СТАНДАРТ ISO/IEC 27001:2022 - СУИС

Подгответе своята сертификация по ISO 27001
без да загубите 6 месеца

ISO/IEC 27001 е международният референтен стандарт за Система за управление на информационната сигурност (СУИС). Все по-често изисквана от възложители, в тръжни процедури, от кибер застрахователи или за достъп до определени експортни пазари, SYAGA ви съдейства от оценката на пропуските до подготовката за одита за сертификация.

93
Мерки от Приложение А (изд. 2022)
4
Теми на сигурността
7
Клаузи за управление (4 до 10)
1
Доставена Декларация за приложимост

Контекстът

ISO 27001 не е общо законово задължение, но се превръща в неизбежна бизнес предпоставка

📋

Доброволна сертификация, но все по-често изисквана

ISO/IEC 27001 остава доброволен подход. Тя обаче е все по-често изисквана в тръжни процедури, от големи възложители, от определени кибер застрахователи или като предпоставка за достъп до определени експортни пазари.

🔒

Малко МСП са формализирали своята СУИС

По-голямата част от МСП и средно големите предприятия не са предприели никакъв структуриран подход към Система за управление на информационната сигурност. Темата се възприема като сложна, техническа и дълга.

💰

Дълго и скъпо съдействие

Класическите проекти за сертификация ангажират екипите ви за няколко месеца и представляват значителна инвестиция, често недостъпна за МСП.

Вашите ИТ екипи вече са претоварени

Ангажирането на ИТ директора или отговорника по сигурността за месеци за изграждане на СУИС не е жизнеспособно в МСП, където всеки вече изпълнява няколко роли.

Методологията ISO27001-Express

Структуриран подход в 3 фази, основан на същата методология, вече доказана от SYAGA при PSSI-Express

1
Фаза 1 - Оценка на пропуските

Оценка на 93-те мерки от Приложение А

Разговор за обхвата с ръководството и отговорника по ИС, след което систематична оценка на всяка от 93-те мерки за сигурност от Приложение А (издание 2022), разпределени в 4-те теми: организационна, човешка, физическа и технологична. Представяне на фактически доклад за пропуските.

2
Фаза 2 - Документиране на СУИС

Политика за сигурност, ДП и план за отстраняване

Изготвяне или актуализация на политиката за сигурност (СУИС), на Декларацията за приложимост (ДП), обосноваваща прилагането или изключването на всяка от 93-те мерки, и на приоритизиран план за отстраняване на пропуските, идентифицирани във фаза 1.

3
Фаза 3 - Съдействие за сертификация

Подготовка на одита от сертифициращия орган

Проследяване на изпълнението на плана за отстраняване, преглед на документацията и подготовка на вашия екип за одита, извършван от независим акредитиран сертифициращ орган. SYAGA ви подготвя за одита; самата сертификация се издава от този трети орган.

Какво получавате

Структуриращите документи на досието за сертификация по ISO 27001

📊

Доклад за оценка на пропуските

Фактическа оценка на вашето ниво на съответствие спрямо стандарта.

  • Оценка на 93-те мерки от Приложение А
  • Статус по мярка: съответства / частично / не съответства
  • Обобщение по тема (организационна, човешка, физическа, технологична)
  • Фактически констатации, без оценъчни съждения
🔐

Декларация за приложимост (ДП)

Централен нормативен документ на досието за сертификация по ISO 27001.

  • Статус приложима/изключена за всяка от 93-те мерки
  • Обосновка на всяко изключение
  • Референция към документите на СУИС
  • Готова за представяне пред сертифициращия орган
📝

Политика за сигурност (СУИС)

Документът за управление, изискван от клаузи 4 до 10 на стандарта.

  • Обхват и контекст на СУИС
  • Роли и отговорности за сигурността
  • Процес на управление на риска
  • Цикъл на непрекъснато подобрение (PDCA)
🎯

Приоритизиран план за отстраняване

Пътната карта за отстраняване на идентифицираните пропуски.

  • Действия, класирани по приоритет
  • Организационни и технически мерки
  • Проследяване на напредъка
  • Постепенна подготовка за одита
📄

Оперативни процедури

Документи, директно приложими от вашите екипи.

  • Управление на инциденти по сигурността
  • Управление на достъпи и самоличности
  • Управление на промени
  • ИТ харта
💻

Редактируеми файлове

Всички документи във формати, които можете да развивате.

  • Самостоятелен HTML (отваря се във всеки браузър)
  • Висококачествен PDF (печат A4)
  • Редактируем DOCX (Microsoft Word)
  • Актуализация при всеки годишен преглед

Обща документална основа

СУИС по ISO 27001 естествено се припокрива с няколко стандарта

ISO

ISO/IEC 27001:2022

Централен стандарт: клаузи 4 до 10 (изисквания за управление) и Приложение А (93 мерки за сигурност, разпределени в 4 теми).

N2

Мост с NIS2

Мерките за управление на киберрисковете, изисквани от директива NIS2, до голяма степен се припокриват с мерките от Приложение А на ISO 27001. СУИС по ISO 27001 улеснява привеждането в съответствие с NIS2 за засегнатите субекти.

