ISO 27001: riskregister som håller för revision
ISO 27001:2022 kräver en dokumenterad, återkommande riskbedömning av informationssäkerhet. RiskNote ger dig riskregistret, 5x5-matrisen och spårbarheten, så att revisorn inte behöver leta länge efter svaret på ”hur kom ni fram till denna risk?”.
Vad är ISO 27001?
ISO 27001 är en internationell standard för informationssäkerhetsledningssystem (ISMS). Den är den mest använda certifieringen för informationssäkerhet, tusentals svenska företag och myndigheter är certifierade.
Senaste versionen är ISO 27001:2022, som ersatte ISO 27001:2013. Huvudförändringar: Annex A har omstrukturerats från 14 kategorier till 4 (organisatorisk, personell, fysisk, teknisk), och antal kontroller minskat från 114 till 93.
Riskhantering är en central del av ISMS (klausul 6.1) och utförs enligt ISO 27005, som är en tillämpning av ISO 31000 på informationssäkerhetsrisker.
ISO 27001-riskhantering (klausul 6.1)
1. Definiera riskkriterier
Risktolerans, skalor för sannolikhet och konsekvens, kriterier för acceptans.
2. Identifiera informationssäkerhetsrisker
Systematisk genomgång av tillgångar (information, system, människor, processer) och hot.
3. Analysera och utvärdera
Bedöm risk × konsekvens. Prioritera enligt kriterierna från steg 1.
4. Välj riskbehandling
Acceptera, minska, överföra, undvika. Välj kontroller från ISO 27001 Annex A (eller egna).
5. Producera Statement of Applicability (SoA)
Dokument som listar alla 93 Annex A-kontroller med status (tillämplig/ej tillämplig) och motivering. Revidsunderlag.
6. Återkommande uppföljning
Riskregister uppdateras minst årligen och vid stora förändringar. Ledningens granskning.
ISO 27001-riskregisterchecklista
Identifierade tillgångar
Informationssäkerhetsrisker utgår från tillgångar: data, system, nätverk, personal, lokaler.
Identifierade hot och sårbarheter
Vad kan gå fel? Hot × sårbarhet = risk.
Bedömd sannolikhet
Skala 1–5 (eller motsvarande). Konsekvent tillämpning.
Bedömd konsekvens (CIA)
Konfidentialitet, integritet, tillgänglighet. Varje skyddsmål bedöms separat eller aggregerat.
Riskägare per risk
En namngiven person ansvarar för varje risk. RiskNote delegeringsfunktion (V1.1) stödjer detta.
Kontrollval och mappning
Varje risk mappas till Annex A-kontroll(er) eller egen kontroll. Dokumenteras i SoA.
Restrisk efter behandling
Bedömning av residualrisk efter att kontroller är implementerade. Måste accepteras av riskägare.
Versionshistorik
Revisionsunderlag kräver spårbarhet, vem ändrade vad, när och varför.
Så stödjer RiskNote ISO 27001
RiskNote implementerar ISO 31000-processen som ISO 27005 bygger på. AI:n föreslår informationssäkerhetsrisker. 5x5-matrisen visualiserar prioritering. Status och versionshistorik ger revisorn spårbarhet.
ISO 27001-specifika funktioner: mappning till Annex A-kontroller per risk, auto-genererad SoA-rapport, och roll som ”riskägare” planeras till V1.2 (Q3 2026). Idag används fritext för mappningen, fungerar väl för de flesta organisationer.
Vanliga frågor om ISO 27001
Räcker RiskNote för ISO 27001-certifiering?
RiskNote täcker riskhanteringsdelen (klausul 6.1 och 8.2-8.3) mycket väl. Men ISO 27001 certifiering kräver också ett fullständigt ISMS: policyer, processer för incidenthantering, asset management, leverantörsgranskning, kontinuitetsplanering. RiskNote är ett starkt verktyg men inte hela ISMS-lösningen för större organisationer.
Hur kopplar vi risker till Annex A-kontroller?
Idag använder du fritext-fältet på risken för att referera till kontroller (t.ex. ”A.5.1, A.8.12”). Explicit Annex A-mappning lanseras i V1.2 (Q3 2026).
Stöder RiskNote både ISO 27001:2013 och :2022?
Ja, principen är densamma, bara antalet kontroller skiljer. Om ni fortfarande certifierar mot :2013 fungerar RiskNote lika väl. Vi rekommenderar att planera migration till :2022 innan 2025.
Kan vi producera en Statement of Applicability från RiskNote?
SoA-generering är planerad V1.2. Idag kan ni exportera risker och kontroller till PDF/CSV och sammanställa SoA i Excel eller Word.
Vad är skillnaden mellan ISO 27001 och SOC 2?
ISO 27001 är europeisk/internationell och systemlik (certifiering av ISMS). SOC 2 är amerikansk och revisorbaserad (Type 1 eller Type 2). De överlappar på kontrollnivå men certifieringsprocessen skiljer sig. Många företag gör båda.
Börja bygga ert ISO 27001-riskregister
RiskNote ger dig struktur, AI-förslag och spårbarhet från dag ett. Starta en gratis provperiod.