ISO 27001-sertifisering — Fra forberedelse til sertifisering
ISO 27001-sertifisering er stadig oftere et krav fra kunder, partnere og regulatorer. Opsio tar deg hele veien — fra gapanalyse gjennom ISMS-implementering og internrevisjon til vellykket ekstern sertifiseringsrevisjon.
Trusted by 100+ organisations across 6 countries · 4.9/5 client rating
ISO 27001
Spesialist
50+
Sertifiseringer
100 %
Bestått første gang
ISMS
Implementering
What is ISO 27001-sertifisering?
ISO 27001-sertifisering bekrefter at en virksomhet har implementert et systematisk informasjonssikkerhetsstyringssystem (ISMS) som oppfyller internasjonalt anerkjente krav for å beskytte informasjonsaktiva.
Veien til ISO 27001-sertifisering
ISO 27001 er den internasjonale standarden for informasjonssikkerhetsstyring og det mest anerkjente beviset på at en virksomhet tar sikkerhet på alvor. For norske virksomheter er ISO 27001-sertifisering i økende grad et krav i anbudsprosesser, partneravtaler og kundekontrakter. NIS2-direktivet anerkjenner ISO 27001 som relevant referanseramme, og Datatilsynet ser positivt på sertifisering som dokumentasjon på systematisk sikkerhetsstyring.
Opsios ISO 27001-sertifiseringstjenester dekker hele prosessen: gapanalyse mot ISO 27001:2022-kravene, ISMS-design og -implementering, risikostyring etter ISO 27005, implementering av kontroller fra vedlegg A, utvikling av policyer og prosedyrer, opplæring og bevissthet, internrevisjon, ledelsensgjennomgang, og full støtte gjennom den eksterne sertifiseringsrevisjonen.
Uten erfaren veiledning tar ISO 27001-prosjekter ofte dobbelt så lang tid og koster mer enn nødvendig. Virksomheter overimplementerer kontroller de ikke trenger, lager dokumentasjon som er for omfangsrik til å vedlikeholde, og oppdager mangler først under sertifiseringsrevisjonen. Opsio har veiledet over 50 virksomheter til vellykket sertifisering — alle bestått ved første revisjon.
Hvert ISO 27001-oppdrag inkluderer gapanalyse mot ISO 27001:2022, ISMS-omfangsdefinering, risikovurdering og risikobehandlingsplan, Statement of Applicability (SoA), kontrollimplementering fra vedlegg A, policyer og prosedyrer for alle relevante områder, opplæringsprogram, internrevisjon og ledelsensgjennomgang, og støtte gjennom ekstern sertifiseringsrevisjon.
Vanlige ISO 27001-utfordringer vi løser: usikkerhet om omfang og hva som skal inkluderes, risikovurderinger som ikke er koblet til kontrollvalg, overdimensjonert dokumentasjon som ingen vedlikeholder, manglende forankring hos ledelsen og ansatte, og utilstrekkelig forberedelse til sertifiseringsrevisjonen.
Opsios tilnærming er pragmatisk: vi implementerer et ISMS som passer virksomhetens størrelse og kompleksitet, med dokumentasjon som er nødvendig og vedlikeholdbar — ikke et papirfjell. Vi bruker ISO 27001:2022 med de oppdaterte kontrollene i vedlegg A, og integrerer med NIS2-krav der relevant. Enten du er en oppstartsbedrift som trenger sertifisering for å vinne en storkontrakt eller en etablert virksomhet som oppgraderer fra 2013-versjonen, leverer Opsio en effektiv vei til sertifisering.
How We Compare
| Evne | DIY | Generisk konsulent | Opsio ISO 27001 |
|---|---|---|---|
| Bestått ved første revisjon | Usikkert | Varierer | 100 % historikk |
| ISO 27001:2022 | Selvlæring | Varierer | Full 2022-ekspertise |
| Teknisk kontrollimplementering | Intern kapasitet | Rådgivning kun | Implementeringsstøtte |
| NIS2-integrasjon | Ikke mulig | Sjelden | Integrert tilnærming |
| Internrevisjon | Intern kompetanse | Tilleggskostnad | Inkludert |
| Sertifiseringsstøtte | Ingen | Varierer | Full støtte under revisjon |
| Typisk kostnad | $15–40K (intern tid) | $25–60K | $30–100K (inkl. ekstern revisjon) |
What We Deliver
Gapanalyse og planlegging
Systematisk vurdering av nåværende tilstand mot alle krav i ISO 27001:2022 og vedlegg A-kontroller. Identifiserer gap, estimerer innsats og utvikler prosjektplan med tidslinjer og milepæler for hele sertifiseringsprosessen.
ISMS-design og -implementering
Design og implementering av informasjonssikkerhetsstyringssystem (ISMS) tilpasset virksomheten: omfangsdefinering, sikkerhetspolicy, organisasjonsstruktur for informasjonssikkerhet, roller og ansvar, og integrrasjon med eksisterende styringssystemer.
