Secify.com

Därför blir ISO 27001-revisioner onödigt jobbiga - så undviker du de vanligaste misstagen

29 april, 2026
Uppskattad lästid: 3 min

Att arbeta med ISO 27001 behöver egentligen inte vara svårt. Ändå upplever många organisationer att revisioner blir stressiga, röriga och onödigt tunga. Det beror sällan på standarden i sig, utan på hur arbetet har byggts upp från början. Insikterna i den här artikeln bygger på ett inspelat webbinarie om ISO 27001-revisioner, där informationssäkerhetsrådgivaren Tim Andersson delar med sig av erfarenheter från att ha arbetat nära både organisationer och revisioner i praktiken. När revisioner känns jobbiga är det ofta ett tecken på något djupare. Ledningssystemet speglar inte inte riktigt hur verksamheten faktiskt fungerar.

Problemet börjar långt innan revisionen

En vanlig fälla är att börja i fel ände. Istället för att utgå från den egna verksamheten och dess risker, börjar man med mallar, verktyg eller best practice. Det kan kännas effektivt i början. Men det leder ofta till att man bygger något som ser bra ut på papper, men som inte fungerar i vardagen.

Som Tim Andersson beskriver det i webbinariet:

Man kanske kan visa vad dokumentationen säger… men man kan inte förklara varför man gör saker som man gör.

Och det är just där problemen uppstår. I en revision räcker det inte att visa att något finns. Man måste kunna förklara hur och varför det fungerar.

När systemet inte är förankrat

Ett annat återkommande problem är bristande förankring, särskilt hos ledningen. ISO 27001 är ett ledningssystem. Det betyder att det ska styra verksamheten, inte vara ett sidoprojekt. Om ledningen inte är involverad, eller inte kan förklara prioriteringar och beslut, blir det snabbt tydligt i en revision.

En ledning som inte kan förklara varför man har gjort vissa prioriteringar… där börjar revisorn gräva.

Det handlar alltså inte om att ha rätt formuleringar i en policy. Det handlar om att förstå vad man faktiskt gör och
varför.

Perfektion skapar mer problem än den löser

Många organisationer går in i revision med ambitionen att allt ska vara klart. Resultatet blir ofta att man överarbetar dokumentation, skapar avancerade modeller och försöker täcka in allt. Men ISO 27001 är inte byggt för perfektion. Det är byggt för förbättring över tid.

Det blir ju aldrig färdigt… du har alltid risker som inte är fullt åtgärdade.

Det viktiga är inte att allt är löst. Det viktiga är att ni har koll på läget. Att ni vet vad som återstår och har en plan framåt. Organisationer som försöker framstå som färdiga riskerar istället att skapa en putsad bild som inte håller när man börjar ställa frågor.

Dokumentation som ingen använder

Ett av de vanligaste problemen är att man producerar för mycket dokumentation. Man tar fram policys och processer som är genomarbetade och korrekta. Men de används inte i praktiken. Det leder till ett tydligt glapp mellan teori och verklighet. Och det är ofta där avvikelser uppstår.

Man skapar regler som inte går att efterleva… och då får man avvikelser i sina egna regler.

Det här är viktigt att förstå. Många avvikelser handlar inte om att man bryter mot ISO. De handlar om att man inte
följer sina egna regler.

Den verkliga orsaken

Om man ska förenkla det så mycket som möjligt, så handlar problemen nästan alltid om samma sak. Det finns ett glapp mellan hur man säger att man jobbar och hur man faktiskt jobbar.

Det kan visa sig på olika sätt:

  • risker dokumenteras men följs inte upp
  • processer finns men används inte
  • ansvar är otydliga i praktiken
  • aktiviteter planeras men genomförs inte

I en revision märks det snabbt, eftersom revisorn inte bara tittar på dokumentation utan också pratar med människor. När svaren inte hänger ihop, blir det tydligt att systemet inte riktigt lever.

Så undviker du en jobbig revision

Det finns inget magiskt knep, men det finns ett tydligt mönster hos organisationer där revisioner går smidigt. De gör några saker konsekvent.

  • De utgår från sin egen verksamhet istället för att kopiera lösningar.
  • De håller det enkelt och begripligt.
  • De fokuserar på det som faktiskt används.
  • De är öppna med vad som inte är klart ännu.
  • De involverar ledningen på riktigt.

Det handlar alltså mindre om att imponera och mer om att vara tydlig.

En bättre målbild

Istället för att sikta på en perfekt revision, är det mer hjälpsamt att sikta på något annat.

  • Ett system som går att förstå.
  • Ett system som går att använda.
  • Ett system som faktiskt hjälper verksamheten.

När det fungerar i vardagen brukar revisionen också bli betydligt enklare. Och i slutändan är det just det som spelar
roll. Inte certifikatet i sig, utan att ni har ett arbetssätt som faktiskt håller över tid.

<a id=”Contact”></a>Hör av dig!

Behöver du hjälp med att höja säkerhetsnivån på ditt företag? Skicka ett meddelande med kontaktfunktionen eller lyft på luren och ring 020-66 99 00.


    2026-04-30T22:05:15+02:00
    Henrik Petterson

    Skrivet av: Henrik Petterson

    Henrik arbetar med Secifys varumärke och marknadsinsatser och skapar bland annat innehåll, pressmeddelanden och nyheter.

    Henrik Pettersons senaste inlägg

    NYHETSBREV

    Konsulttjänster

    Säkerhetstester

    Managerade tjänster

    Intelligens

    Secify

    Secify logo vit

    Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

    Jönköping (huvudkontor)
    Östra Storgatan 28c, 553 21 Jönköping

    Stockholm
    Warfvinges väg 45, 112 51 Stockholm

    Halmstad
    Tre Hjärtans väg 2, 302 41 Halmstad

    Växjö
    Storgatan 82A, 352 27, Växjö

    Cirklar secifyprofil dekoration
    Cookiepolicy

    Orgnr: 559316-2513
    Tel: 020-66 99 00 | Kontakt

    Till toppen