NORMA ISO/IEC 27001:2022 - ISMS

Připravte se na certifikaci ISO 27001
bez ztráty 6 měsíců

ISO/IEC 27001 je mezinárodní referenční norma pro Systém řízení bezpečnosti informací (ISMS). Stále více vyžadovaná zadavateli, ve výběrových řízeních, kybernetickými pojistiteli nebo pro přístup na některé exportní trhy, SYAGA vás provede od gap assessmentu až po přípravu certifikačního auditu.

93
Opatření Přílohy A (vyd. 2022)
4
Bezpečnostní témata
7
Manažerských článků (4 až 10)
1
Dodané prohlášení o aplikovatelnosti

Kontext

ISO 27001 není obecnou zákonnou povinností, ale stává se nezbytným obchodním předpokladem

📋

Dobrovolná certifikace, ale stále více žádaná

ISO/IEC 27001 zůstává dobrovolným postupem. Přesto je stále více vyžadována ve výběrových řízeních, velkými zadavateli, některými kybernetickými pojistiteli, nebo jako předpoklad pro přístup na některé exportní trhy.

🔒

Málo MSP formalizovalo svůj ISMS

Většina MSP a ETI nezahájila žádný strukturovaný postup Systému řízení bezpečnosti informací. Téma je vnímáno jako složité, technické a zdlouhavé.

💰

Dlouhá a nákladná podpora

Klasické certifikační zakázky zaměstnávají vaše týmy po několik měsíců a představují značnou investici, často mimo dosah MSP.

Vaše IT týmy jsou už přetížené

Zaměstnat CIO nebo bezpečnostního manažera na měsíce, aby vybudovali ISMS, není v MSP, kde každý už zastává několik rolí, udržitelné.

Metoda ISO27001-Express

Strukturovaný postup ve 3 fázích, opírající se o stejnou metodiku již osvědčenou SYAGA na PSSI-Express

1
Fáze 1 - Gap Assessment

Posouzení 93 opatření Přílohy A

Zaváděcí pohovor s vedením a odpovědným za IS, poté systematické posouzení každého z 93 bezpečnostních opatření Přílohy A (vydání 2022), rozdělených do 4 témat organizačního, lidského, fyzického a technologického. Předání faktické zprávy o rozdílech.

2
Fáze 2 - Dokumentace ISMS

Bezpečnostní politika, prohlášení o aplikovatelnosti a nápravný plán

Zpracování nebo aktualizace bezpečnostní politiky (ISMS), Prohlášení o aplikovatelnosti (DdA) odůvodňujícího uplatnění nebo vyloučení každého z 93 opatření, a prioritizovaného nápravného plánu k odstranění rozdílů zjištěných ve fázi 1.

3
Fáze 3 - Podpora k certifikaci

Příprava auditu certifikačním orgánem

Sledování zavádění nápravného plánu, revize dokumentace a příprava vašeho týmu na audit prováděný nezávislým akreditovaným certifikačním orgánem. SYAGA vás připraví na audit; samotnou certifikaci vydává tento třetí subjekt.

Co obdržíte

Klíčové dokumenty certifikačního spisu ISO 27001

📊

Zpráva Gap Assessment

Faktické posouzení vaší úrovně shody s normou.

  • Posouzení 93 opatření Přílohy A
  • Stav podle opatření: v souladu / částečně / nesplněno
  • Shrnutí podle tématu (organizační, lidský, fyzický, technologický)
  • Faktická zjištění, bez hodnotového soudu
🔐

Prohlášení o aplikovatelnosti (DdA)

Klíčový normativní dokument certifikačního spisu ISO 27001.

  • Stav uplatněno/vyloučeno pro každé z 93 opatření
  • Odůvodnění každého vyloučení
  • Odkaz na dokumenty ISMS
  • Připraveno k předložení certifikačnímu orgánu
📝

Bezpečnostní politika (ISMS)

Dokument řízení vyžadovaný články 4 až 10 normy.

