne kontroller er udeladt. Det er et af de første dokumenter, et certificeringsorgan kigger på.

    Hvad er forskellen på Stage 1 og Stage 2 audit?

    Stage 1 er en dokumentationsgennemgang, hvor auditøren vurderer, om organisationens dokumentation er klar og dækker standardens krav. Stage 2 er den egentlige on-site audit, hvor auditøren verificerer, at det dokumenterede faktisk er implementeret i praksis.

    Er ISO 27001 certificering obligatorisk?

    Nej. ISO 27001 er en frivillig standard. Ingen EU-regulering kræver specifikt en ISO 27001-certificering, men for organisationer omfattet af NIS2 eller DORA kan certificeringen gøre det lettere at dokumentere overholdelse af lovgivningens sikkerhedskrav.

    Hvad sker der, når ISO 27001 certifikatet udløber?

    Certifikatet er gyldigt i tre år. Inden udløb gennemføres en re-certificeringsaudit. Undervejs kræves to overvågningsaudit, typisk efter år 1 og år 2. Hvis re-certificeringsaudit ikke gennemføres, bortfalder certifikatet.

    Kan ISO 27001 erstatte NIS2 compliance?

    Nej. ISO 27001 er en frivillig standard; NIS2 er lovgivning med obligatoriske krav for organisationer i kritiske og vigtige sektorer. ISO 27001 dækker dog 70-80% af NIS2's sikkerhedskrav, og en certificering styrker dokumentationen af NIS2-overholdelse betydeligt. De to er komplementære, ikke alternative.

    Har du fortsat spørgsmål?

    Spørg Johannes direkte, han giver de fleste af vores demoer personligt

    Book ham her

    Læs mere om informationssikkerhed og ISO 27001

    Vil du dykke længere ned i ISMS, NIS2 og best practice for informationssikkerhed? Udforsk vores artikler om certificering, compliance og risikostyring.

    Processing activities

    .legal compliance platform Skab fundamentet for ISO 27001 certificering

    Brug .legal til at styre dit ISMS, gennemføre risikovurderinger, dokumentere Annex A-kontroller og Statement of Applicability og holde audit-klar dokumentation samlet ét sted - bygget direkte til ISO 27001.
    • Fuld ISO27001 skabelon
    • Dokumentation og audit spor
    • Koordiner ift. koncernstruktur
    • Se overlap med andre frameworks
    Start nu - gratis
    Book demo
    +400 virksomheder bruger .legal
    Region Sjælland
    Aarhus Universitet
    aj_vaccines_logo
    Realdania
    Right People
    IO Gates
    PLO
    Finans Danmark
    geia-food
    Vestforbrænding
    Evida
    Klasselotteriet
    NRGI1
    BLUE WATER SHIPPING
    Karnov
    VP Securities
    AH Industries
    Ingvard Christensen
    Lægeforeningen
    InMobile
    AK Nygart
    DEIF
    DMJX
    KAUFMANN (1)
    qUINT Logo
    Axel logo
    SMILfonden-logo
    skodsborg_logo-1
    nemlig.com
    Molecule Consultancy
    Novicell
    Footer topswirl

    Info

    .legal A/S

    hello@dotlegal.com
    +45 7027 0127

    CVR: 40888888

    Support

    support@dotlegal.com
    +45 7027 0127
    Brug for hjælp?

     

    Kontor

    Aarhus

    Store Torv 14, 2. sal
    8000 Aarhus C

    Vi går op i sikkerhed

    Download vores erklæringer:

    ISAE 3000

    ISAE 3402

    Moduler

    Lad mig hjælpe jer i gang

    joa i blob
    Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
    arrow-right-white Få en demo

    .legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

    Footer bottomswirl