Secify.com

ISO27002 - Kontroller, struktur och hur du använder standarden

14 februari, 2026
Uppskattad lästid: 6 min

ISO27002 är en internationell standard som primärt består av så kallade kontroller. Varje kontroll beskriver vad som bör göras för att förbättra säkerheten, men inte exakt hur det ska göras. Här måste du anpassa kontrollerna efter din organisations behov, risker och verksamhet. Standarden är med andra ord inte en certifieringsstandard i sig, utan mer en vägledning för hur man väljer, designar och förbättrar sina säkerhetskontroller. Därför används ISO27002 nästan alltid tillsammans med ISO 27001, som är standarden för att bygga och certifiera ett ledningssystem.

ISO27002:

  • ger ett gemensamt språk för säkerhet (lättare att kravställa och följa upp)

  • hjälper organisationen att gå från “ad hoc” till systematik

  • passar både små och stora verksamheter (kontroller väljs efter risk)

  • gör det enklare att koppla säkerhetsarbete till verksamhetsmål och prioriteringar

ISO27002:2022 i korthet – ny struktur och 93 kontroller

Den moderna versionen av ISO27002 (2022) har 93 kontroller. Kontrollerna är grupperade i fyra tydliga teman, vilket gör standarden mer lättnavigerad och mer anpassad till hur organisationer faktiskt arbetar. Så här ser uppdelningen ut.

  1. Organisatoriska kontroller – styrning, policyer, processer, ansvar, leverantörer m.m.

  2. Personrelaterade kontroller – beteenden, roller, utbildning, anställningens livscykel

  3. Fysiska kontroller – lokaler, åtkomst till byggnader, skydd av fysisk utrustning

  4. Teknologiska kontroller – identitet, åtkomst, loggning, kryptering, säker utveckling m.m.

Utöver detta finns ett praktiskt sätt att “tagga” kontrollerna med så kallade attribut. I verkligheten hjälper attributen dig att filtrera och prioritera kontroller utifrån exempelvis om de är förebyggande eller upptäckande, vilka säkerhetsegenskaper de främst stärker (konfidentialitet, riktighet, tillgänglighet) och vilken typ av operativ förmåga de stödjer.

En hand håller i en penna och gör ett check i en box på en surfplatta

Vilka områden täcker ISO27002?

Här är konkreta exempel på vad ISO27002 typiskt hjälper dig att få ordning på:

Tillgångar och data

Inventering av informationstillgångar
Regler för lagring, delning och radering
Hantering av känslig information och loggar

Styrning och policyer

Informationssäkerhetspolicy och riktlinjer
Ansvarsfördelning (vem äger vad?)
Regler för klassning och hantering av information

Åtkomst och identitet

Principen om minsta privilegium
Stark autentisering (t.ex. MFA)
Livscykel för konton (skapa, ändra, stäng)

Leverantörer och moln

Krav i avtal och uppföljning
Säker användning av molntjänster
Kontroll över underleverantörer och dataflöden

Incidenthantering

Tydliga rutiner för rapportering och triage
Lärande efter incident (rotorsak, förbättringar)
Kommunikation internt/extern vid behov

Kontinuitet och robusthet

Återställning och beredskap
Planering för driftstörningar
Test och övning (inte bara dokument)

Säker utveckling och tekniska skydd

Säkra konfigurationer
Patchning och sårbarhetshantering
Loggning, övervakning och detektion
Säkra utvecklingsprinciper (secure coding)

Så använder du ISO 27002 steg för steg

Börja med verksamheten – inte med kontrollerna
Vilken information är mest kritisk? Vad stoppar produktionen? Vad kan skada kunder eller förtroende? Gör en enkel
prioriteringslista över hur din organisation ser ut och vilka kritiska delar som finns.

Gör en pragmatisk riskanalys
Gör det inte för svårt för dig, börja enkelt. Det viktiga är att du kan motivera varför vissa risker är större och
kräver kontroller.