  • Rozsah a kontext ISMS
  • Bezpečnostní role a odpovědnosti
  • Proces řízení rizik
  • Cyklus neustálého zlepšování (PDCA)
🎯

Prioritizovaný nápravný plán

Plán postupu k odstranění zjištěných rozdílů.

  • Opatření seřazená podle priority
  • Organizační a technická opatření
  • Sledování postupu
  • Postupná příprava na audit
📄

Provozní postupy

Dokumenty přímo použitelné vašimi týmy.

  • Řízení bezpečnostních incidentů
  • Správa přístupů a identit
  • Řízení změn
  • IT charta
💻

Editovatelné soubory

Všechny dokumenty ve formátech, které můžete dále rozvíjet.

  • Samostatné HTML (otevíratelné v jakémkoli prohlížeči)
  • Kvalitní PDF (tisk A4)
  • Editovatelné DOCX (Microsoft Word)
  • Aktualizace při každé roční revizi

Sdílitelný dokumentační základ

ISMS ISO 27001 se přirozeně prolíná s několika referenčními rámci

ISO

ISO/IEC 27001:2022

Klíčový referenční rámec: články 4 až 10 (manažerské požadavky) a Příloha A (93 bezpečnostních opatření rozdělených do 4 témat).

N2

Propojení s NIS2

Opatření pro řízení kybernetických rizik požadovaná směrnicí NIS2 se z velké části překrývají s opatřeními Přílohy A ISO 27001. ISMS ISO 27001 usnadňuje dosažení shody s NIS2 pro dotčené subjekty.

AN

Průvodce ANSSI - Počítačová hygiena

Opatření průvodce počítačovou hygienou ANSSI (autorita francouzská) se z velké části překrývají s opatřeními Přílohy A ISO 27001. Vazba zdokumentována v nápravném plánu.

RG

RGPD (čl. 32)

Vhodná technická a organizační opatření vyžadovaná článkem 32 RGPD se opírají o stejné osvědčené postupy jako Příloha A ISO 27001 (řízení přístupu, šifrování, řízení incidentů).

Nabídky přizpůsobené vašemu kontextu

Každá zakázka ISO 27001 je dimenzována podle vašeho rozsahu a aktuální vyspělosti. Vždy individuální nabídka.

Gap Assessment

Počáteční snímek vašich rozdílů

Na nabídku
podle rozsahu a počtu zaměstnanců
  • Posouzení 93 opatření Přílohy A
  • Zpráva o faktickém zjištění
  • Shrnutí podle bezpečnostního tématu
  • Prezentace vedení
  • Formáty HTML + PDF + DOCX
Vyžádat nabídku

Roční údržba

Po certifikaci nebo průběžně

Na nabídku
podle rozsahu a počtu zaměstnanců
  • Roční revize ISMS
  • Aktualizace DdA
  • Aktualizace nápravného plánu
  • Příprava na dozorové audity
Vyžádat nabídku

