ISO/IEC 27001:2022 · 93 kontroller · Annex A

ISO 27001 utan att börja från noll.

Innan ni betalar säkerhetskonsulten 200 000 kr för en gap-analys — kör en automatiserad pre-audit som täcker 94% av tekniska Annex A-kontroller på 30 minuter.

Anmäl intresse →

Vi öppnar för köp under 2026. Anmäl dig så hör vi av oss.

Vilka ISO 27001-kontroller automatiserar vi?

ISO 27001:2022 har 93 kontroller i Annex A, fördelade på fyra teman. Tekniskt testbara är cirka 51 (främst tema 8 — tekniska kontroller). Security Guru täcker 48 av dessa 51 automatiskt.

Tema	Kontroller	Hanteras hur?
5 — Organisatoriska	37 st	Delvis automatiskt (5.10, 5.14, 5.16, 5.17, 5.30 m.fl.) + dokument-attestering
6 — Människor	8 st	HR-process, ej automatiserbart — attestering
7 — Fysiska	14 st	7.4 (övervakning) + 7.10 (lagringsmedia) automatiskt, övriga site-inspection
8 — Tekniska	34 st	32 av 34 automatiseras (CVE-matching, hardening-checks, kryptobedömning, segmentering, backup-validering m.m.)

Exempel på automatiserade tekniska kontroller

A.8.5 Säker autentisering — vi detekterar default-creds, svaga lösenord på AD/SSH/SMB.
A.8.7 Skydd mot skadlig kod — vi kollar AV/EDR-process på samtliga Linux+Windows-hosts.
A.8.8 Hantering av tekniska sårbarheter — CVE-matchning mot CISA KEV på alla upptäckta tjänster.
A.8.13 Säkerhetskopiering — vi validerar att backups faktiskt är användbara, inte bara att de finns.
A.8.20–A.8.24 Nätverkssäkerhet, kryptering, kanalprotokoll — TLS-konfig, ciphers, certifikat-CT-loggar.
A.8.32 Förändringshantering — branch-protection + signerade commits via GitHub-API.
A.8.34 Audit-logging — auditd-regler, log-forwarding, tamper-evident-storage.

Vad får ni i rapporten?

Komplett täckning av A.5–A.8 markerat som pass / fail / untested per kontroll-ID
Per-fynd-mappning till specifika Annex A-IDs för revisorgranskning
Riskklassad åtgärdslista (CRITICAL/HIGH/MEDIUM/LOW)
Topologi-karta över upptäckt nätverk
PDF + HTML — direkt-importerbart till SOA-mall

Vanliga frågor

Räcker rapporten för certifiering?

Nej — certifiering kräver ackrediterad revisor (CB). Vi ersätter inte revisorn utan ger er underlaget revisorn annars hade tagit 30-60% av sin tid att producera.

Kan jag använda rapporten i min Statement of Applicability (SoA)?

Ja. Varje fynd har ett kontroll-ID (t.ex. iso27001:8.20) som direkt kan klistras in i SoA-mallen. Många revisorer accepterar våra automated tests som "evidence of operating effectiveness" för perioden då scanningen kördes.

Hur ofta bör vi köra om scanningen?

ISO 27001 kräver "kontinuerlig förbättring" — i praktiken minst kvartalsvis intern audit. Vår Continuous-prenumeration kör scanningen månadsvis och visar drift sedan föregående gång.

Bli beta-testare

Fyll i formuläret — vi återkommer inom 24 timmar.

Namn

Företag

E-post (jobb) *

Antal anställda

Vad är ni mest intresserade av?

Meddelande (frivilligt)

Genom att skicka godkänner du att vi sparar dina uppgifter för att kontakta dig. Se integritetspolicy.