Matcha, eller mappa risker mot kontrollerna
Välj kontroller som faktiskt minskar risken. Om risken är “felaktig åtkomst till kunddata”, då är identitet,
åtkomststyrning, loggning och dataskydd relevanta.

Implementera i rätt ordning
Prioritera “mest riskreduktion per insats”. Exempelvis:

  • grundläggande identitets- och åtkomststyrning
  • säker konfiguration och patchning
  • backup/återställning och incidentrutiner
  • leverantörskrav för de viktigaste parterna

Mät och förbättra

Sätt enkla nyckeltal som går att följa upp:

  • andel system med MFA (Multifaktorsautentisering)
  • antal incidenter och tid till åtgärd
  • resultat från behörighetsgranskningar

Värt att komma ihåg är att ISO27002 blir kraftfull först när kontrollerna blir en del av vardagsarbetet.

ISO27002 (ISO 27002) är en praktisk, beprövad kontrollkatalog som hjälper dig att omsätta informationssäkerhet från
ambition till genomförande. Den ger struktur, språk och konkreta kontrollområden – samtidigt som du kan välja nivå och
omfattning utifrån risk och verksamhetsbehov.

Hur ISO standarderna hänger ihop

ISO 27000-serien består av flera standarder som tillsammans hjälper organisationer att etablera, implementera och förbättra sitt arbete med informationssäkerhet. Varje standard har ett specifikt fokus, men de är utformade för att komplettera varandra inom ett ledningssystem för informationssäkerhet (ISMS).

ISO 27001 är kärnstandarden i serien och definierar kraven för att etablera och certifiera ett ledningssystem för informationssäkerhet. Den beskriver vad organisationer måste uppfylla för att arbeta strukturerat med informationssäkerhet.

ISO 27002 fungerar som ett stöd till ISO 27001 genom att ge vägledning kring säkerhetskontroller och hur dessa kan implementeras för att skydda information, system och processer.

ISO 27003 fokuserar på hur organisationer praktiskt kan implementera ett ledningssystem för informationssäkerhet enligt ISO 27001 och ger vägledning kring införandet av ett ISMS.

ISO 27004 handlar om mätning och uppföljning av informationssäkerhet. Standarden beskriver hur organisationer kan definiera mätetal, analysera resultat och arbeta med kontinuerlig förbättring.

ISO 27005 kompletterar dessa standarder genom att fokusera på riskhantering inom informationssäkerhet. Den beskriver hur organisationer identifierar, analyserar, utvärderar och behandlar risker kopplade till information och IT-miljöer.

Tillsammans bildar dessa standarder ett ramverk som hjälper organisationer att arbeta systematiskt med informationssäkerhet – från krav och implementation till riskhantering, kontroller och kontinuerlig förbättring.

<a id=”Contact”></a>Hör av dig!

Behöver du hjälp med att höja säkerhetsnivån på ditt företag? Skicka ett meddelande med kontaktfunktionen eller lyft på luren och ring 020-66 99 00.


    2026-03-16T10:46:30+01:00
    Henrik Petterson

    Skrivet av: Henrik Petterson

    Henrik arbetar med Secifys varumärke och marknadsinsatser och skapar bland annat innehåll, pressmeddelanden och nyheter.

    Henrik Pettersons senaste inlägg

    NYHETSBREV

    Konsulttjänster

    Säkerhetstester

    Managerade tjänster

    Intelligens

    Secify

    Secify logo vit

    Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

    Jönköping (huvudkontor)
    Östra Storgatan 28c, 553 21 Jönköping

    Stockholm
    Warfvinges väg 45, 112 51 Stockholm

    Halmstad
    Tre Hjärtans väg 2, 302 41 Halmstad

    Växjö
    Storgatan 82A, 352 27, Växjö

    Cirklar secifyprofil dekoration
    Cookiepolicy

    Orgnr: 559316-2513
    Tel: 020-66 99 00 | Kontakt

    Till toppen