ISO/IEC 27001 je medzinárodná referenčná norma pre systém riadenia bezpečnosti informácií (ISMS). Čoraz častejšie ju vyžadujú odberatelia, verejné súťaže, poisťovne kybernetických rizík alebo prístup na niektoré exportné trhy. SYAGA vás sprevádza od gap assessmentu až po prípravu certifikačného auditu.
ISO 27001 nie je všeobecná zákonná povinnosť, no stáva sa nevyhnutným obchodným predpokladom
ISO/IEC 27001 zostáva dobrovoľným postupom. Napriek tomu ju čoraz viac vyžadujú verejné súťaže, veľkí odberatelia, niektoré poisťovne kybernetických rizík alebo je podmienkou prístupu na niektoré exportné trhy.
Väčšina malých a stredných podnikov nezačala žiadny štruktúrovaný postup zavedenia systému riadenia bezpečnosti informácií. Téma je vnímaná ako zložitá, technická a zdĺhavá.
Klasické certifikačné zákazky zamestnávajú vaše tímy niekoľko mesiacov a predstavujú značnú investíciu, často nedostupnú pre malú firmu.
Zamestnávať IT riaditeľa alebo bezpečnostného manažéra na mesiace budovaním ISMS nie je udržateľné v malej firme, kde každý zastáva už niekoľko rolí.
Štruktúrovaný postup v 3 fázach, opierajúci sa o rovnakú metodiku, ktorú SYAGA už overila na PSSI-Express
Úvodný rozhovor s vedením a zodpovedným za IT systém, následne systematické vyhodnotenie každého z 93 bezpečnostných opatrení Prílohy A (vydanie 2022), rozdelených do 4 tém: organizačná, ľudská, fyzická a technologická. Odovzdanie faktickej správy o zisteniach.
Vypracovanie alebo aktualizácia bezpečnostnej politiky (ISMS), Vyhlásenia o aplikovateľnosti (DdA) zdôvodňujúceho uplatnenie alebo vylúčenie každého z 93 opatrení, a prioritizovaného plánu nápravy na odstránenie nedostatkov zistených vo fáze 1.
Sledovanie realizácie plánu nápravy, revízia dokumentácie a príprava vášho tímu na audit vykonávaný nezávislým akreditovaným certifikačným orgánom. SYAGA vás pripraví na audit; samotnú certifikáciu vydáva tento tretí subjekt.
Kľúčové dokumenty spisu certifikácie ISO 27001
Faktické vyhodnotenie vašej úrovne súladu s normou.
Kľúčový normatívny dokument spisu certifikácie ISO 27001.
Dokument governance vyžadovaný kapitolami 4 až 10 normy.
Cestovná mapa na odstránenie zistených nedostatkov.
Dokumenty priamo použiteľné vašimi tímami.
Všetky dokumenty vo formátoch, ktoré môžete ďalej rozvíjať.
ISMS podľa ISO 27001 sa prirodzene prekrýva s viacerými referenčnými rámcami
Hlavný referenčný rámec: kapitoly 4 až 10 (riadiace požiadavky) a Príloha A (93 bezpečnostných opatrení rozdelených do 4 tém).
Opatrenia na riadenie kybernetických rizík vyžadované smernicou NIS2 sa vo veľkej miere prekrývajú s opatreniami Prílohy A ISO 27001. ISMS podľa ISO 27001 uľahčuje zosúladenie s NIS2 pre dotknuté subjekty.
Opatrenia z príručky IT hygieny ANSSI sa vo významnej miere prekrývajú s opatreniami Prílohy A ISO 27001. Priradenie je zdokumentované v pláne nápravy.
Primerané technické a organizačné opatrenia vyžadované článkom 32 RGPD sa opierajú o rovnaké osvedčené postupy ako Príloha A ISO 27001 (kontrola prístupu, šifrovanie, riadenie incidentov).
Každá zákazka ISO 27001 je dimenzovaná podľa vášho rozsahu a súčasnej vyspelosti. Vždy individuálna cenová ponuka.
Počiatočná fotografia vašich nedostatkov
Od gap assessmentu po prípravu auditu
Po certifikácii alebo priebežne
Kontaktujte nás pre individuálnu cenovú ponuku podľa vášho rozsahu a súčasnej vyspelosti.
Čo ISO/IEC 27001 skutočne hovorí, vysvetlené jednoducho. Každý bod odkazuje na svoj oficiálny zdroj (ISO, AFNOR, COFRAC, ANSSI - francúzske orgány), aktualizované k 17.07.2026.
ISO/IEC 27001 je uznávaná metóda na identifikáciu hrozieb ohrozujúcich vaše údaje, zvládanie rizík a zavedenie správnej ochrany, aby vaše informácie zostali dôverné, dostupné a spoľahlivé. Nie je to softvér, je to organizácia, ktorú treba zaviesť vo firme.
Zdroj: AFNOR Certification (francúzsky orgán)Na rozdiel od iných postupov (ako bezpečnostná homologizácia vyžadovaná pri niektorých štátnych systémoch), ISO 27001 je dobrovoľná: je to certifikačná norma, nie všeobecná regulačná povinnosť. Volíte si ju, aby ste upokojili klientov, partnerov a poisťovne.
Zdroj: ANSSI (francúzsky úrad, metodický list)Nikdy sama firma, ani konzultant: certifikát môže vydať iba nezávislý a akreditovaný certifikačný orgán (COFRAC je jediný francúzsky akreditačný orgán, založený v roku 1994). Získaný certifikát platí 3 roky.
Zdroj: COFRAC (francúzsky orgán)Predbežné hodnotenie (voliteľné), príprava, revízia dokumentov, audit na mieste na overenie toho, čo je skutočne zavedené, vydanie certifikátu (3 roky), následne kontrolná návšteva každý rok a kompletný audit obnovenia po 3 rokoch. Nič nie je raz a navždy dané.
Zdroj: AFNOR Certification (francúzsky orgán)Podľa štúdie AFNOR (francúzsky orgán) medzi certifikovanými firmami: 89 % zaznamenalo menej bezpečnostných incidentov, 83 % má pevnejšie interné bezpečnostné procesy a 88 % si udržalo klientov, ktorí by bez certifikácie mohli odísť.
Zdroj: štúdia AFNOR 2019Podľa samotnej ISO ide o najpoužívanejšiu normu bezpečnosti informácií na svete. A akreditácia, ktorá kontroluje certifikačné orgány (ako COFRAC vo Francúzsku), je medzinárodne uznávaná na základe dohôd medzi krajinami, čo uľahčuje prístup na trhy v Európe aj inde.
Zdroj: ISO (výbor JTC1/SC27)