ISO/IEC 27001 е международният референтен стандарт за Система за управление на информационната сигурност (СУИС). Все по-често изисквана от възложители, в тръжни процедури, от кибер застрахователи или за достъп до определени експортни пазари, SYAGA ви съдейства от оценката на пропуските до подготовката за одита за сертификация.
ISO 27001 не е общо законово задължение, но се превръща в неизбежна бизнес предпоставка
ISO/IEC 27001 остава доброволен подход. Тя обаче е все по-често изисквана в тръжни процедури, от големи възложители, от определени кибер застрахователи или като предпоставка за достъп до определени експортни пазари.
По-голямата част от МСП и средно големите предприятия не са предприели никакъв структуриран подход към Система за управление на информационната сигурност. Темата се възприема като сложна, техническа и дълга.
Класическите проекти за сертификация ангажират екипите ви за няколко месеца и представляват значителна инвестиция, често недостъпна за МСП.
Ангажирането на ИТ директора или отговорника по сигурността за месеци за изграждане на СУИС не е жизнеспособно в МСП, където всеки вече изпълнява няколко роли.
Структуриран подход в 3 фази, основан на същата методология, вече доказана от SYAGA при PSSI-Express
Разговор за обхвата с ръководството и отговорника по ИС, след което систематична оценка на всяка от 93-те мерки за сигурност от Приложение А (издание 2022), разпределени в 4-те теми: организационна, човешка, физическа и технологична. Представяне на фактически доклад за пропуските.
Изготвяне или актуализация на политиката за сигурност (СУИС), на Декларацията за приложимост (ДП), обосноваваща прилагането или изключването на всяка от 93-те мерки, и на приоритизиран план за отстраняване на пропуските, идентифицирани във фаза 1.
Проследяване на изпълнението на плана за отстраняване, преглед на документацията и подготовка на вашия екип за одита, извършван от независим акредитиран сертифициращ орган. SYAGA ви подготвя за одита; самата сертификация се издава от този трети орган.
Структуриращите документи на досието за сертификация по ISO 27001
Фактическа оценка на вашето ниво на съответствие спрямо стандарта.
Централен нормативен документ на досието за сертификация по ISO 27001.
Документът за управление, изискван от клаузи 4 до 10 на стандарта.
Пътната карта за отстраняване на идентифицираните пропуски.
Документи, директно приложими от вашите екипи.
Всички документи във формати, които можете да развивате.
СУИС по ISO 27001 естествено се припокрива с няколко стандарта
Централен стандарт: клаузи 4 до 10 (изисквания за управление) и Приложение А (93 мерки за сигурност, разпределени в 4 теми).
Мерките за управление на киберрисковете, изисквани от директива NIS2, до голяма степен се припокриват с мерките от Приложение А на ISO 27001. СУИС по ISO 27001 улеснява привеждането в съответствие с NIS2 за засегнатите субекти.
Мерките от ръководството за ИТ хигиена на ANSSI се припокриват значително с мерките от Приложение А на ISO 27001. Съответствието е документирано в плана за отстраняване.
Подходящите технически и организационни мерки, изисквани от член 32 на GDPR, се основават на същите добри практики като Приложение А на ISO 27001 (контрол на достъпа, криптиране, управление на инциденти).
Всеки проект по ISO 27001 се оразмерява според вашия обхват и текущата ви зрялост. Систематично персонализирана оферта.
Начална снимка на вашите пропуски
От оценката на пропуските до подготовката за одита
След сертификация или в непрекъснат режим
Свържете се с нас за персонализирана оферта според вашия обхват и текущата ви зрялост.
Какво наистина казва ISO/IEC 27001, обяснено просто. Всяка точка препраща към своя официален източник (ISO, AFNOR, COFRAC, ANSSI), актуализирано на 17/07/2026.
ISO/IEC 27001 е признат метод за откриване на заплахите за вашите данни, управление на рисковете и въвеждане на правилните защити, така че информацията ви да остане поверителна, налична и надеждна. Това не е софтуер, а организация, която се въвежда в предприятието.
Източник: AFNOR CertificationЗа разлика от други подходи (като задължителната сигурностна хомологация за определени системи на държавата, приложима във Франция), ISO 27001 е незадължителна: това е сертифициращ стандарт, а не общо регулаторно задължение. Избирате я, за да успокоите клиенти, партньори и застрахователи.
Източник: ANSSI (методически лист, френски орган)Никога самата компания, нито консултант: само независим и акредитиран сертифициращ орган може да го издаде (COFRAC е единственият френски акредитиращ орган, създаден през 1994 г.). Получаваният сертификат е валиден 3 години.
Източник: COFRAC (френски орган)Предварителна оценка (незадължителна), подготовка, преглед на документите, одит на място за проверка какво наистина е въведено, издаване на сертификата (3 години), след което контролно посещение всяка година и пълен одит за подновяване след 3 години. Нищо не е окончателно фиксирано веднъж завинаги.
Източник: AFNOR CertificationСпоред проучване на AFNOR сред сертифицирани компании: 89% са установили по-малко инциденти по сигурността, 83% имат по-солидни вътрешни процеси за сигурност, а 88% са запазили клиенти, които биха могли да си тръгнат без сертификацията.
Източник: проучване на AFNOR, 2019 г.Това е най-използваният в света стандарт за информационна сигурност, според самата ISO. А акредитацията, която контролира сертифициращите органи (като COFRAC във Франция), е международно призната чрез споразумения между държавите, което улеснява достъпа до пазари в Европа и другаде.
Източник: ISO (комитет JTC1/SC27)