Seadot Cybersecurity
SV
skillnad på GAP-analys och internrevision

Vad är skillnaden på en GAP-analys och en internrevision?

Många organisationer blandar ihop begreppen GAP-analys och internrevision. De används båda inom informationssäkerhet och compliance men syftar på olika saker.

Vad är en GAP-analys?

En GAP-analys är en metod för att jämföra nuläget med ett önskat mål eller standard. Den visar var organisationen står idag och vilka steg som krävs för att nå dit.

Syfte

  • Identifiera skillnader (”gap”) mellan nuläge och mål.
  • Skapa en handlingsplan för att täppa till gapen.
  • Ge organisationen en tydlig startpunkt för ett förbättringsarbete.

När används en GAP-analys?

  • Inför en certifiering (t.ex. ISO 27001).
  • När organisationen vill höja sin säkerhetsnivå.
  • Som underlag för att prioritera investeringar i säkerhet och regelefterlevnad/compliance.

Exempel

Ett företag som planerar att certifiera sig enligt ISO 27001 gör en GAP-analys. Resultatet visar att policys för riskhantering finns, men att incidentrutiner och interna revisioner saknas. På så sätt får företaget en konkret lista över vad som behöver göras innan certifiering kan ske.

 

Vad är en internrevision?

En internrevision är en strukturerad granskning av om organisationen följer sina egna rutiner, policyer och externa krav.

Syfte

  • Kontrollera efterlevnad av standarder, lagar och interna regler.
  • Identifiera avvikelser och förbättringsmöjligheter.
  • Ge ledningen underlag för att fatta beslut om förbättringar.

 

När används en internrevision?

  • Återkommande som en del av ett ledningssystem (t.ex. ISO 27001, ISO 9001).
  • För att visa att organisationen lever upp till myndighetskrav eller avtal.
  • Inför en extern revision eller tillsyn.

Exempel

Ett företag som redan är ISO 27001-certifierat genomför en internrevision en gång per år. Revisorerna granskar rutiner för åtkomstkontroller, incidentrapportering och utbildningar. Resultatet blir en revisionsrapport som visar avvikelser (det som inte följs), observationer och förslag på förbättringar.

 

Kan man göra både GAP-analys och internrevision?
Ja, de kompletterar varandra. GAP-analysen hjälper organisationen att nå målet, medan internrevisionen säkerställer att man följer sina rutiner över tid.

Är en GAP-analys enklare än en internrevision?
Ja, GAP-analysen är ofta mer flexibel och används som en förstudie. Internrevisionen är mer formell och måste ofta uppfylla vissa krav.

 

Måste alla företag göra internrevision?
Om man arbetar enligt ISO 27001 eller andra standarder är det ett krav. Även organisationer som omfattas av regelverk som NIS2 och DORA behöver ha återkommande granskningar.

 

Sammanfattningsvis:

  • GAP-analys = Var är vi nu och vart ska vi?
  • Internrevision = Följer vi våra egna regler och krav?

Tillsammans ger de både riktning (gap-analys) och kontroll (internrevision).

Seadot Cybersecurity

Enhanced digital resilience – when it really matters

Security Areas

Our Services

Contact

Drottninggatan 29, 111 51 Stockholm

Sidenvävargatan 17, 753 19 Uppsala

Honnörsgatan 14, 352 36 Växjö

+46 766011510

info@seadot.se

Org.nr 5591983977

Copyright 2025, Seadot. All Rights Reserved.