Časté dotazy

Co je norma ISO/IEC 27001?
ISO/IEC 27001 je mezinárodní referenční norma pro zavedení Systému řízení bezpečnosti informací (ISMS). Ve svém vydání 2022 je strukturována do článků 4 až 10 (manažerské požadavky: kontext, vedení, plánování, podpora, provoz, hodnocení, zlepšování) a Přílohy A obsahující 93 bezpečnostních opatření rozdělených do 4 témat: organizační, lidské, fyzické a technologické.
Je ISO 27001 pro mou firmu povinná?
Ne, ISO 27001 je dobrovolná certifikace, na rozdíl od regulatorních textů jako NIS2. Naopak je stále více de facto vyžadována: výběrová řízení, požadavky velkých zadavatelů, podmínky kybernetického pojištění, nebo přístup na některé exportní trhy. Je to spíše strategická volba než obecná zákonná povinnost.
Vydává SYAGA certifikaci?
Ne. Certifikaci ISO 27001 vydává výhradně nezávislý akreditovaný certifikační orgán, na základě externího auditu. SYAGA vás doprovází při přípravě (gap assessment, dokumentace ISMS, nápravný plán, příprava vašich týmů), ale certifikát sama nevydává.
Co je Prohlášení o aplikovatelnosti (DdA)?
DdA je povinný normativní dokument certifikačního spisu. Uvádí každé z 93 opatření Přílohy A a upřesňuje, zda je uplatněno nebo vyloučeno, s odpovídajícím odůvodněním. Je to jeden z nejpečlivěji zkoumaných dokumentů při certifikačním auditu.
Kolik času musím vyčlenit svým týmům?
Podstatnou část práce (posouzení, zpracování dokumentace, nápravný plán) provádějí naši auditoři. Vaše týmy jsou zapojeny především při úvodním zaváděcím pohovoru a prezentacích. Celková doba certifikačního postupu silně závisí na vašem rozsahu a počáteční vyspělosti; odhaduje se případ od případu v nabídce.
Jakou má SYAGA legitimitu pro tuto podporu?
SYAGA Consulting provádí audity bezpečnosti informačních systémů od roku 2009. Naši auditoři pracují pro klienty různých velikostí v několika odvětvích. Metodika gap assessmentu a generování dokumentace použitá pro ISO27001-Express se opírá o stejný nástroj, jaký již používáme u jiných produktů podpory shody (PSSI-Express).
SYAGA vás doprovází při přípravě vašeho ISMS a vašeho certifikačního spisu. Samotnou certifikaci ISO/IEC 27001 vydává nezávislý akreditovaný certifikační orgán, nespojený se SYAGA. Tento obsah je podpůrný nástroj a nepředstavuje právní stanovisko.

Připraveni strukturovat svůj postup ISO 27001?

Kontaktujte nás pro individuální nabídku podle vašeho rozsahu a aktuální vyspělosti.

Regulatorní monitoring - oficiální zdroje

Co ISO/IEC 27001 skutečně říká, jednoduše vysvětleno. Každý bod odkazuje na svůj oficiální zdroj (ISO, AFNOR, COFRAC, ANSSI), aktualizováno k 17. 7. 2026.

Co to konkrétně je?

ISO/IEC 27001 je uznávaná metoda pro identifikaci hrozeb, které ohrožují vaše údaje, zvládání rizik a zavedení vhodných ochran, aby vaše informace zůstaly důvěrné, dostupné a spolehlivé. Není to software, je to organizace, kterou je třeba zavést ve firmě.

Zdroj: AFNOR Certification

Je to volba, ne zákon

Na rozdíl od jiných postupů (jako bezpečnostní homologace uložená některým systémům státu) je ISO 27001 dobrovolná: je to certifikační norma, ne obecná regulatorní povinnost. Volíte si ji, abyste ujistili klienty, partnery a pojistitele.

Zdroj: ANSSI (autorita francouzská, metodický list)

Kdo vydává certifikát?

Nikdy sama firma, ani konzultant: vydat jej může pouze nezávislý akreditovaný certifikační orgán (COFRAC je jediný francouzský akreditační orgán, založený v roce 1994). Získaný certifikát platí 3 roky.

Zdroj: COFRAC (autorita francouzská)

Postup v 6 krocích

Předběžné posouzení (volitelné), příprava, revize dokumentů, audit na místě k ověření toho, co je skutečně zavedeno, vydání certifikátu (3 roky), poté kontrolní návštěva každý rok a kompletní obnovovací audit po 3 letech. Nic není jednou provždy dané.

Zdroj: AFNOR Certification

Přináší to skutečně výsledky?

Podle studie AFNOR provedené mezi certifikovanými firmami: 89 % zaznamenalo méně bezpečnostních incidentů, 83 % má silnější interní bezpečnostní procesy a 88 % si udrželo klienty, kteří by bez certifikace mohli odejít.

Zdroj: studie AFNOR 2019

Uznávaná všude, nejen ve Francii

Je to nejpoužívanější norma bezpečnosti informací na světě podle samotné ISO. A akreditace, která kontroluje certifikační orgány (jako COFRAC ve Francii), je mezinárodně uznávaná díky dohodám mezi zeměmi, což usnadňuje přístup na trhy v Evropě i jinde.

Zdroj: ISO (výbor JTC1/SC27)