Risikostyring
Risikovurdering etter ISO 27005 med verdikartlegging, trusselmodellering, sårbarhetsvurdering og risikobehandlingsplan. Utvikler Statement of Applicability (SoA) som begrunner valg og fravalg av kontroller fra vedlegg A basert på risikovurderingen.
Kontrollimplementering
Implementering av utvalgte kontroller fra vedlegg A: organisatoriske, personellrelaterte, fysiske og teknologiske kontroller. Vi fokuserer på kontroller som gir reell sikkerhetsverdi — ikke bare hake-i-boksen.
Internrevisjon
Gjennomfører internrevisjon av ISMS-et for å identifisere avvik og forbedringsmuligheter før den eksterne sertifiseringsrevisjonen. Leverer revisjonsrapport med funn og anbefalinger, og hjelper med å lukke avvik.
Sertifiseringsstøtte
Full støtte gjennom ekstern sertifiseringsrevisjon: forberedelse med stage 1-simulering, dokumentasjonsgjennomgang, tilstedeværelse under revisjon for å støtte teamet, og hjelp med å lukke eventuelle funn etter revisjonen.
Ready to get started?
Få en ISO 27001-vurderingWhat You Get
“Opsios fokus på sikkerhet i arkitekturoppsettet er avgjørende for oss. Ved å kombinere innovasjon, smidighet og en stabil administrert skytjeneste ga de oss grunnlaget vi trengte for å videreutvikle virksomheten vår. Vi er takknemlige for vår IT-partner, Opsio.”
Jenny Boman
CIO, Opus Bilprovning
Investment Overview
Transparent pricing. No hidden fees. Scope-based quotes.
Gapanalyse og plan
$5 000–$10 000
Inkl. prosjektplan
Implementeringsstøtte
$20 000–$70 000
Gapavhengig
Løpende ISMS-vedlikehold
$2 000–$6 000/mnd
Internrevisjon + vedlikehold
Pricing varies based on scope, complexity, and environment size. Contact us for a tailored quote.
Questions about pricing? Let's discuss your specific requirements.
Get a Custom QuoteWhy Choose Opsio
100 % bestått første gang
Over 50 virksomheter veiledet til sertifisering — alle bestått ved første revisjon.
ISO 27001:2022
Oppdatert ekspertise med den nyeste versjonen og de reviderte vedlegg A-kontrollene.
Pragmatisk implementering
ISMS tilpasset virksomheten — ikke overdimensjonert dokumentasjon.
NIS2-integrasjon
Integrerer ISO 27001 med NIS2-krav for effektiv dobbeltetterlevelse.
Teknisk dybde
Vi implementerer tekniske kontroller — ikke bare skriver om dem.
Fra gapanalyse til sertifisering
Helhetlig støtte gjennom hele prosessen — ikke stykkevis rådgivning.
Not sure yet? Start with a pilot.
Begin with a focused 2-week assessment. See real results before committing to a full engagement. If you proceed, the pilot cost is credited toward your project.
Our Delivery Process
Gapanalyse
Vurderer nåværende tilstand mot ISO 27001:2022 og utvikler prosjektplan. Tidslinje: 1–2 uker.
ISMS-implementering
Implementerer ISMS, risikostyring, SoA, kontroller, policyer og prosedyrer. Tidslinje: 8–16 uker.
Internrevisjon
Gjennomfører internrevisjon, identifiserer avvik og lukker funn. Tidslinje: 2–3 uker.
Sertifiseringsrevisjon
Støtte gjennom stage 1 og stage 2 av ekstern sertifiseringsrevisjon. Tidslinje: 2–4 uker.
Key Takeaways
- Gapanalyse og planlegging
- ISMS-design og -implementering
- Risikostyring
- Kontrollimplementering
- Internrevisjon
Industries We Serve
SaaS og teknologi
ISO 27001 som krav i kundekontrakther og anbudsprosesser.
Finans
ISO 27001 som grunnlag for DORA-etterlevelse og partneravtaler.
Helse
ISO 27001 for systematisk sikkerhetsstyring av helseinformasjon.
Offentlig sektor
ISO 27001 som dokumentasjon på sikkerhetsstyring i offentlige anskaffelser.
Related Insights
Skypenetrasjonstesting: Komplett veiledning for AWS, Azure og GCP
Tradisjonell penetrasjonstesting ble designet for lokale nettverk. Fungerer den samme tilnærmingen i skyen? Ikke helt. Skymiljøer introduserer unike...
Nettapplikasjonspenetrasjonstesting: Metodikk og beste praksis
Når var siste gang noen prøvde å hacke nettapplikasjonen din – før en ekte angriper gjorde det? Penetrasjonstesting av nettapplikasjoner simulerer virkelige...
Zero Trust Architecture: Implementeringsveikart for 2026
Hvordan implementerer du null tillit uten å forstyrre hele organisasjonen? Null tillit er ikke et produkt du kjøper – det er en arkitektur du bygger gradvis....
ISO 27001-sertifisering — Fra forberedelse til sertifisering FAQ
Hva er ISO 27001?
