Denna studie genomför en omfattande gapanalys av ett företags cybersäkerhetsarbete i förhållande till de internationella säkerhetsstandarderna ISO 27001 och ISO 27002. Syftet är att identifiera och kartlägga existerande brister samt ge konkreta och kvalitativa rekommendationer för att förbättra säkerhetsarbetet, särskilt inom ramen för intern mjukvaruutveckling. Studien analyserar säkerhetskontroller inom områdena säker utvecklingscykel, applikationssäkerhet, säker systemarkitektur och säker kodning, och undersöker hur dessa kan integreras effektivt i ett DevSecOps-ramverk. Metodiskt tillämpas en kombinerad metodansats kvalitativ och kvantitativ, där data insamlas genom enkätundersökningar, semistrukturerade intervjuer och dokumentanalys. Resultaten visar tydligt att organisationen endast delvis uppfyller de säkerhetskrav som definieras av ISO-standarderna. Centrala brister identifierades inom säker kodning, systemarkitektur och applikationssäkerhet, samt inom organisatoriska områden såsom otydlig ansvarsfördelning och otillräcklig kompetensutveckling. Dessa brister påverkar negativt både cybersäkerhet och kvalitet i företagets mjukvaruutvecklingsprocesser. För att adressera dessa problem föreslås åtgärder som inkluderar tydligare governance-modeller, regelbunden och strukturerad utbildning för utvecklare samt implementering av automatiserade säkerhetskontroller i utvecklingsprocesserna. Dessa förbättringar förväntas stärka kvaliteten i företagets mjukvaruprodukter samtidigt som cybersäkerheten förbättras markant. Studien bidrar därmed till en djupare förståelse för hur informationssäkerhet kan integreras effektivt i agila och kontinuerliga utvecklingsmiljöer.

This study performs a comprehensive gap analysis of an organization's cybersecurity efforts against the international standards ISO 27001 and ISO 27002. The primary objective is to identify existing compliance gaps and map critical improvement areas, providing actionable and qualitative recommendations specifically targeting cybersecurity and quality improvements in the context of internal software development. The analysis emphasizes key security controls within secure development life cycles, application security requirements, secure system architecture, and secure coding practices, exploring their effective integration within a DevSecOps framework. Methodologically, the study applies a mixed methods qualitative and quantitative, gathering data through targeted surveys, semi-structured interviews, and extensive document reviews. Findings reveal significant gaps in meeting the security requirements stipulated by the ISO standards. Major deficiencies are observed in secure coding, system architecture, and application security, accompanied by organizational shortcomings such as unclear responsibility allocation and inadequate competence development. These issues negatively impact both cybersecurity and quality within the company's software development processes. To address these critical challenges, recommendations include establishing clearer governance structures, regular and structured training for developers, and implementing automated security controls within the development lifecycle. Such improvements are expected to significantly enhance the quality of the company's software products and strengthen overall cybersecurity posture. Consequently, the study contributes valuable insights into effectively embedding information security within agile and continuous development environments.