Den sikkerhetsspørreskjemagåten
Innkjøp av programvare som håndterer personopplysninger i bedrifter involverer en sikkerhetsvurderingsprosess som kan være like tidkrevende som innkjøpsbeslutningen selv. For leverandører uten anerkjente sikkerhetssertifiseringer, er den typiske prosessen:
Bedriftens sikkerhetsteam sender et tilpasset spørreskjema: 100–200 spørsmål som dekker tilgangskontroller, krypteringsstandarder, sårbarhetsstyring, hendelseshåndtering, forretningskontinuitet, fysisk sikkerhet og risikostyring av tredjepart. Leverandørens team fullfører spørreskjemaet — som vanligvis krever 40–80 timers innsats for en omfattende vurdering. Bedriftens sikkerhetsteam gjennomgår svarene, ber om avklaringer, og kan potensielt be om bevispakker (retningslinjer, revisjonsrapporter, resultater fra penetrasjonstester). Total tidslinje: 4–12 uker.
På slutten av denne prosessen kan bedriftens sikkerhetsteam fortsatt avslå å godkjenne leverandøren — ikke fordi leverandøren er usikker, men fordi dokumentasjonen ikke oppfyller bedriftens interne standarder for bevisformat, grundighet eller uavhengig verifisering.
ISO 27001-sertifisering komprimerer denne prosessen betydelig. Et globalt finansielt tjenesteselskap reduserte tiden for å fullføre spørreskjemaer med 52 % etter å ha standardisert på ISO 27001 for internasjonale leverandører (BSI 2025). Sertifiseringen viser at et uavhengig revisjonsorgan har vurdert leverandørens sikkerhetskontroller mot en anerkjent standard med 93 kontroller på tvers av fire temaer. Bedriftens sikkerhetsteam kartlegger sertifiseringen til sine interne krav i stedet for å bygge bevispakken fra bunnen av.
77 % av innkjøpskravene
ISC2s 2025 Supply Chain Risk Survey fant at 77 % av innkjøpsteamene for sikkerhet i bedrifter nevner ISO 27001 eller SOC 2-overholdelse som sitt viktigste krav til leverandører. I regulerte industrier — finansielle tjenester, helsevesen, juss — nærmer tallet seg 90 %: verktøy uten anerkjent sertifisering blir vanligvis diskvalifisert før den funksjonelle evalueringen begynner.
Denne innkjøpsdynamikken handler ikke primært om faktisk sikkerhetsstilling. Det handler om revisjonsforsvarlighet: sikkerhetsteamet som godkjente en leverandør må kunne vise, i en påfølgende revisjon, at de gjennomførte passende due diligence. En anerkjent sertifisering er den mest effektive formen for dokumentert due diligence.
For et tysk banks leverandør risikoteam som vurderer et nytt anonymiseringsverktøy: ISO 27001-sertifikatet utløser en strømlinjeformet vurderingsbane i stedet for den fullstendige tilpassede spørreskjema-prosessen. Bankens leverandør risikostyringsrammeverk kartlegger ISO 27001-kontroller til deres interne kontrollrammeverk. Vurderingen fullføres på 3 uker i stedet for 4–6 måneder. Verktøyet godkjennes for Q1-overholdelsesprosjektets frist.
Den nedstrøms verdien
Sertifiseringspremien tilfaller ikke bare den sertifiserte leverandøren, men også organisasjoner som velger sertifiserte leverandører. Når en bedrift velger et ISO 27001-sertifisert anonymiseringsverktøy, kan de inkludere sertifiseringen i sine egne leverandør dokumentasjonspakker — og demonstrere for sine kunder og regulatorer at deres behandling av PII har blitt vurdert mot anerkjente standarder.
Kilder: