STANDARD ISO/IEC 27001:2022 - ISMS

Pripravite svojo certifikacijo ISO 27001
brez izgube 6 mesecev

ISO/IEC 27001 je mednarodni referenčni standard za sistem upravljanja varovanja informacij (ISMS). Vse pogosteje ga zahtevajo naročniki, v javnih razpisih, kibernetske zavarovalnice ali kot pogoj za dostop do nekaterih izvoznih trgov. SYAGA vas spremlja od analize vrzeli do priprave na revizijsko presojo.

93
Ukrepov Priloge A (izd. 2022)
4
Varnostne teme
7
Klavzul upravljanja (4 do 10)
1
Predana izjava o uporabnosti

Kontekst

ISO 27001 ni splošna pravna obveznost, vendar postaja nujen poslovni predpogoj

📋

Prostovoljna certifikacija, ki pa je vse pogosteje zahtevana

ISO/IEC 27001 ostaja prostovoljen postopek. Kljub temu jo vse pogosteje zahtevajo v javnih razpisih, veliki naročniki, nekatere kibernetske zavarovalnice ali pa je pogoj za dostop do nekaterih izvoznih trgov.

🔒

Malo MSP je formaliziralo svoj ISMS

Večina MSP in srednje velikih podjetij ni začela nobenega strukturiranega postopka za sistem upravljanja varovanja informacij. Tema velja za zapleteno, tehnično in dolgotrajno.

💰

Dolga in draga podpora

Klasični projekti certificiranja angažirajo vaše ekipe več mesecev in predstavljajo znatno naložbo, ki je za MSP pogosto nedosegljiva.

Vaše IT ekipe so že preobremenjene

Angažiranje vodje informatike ali odgovorne osebe za varnost za več mesecev za gradnjo ISMS v MSP, kjer vsak že opravlja več vlog, ni izvedljivo.

Metoda ISO27001-Express

Strukturiran postopek v 3 fazah, ki temelji na isti metodologiji, ki jo je SYAGA že preizkusila pri PSSI-Express

1
Faza 1 - Analiza vrzeli

Ocena 93 ukrepov Priloge A

Uvodni razgovor z vodstvom in odgovorno osebo za informacijski sistem, nato sistematična ocena vsakega od 93 varnostnih ukrepov Priloge A (izdaja 2022), razdeljenih na 4 teme: organizacijsko, človeško, fizično in tehnološko. Predstavitev dejanskega poročila o vrzelih.

2
Faza 2 - Dokumentacija ISMS

Varnostna politika, izjava o uporabnosti in sanacijski načrt

Priprava ali posodobitev varnostne politike (ISMS), izjave o uporabnosti, ki utemeljuje uporabo ali izključitev vsakega od 93 ukrepov, ter razvrščenega sanacijskega načrta za odpravo vrzeli, ugotovljenih v fazi 1.

3
Faza 3 - Podpora do certificiranja

Priprava na revizijo certifikacijskega organa

Spremljanje izvajanja sanacijskega načrta, pregled dokumentacije in priprava vaše ekipe na revizijo, ki jo izvede neodvisen akreditiran certifikacijski organ. SYAGA vas pripravi na revizijo; samo certifikacijo izda ta tretji organ.

Kaj prejmete

Ključne dokumente dokumentacije za certificiranje ISO 27001

📊

Poročilo analize vrzeli

Dejanska ocena vaše ravni skladnosti s standardom.

  • Ocena 93 ukrepov Priloge A
  • Status po ukrepu: skladno / delno / neskladno
  • Povzetek po temah (organizacijska, človeška, fizična, tehnološka)
  • Dejanske ugotovitve, brez vrednostnih sodb
🔐

Izjava o uporabnosti

Osrednji normativni dokument dokumentacije za certificiranje ISO 27001.

  • Status uporabljeno/izključeno za vsakega od 93 ukrepov
  • Utemeljitev vsake izključitve
  • Sklic na dokumente ISMS
  • Pripravljeno za predstavitev certifikacijskemu organu
📝

Varnostna politika (ISMS)

Dokument upravljanja, ki ga zahtevajo klavzule 4 do 10 standarda.

  • Obseg in kontekst ISMS
  • Varnostne vloge in odgovornosti
  • Postopek obvladovanja tveganj
  • Cikel nenehnega izboljševanja (PDCA)
🎯

Razvrščen sanacijski načrt

Časovni načrt za odpravo ugotovljenih vrzeli.

  • Ukrepi, razvrščeni po prioriteti
  • Organizacijski in tehnični ukrepi
  • Spremljanje napredka
  • Postopna priprava na revizijo
📄

Operativni postopki

Dokumenti, ki jih vaše ekipe lahko neposredno uporabijo.

  • Upravljanje varnostnih incidentov
  • Upravljanje dostopov in identitet
  • Upravljanje sprememb
  • IT pravilnik
💻

Urejevalne datoteke

Vsi dokumenti v formatih, ki jih lahko razvijate naprej.

  • Samostojen HTML (odprete ga lahko v katerem koli brskalniku)
  • Visokokakovosten PDF (tiskanje A4)
  • Urejevalen DOCX (Microsoft Word)
  • Posodobitev ob vsakem letnem pregledu

Skupna dokumentacijska osnova

ISMS ISO 27001 se naravno prekriva z več okviri

ISO

ISO/IEC 27001:2022

Osrednji okvir: klavzule 4 do 10 (zahteve upravljanja) in Priloga A (93 varnostnih ukrepov, razdeljenih na 4 teme).

N2

Povezava z NIS2

Ukrepi obvladovanja kibernetskih tveganj, ki jih zahteva direktiva NIS2, se v veliki meri prekrivajo z ukrepi Priloge A ISO 27001. ISMS ISO 27001 olajša uskladitev z NIS2 za zadevne subjekte.

AN

Vodnik ANSSI (francoski organ) - Informacijska higiena

Ukrepi vodnika informacijske higiene ANSSI se v veliki meri prekrivajo z ukrepi Priloge A ISO 27001. Skladnost je dokumentirana v sanacijskem načrtu.

RG

GDPR (čl. 32)

Ustrezni tehnični in organizacijski ukrepi, ki jih zahteva člen 32 GDPR, temeljijo na istih dobrih praksah kot Priloga A ISO 27001 (nadzor dostopa, šifriranje, upravljanje incidentov).

Ponudbe, prilagojene vašemu kontekstu

Vsak projekt ISO 27001 je dimenzioniran glede na vaš obseg in trenutno zrelost. Vedno prilagojena ponudba.

Analiza vrzeli

Začetni posnetek vaših vrzeli

Po ponudbi
glede na obseg in število zaposlenih
  • Ocena 93 ukrepov Priloge A
  • Poročilo o dejanskih ugotovitvah
  • Povzetek po varnostnih temah
  • Predstavitev vodstvu
  • Formati HTML + PDF + DOCX
Zahtevajte ponudbo

Letno vzdrževanje

Po certificiranju ali kontinuirano

Po ponudbi
glede na obseg in število zaposlenih
  • Letni pregled ISMS
  • Posodobitev izjave o uporabnosti
  • Posodobitev sanacijskega načrta
  • Priprava na nadzorne revizije
Zahtevajte ponudbo

Pogosta vprašanja

Kaj je standard ISO/IEC 27001?
ISO/IEC 27001 je mednarodni referenčni standard za vzpostavitev sistema upravljanja varovanja informacij (ISMS). V izdaji 2022 je strukturiran v klavzule 4 do 10 (zahteve upravljanja: kontekst, vodenje, načrtovanje, podpora, delovanje, vrednotenje, izboljševanje) in Prilogo A z 93 varnostnimi ukrepi, razdeljenimi na 4 teme: organizacijsko, človeško, fizično in tehnološko.
Ali je ISO 27001 obvezna za moje podjetje?
Ne, ISO 27001 je prostovoljna certifikacija, za razliko od regulativnih besedil, kot je NIS2. Kljub temu jo dejansko vse pogosteje zahtevajo: javni razpisi, zahteve velikih naročnikov, pogoji kibernetskega zavarovanja ali dostop do nekaterih izvoznih trgov. Gre za strateško odločitev, ne za splošno pravno obveznost.
Ali SYAGA izda certifikat?
Ne. Certifikat ISO 27001 izda izključno neodvisen akreditiran certifikacijski organ, po zunanji reviziji. SYAGA vas spremlja pri pripravi (analiza vrzeli, dokumentacija ISMS, sanacijski načrt, priprava vaših ekip), vendar sama ne izda certifikata.
Kaj je izjava o uporabnosti?
Izjava o uporabnosti je obvezen normativni dokument dokumentacije za certificiranje. Navaja vsakega od 93 ukrepov Priloge A in navaja, ali je uporabljen ali izključen, z ustrezno utemeljitvijo. To je eden najbolj pregledovanih dokumentov med revizijo za certificiranje.
Koliko časa moram angažirati svoje ekipe?
Bistvo dela (ocena, priprava dokumentacije, sanacijski načrt) opravijo naši revizorji. Vaše ekipe so vključene predvsem pri uvodnem razgovoru in točkah predstavitve. Skupno trajanje postopka certificiranja je zelo odvisno od vašega obsega in začetne zrelosti; oceni se za vsak primer posebej v ponudbi.
Zakaj je SYAGA usposobljena za mojo podporo?
SYAGA Consulting od leta 2009 izvaja revizije varnosti informacijskih sistemov. Naši revizorji delajo za stranke različnih velikosti v več sektorjih. Metodologija analize vrzeli in generiranja dokumentacije, uporabljena za ISO27001-Express, temelji na istem motorju, ki se že uporablja pri naši drugi podpori skladnosti (PSSI-Express).
SYAGA vas spremlja pri pripravi vašega ISMS in vaše dokumentacije za certificiranje. Samo certificiranje ISO/IEC 27001 izda neodvisen akreditiran certifikacijski organ, ki ni povezan s SYAGA. Ta vsebina je podporno orodje in ne predstavlja pravnega nasveta.

Ste pripravljeni strukturirati svoj postopek ISO 27001?

Kontaktirajte nas za prilagojeno ponudbo glede na vaš obseg in trenutno zrelost.

Regulativni pregled - uradni viri

Kaj ISO/IEC 27001 res pravi, preprosto razloženo. Vsaka točka napotuje na svoj uradni vir (ISO, AFNOR, COFRAC, ANSSI), posodobljeno 17.07.2026.

Kaj to konkretno pomeni?

ISO/IEC 27001 je priznana metoda za prepoznavanje groženj vašim podatkom, obvladovanje tveganj in vzpostavitev ustreznih zaščit, da vaše informacije ostanejo zaupne, dostopne in zanesljive. To ni programska oprema, temveč organizacija, ki jo je treba vzpostaviti v podjetju.

Vir: AFNOR Certification

To je izbira, ne zakon

Za razliko od nekaterih drugih postopkov (kot je varnostna homologacija, ki jo predpisuje nekaterim državnim sistemom), je ISO 27001 neobvezna: gre za certifikacijski standard, ne splošno regulativno obveznost. Izberete jo, da pomirite stranke, partnerje in zavarovalnice.

Vir: ANSSI (francoski organ, metodološki list)

Kdo izda certifikat?

Nikoli podjetje samo niti svetovalec: certifikat lahko izda le neodvisen akreditiran certifikacijski organ (COFRAC je edini francoski akreditacijski organ, ustanovljen leta 1994). Pridobljeni certifikat velja 3 leta.

Vir: COFRAC (francoski akreditacijski organ)

Pot v 6 korakih

Predhodna ocena (neobvezna), priprava, pregled dokumentov, presoja na kraju samem za preverjanje, kaj je res vzpostavljeno, izdaja certifikata (3 leta), nato letni nadzorni obisk in celovita presoja obnovitve po 3 letih. Nič ni dokončno določeno enkrat za vselej.

Vir: AFNOR Certification

Ali se res obrestuje?

Po raziskavi AFNOR, izvedeni med certificiranimi podjetji: 89 % jih je ugotovilo manj varnostnih incidentov, 83 % ima trdnejše notranje varnostne procese, 88 % pa je ohranilo stranke, ki bi brez certifikacije morda odšle.

Vir: raziskava AFNOR 2019

Priznana povsod, ne le v Franciji

Po podatkih same organizacije ISO je to najbolj razširjen standard varovanja informacij na svetu. Akreditacija, ki nadzoruje certifikacijske organe (kot je COFRAC v Franciji), je mednarodno priznana s sporazumi med državami, kar olajša dostop do trgov v Evropi in drugod.

Vir: ISO (odbor JTC1/SC27)