ISO 27001 er den internasjonale standarden for informasjonssikkerhetsstyringssystemer (ISMS). Den definerer krav til å etablere, implementere, vedlikeholde og kontinuerlig forbedre et ISMS. Sertifisering bekrefter at virksomheten har et systematisk, risikostyrt og dokumentert sikkerhetsprogram som møter internasjonalt anerkjente krav. ISO 27001:2022 er den nyeste versjonen med oppdaterte kontroller i vedlegg A.
Hva koster ISO 27001-sertifisering?
Total kostnad for ISO 27001-sertifisering er typisk $30 000–$100 000, inkludert rådgivning, implementering og sertifiseringsrevisjon. Rådgivning og implementeringsstøtte fra Opsio koster $20 000–$70 000 avhengig av virksomhetens størrelse og kompleksitet. Ekstern sertifiseringsrevisjon koster $10 000–$30 000. Årlig overvåkingsrevisjon koster $5 000–$15 000. Løpende ISMS-vedlikehold koster $2 000–$6 000/måned.
Hvor lang tid tar ISO 27001-sertifisering?
Typisk 4–9 måneder fra prosjektstart til sertifisering, avhengig av virksomhetens størrelse og nåværende modenhet. SMB med godt eksisterende sikkerhetsnivå: 4–6 måneder. Mellomstore virksomheter: 6–9 måneder. Store virksomheter: 9–12 måneder. Opsios erfaring og strukturerte tilnærming sikrer at tidslinjen holdes uten unødvendige forsinkelser.
Trenger vi ISO 27001-sertifisering?
ISO 27001 er frivillig, men stadig oftere et krav. Norske virksomheter bør vurdere sertifisering hvis: kunder krever det i anbud eller kontrakter, NIS2-direktivet gjelder for virksomheten (ISO 27001 dekker mange NIS2-krav), partnere eller investorer forventer det, eller virksomheten vil demonstrere sikkerhetsseriøsitet overfor markedet. Det er også et godt grunnlag for GDPR-etterlevelse.
Hva er forskjellen mellom ISO 27001:2013 og 2022?
ISO 27001:2022 har oppdatert vedlegg A med reorganiserte kontroller: fra 14 domener og 114 kontroller til 4 kategorier (organisatoriske, personell, fysiske, teknologiske) og 93 kontroller. Nye kontroller inkluderer trusselintelligens, skysikkerhet, datamaskering og DLP. Virksomheter med eksisterende 2013-sertifisering må oppgradere innen oktober 2025.
Hva er Statement of Applicability (SoA)?
Statement of Applicability er et kjernedokument i ISO 27001 som lister alle kontrollene fra vedlegg A og begrunner hvilke som er valgt (og hvorfor) og hvilke som er utelatt (og hvorfor). SoA kobler risikovurderingen til kontrollimplementeringen og er et av de første dokumentene sertifiseringsrevisjoren gjennomgår. Det må holdes oppdatert ved endringer i risikovurderingen.
Kan dere gjennomføre internrevisjon?
Ja. Vi gjennomfører internrevisjon som en del av sertifiseringsforberedelsen. Internrevisjonen sjekker at ISMS-et er implementert og fungerer i henhold til ISO 27001-kravene, og identifiserer avvik og forbedringsmuligheter før den eksterne sertifiseringsrevisjonen. Vi kan også tilby løpende internrevisjon som en tjeneste for å opprettholde sertifiseringen.
Hjelper ISO 27001 med NIS2-etterlevelse?
Ja, betydelig. ISO 27001 dekker mange av NIS2 artikkel 21-kravene: risikostyring, tilgangskontroll, hendelseshåndtering, sikkerhetskopiering, opplæring og leverandørstyring. De viktigste NIS2-tilleggskravene utover ISO 27001 er 24-timers hendelsesrapportering, personlig ledelsesansvar og spesifikke krav til leverandørkjedesikkerhet. En ISO 27001-sertifisert virksomhet har et solid grunnlag for NIS2-etterlevelse.
Hva kreves for å opprettholde sertifiseringen?
ISO 27001-sertifisering gjelder i tre år med årlige overvåkingsrevisjoner og resertifisering etter tre år. I mellomtiden må du opprettholde ISMS-et: gjennomføre risikovurderinger, internrevisjoner, ledelsensgjennomganger, behandle avvik, og holde dokumentasjon oppdatert. Opsio tilbyr løpende ISMS-vedlikeholdstjenester for virksomheter som trenger ekstern støtte.
Kan vi starte med ISO 27001 for en del av virksomheten?
Ja. ISMS-omfanget kan begrenses til spesifikke avdelinger, systemer eller tjenester. Mange virksomheter starter med å sertifisere SaaS-produktet eller IT-avdelingen, og utvider omfanget senere. Vi hjelper med å definere et fornuftig omfang som oppfyller kundekrav uten unødvendig kompleksitet.
Still have questions? Our team is ready to help.
Få en ISO 27001-vurderingKlar for ISO 27001-sertifisering?
Få en gapanalyse og se hva som trengs for å nå sertifisering — med en realistisk tidsplan og budsjett.
ISO 27001-sertifisering — Fra forberedelse til sertifisering
Free consultation