AN

Ръководство на ANSSI - ИТ хигиена (френски орган)

Мерките от ръководството за ИТ хигиена на ANSSI се припокриват значително с мерките от Приложение А на ISO 27001. Съответствието е документирано в плана за отстраняване.

RG

GDPR (чл. 32)

Подходящите технически и организационни мерки, изисквани от член 32 на GDPR, се основават на същите добри практики като Приложение А на ISO 27001 (контрол на достъпа, криптиране, управление на инциденти).

Оферти, съобразени с вашия контекст

Всеки проект по ISO 27001 се оразмерява според вашия обхват и текущата ви зрялост. Систематично персонализирана оферта.

Оценка на пропуските

Начална снимка на вашите пропуски

По оферта
според обхват и брой служители
  • Оценка на 93-те мерки от Приложение А
  • Доклад с фактически констатации
  • Обобщение по тема на сигурността
  • Представяне пред ръководството
  • Формати HTML + PDF + DOCX
Заявка за оферта

Годишна поддръжка

След сертификация или в непрекъснат режим

По оферта
според обхват и брой служители
  • Годишен преглед на СУИС
  • Актуализация на ДП
  • Актуализация на плана за отстраняване
  • Подготовка за одитите за наблюдение
Заявка за оферта

Често задавани въпроси

Какво представлява стандартът ISO/IEC 27001?
ISO/IEC 27001 е международният референтен стандарт за въвеждане на Система за управление на информационната сигурност (СУИС). В своето издание 2022 г. той е структуриран в клаузи 4 до 10 (изисквания за управление: контекст, лидерство, планиране, поддръжка, функциониране, оценка, подобрение) и Приложение А от 93 мерки за сигурност, разпределени в 4 теми: организационна, човешка, физическа и технологична.
Задължителна ли е ISO 27001 за моята компания?
Не, ISO 27001 е доброволна сертификация, за разлика от регулаторни текстове като NIS2. От друга страна, тя се изисква все по-често de facto: тръжни процедури, изисквания на големи възложители, условия за кибер застраховка или достъп до определени експортни пазари. Това е стратегически избор, а не общо законово задължение.
SYAGA издава ли сертификацията?
Не. Сертификацията по ISO 27001 се издава изключително от независим акредитиран сертифициращ орган, след външен одит. SYAGA ви съдейства в подготовката (оценка на пропуските, документиране на СУИС, план за отстраняване, подготовка на вашите екипи), но не издава самия сертификат.
Какво представлява Декларацията за приложимост (ДП)?
ДП е задължителен нормативен документ от досието за сертификация. Той изброява всяка от 93-те мерки от Приложение А и уточнява дали е приложена или изключена, заедно със съответната обосновка. Това е един от документите, най-строго проверявани по време на одита за сертификация.
Колко време трябва да ангажирам екипите си?
По-голямата част от работата (оценка, изготвяне на документация, план за отстраняване) се извършва от нашите одитори. Екипите ви се ангажират основно при първоначалния разговор за обхвата и представянията на резултатите. Общата продължителност на проекта за сертификация силно зависи от вашия обхват и начална зрялост; оценява се за всеки конкретен случай в офертата.
С какво SYAGA е компетентна да ме съдейства?
SYAGA Consulting извършва одити на сигурността на информационните системи от 2009 г. Нашите одитори работят с клиенти с различни размери в няколко сектора. Методологията за оценка на пропуските и генериране на документация, използвана за ISO27001-Express, се основава на същия механизъм, вече използван при нашите други проекти за съответствие (PSSI-Express).
SYAGA ви съдейства в подготовката на вашата СУИС и на вашето досие за сертификация. Самата сертификация по ISO/IEC 27001 се издава от независим акредитиран сертифициращ орган, който не е свързан със SYAGA. Това съдържание е инструмент за подпомагане и не представлява правен съвет.

Готови ли сте да структурирате вашия проект по ISO 27001?

Свържете се с нас за персонализирана оферта според вашия обхват и текущата ви зрялост.

Регулаторно наблюдение - официални източници

Какво наистина казва ISO/IEC 27001, обяснено просто. Всяка точка препраща към своя официален източник (ISO, AFNOR, COFRAC, ANSSI), актуализирано на 17/07/2026.

Какво е това, конкретно?

ISO/IEC 27001 е признат метод за откриване на заплахите за вашите данни, управление на рисковете и въвеждане на правилните защити, така че информацията ви да остане поверителна, налична и надеждна. Това не е софтуер, а организация, която се въвежда в предприятието.

Източник: AFNOR Certification

Избор, а не закон

За разлика от други подходи (като задължителната сигурностна хомологация за определени системи на държавата, приложима във Франция), ISO 27001 е незадължителна: това е сертифициращ стандарт, а не общо регулаторно задължение. Избирате я, за да успокоите клиенти, партньори и застрахователи.

Източник: ANSSI (методически лист, френски орган)

Кой издава сертификата?

Никога самата компания, нито консултант: само независим и акредитиран сертифициращ орган може да го издаде (COFRAC е единственият френски акредитиращ орган, създаден през 1994 г.). Получаваният сертификат е валиден 3 години.

Източник: COFRAC (френски орган)

Пътят, в 6 стъпки

Предварителна оценка (незадължителна), подготовка, преглед на документите, одит на място за проверка какво наистина е въведено, издаване на сертификата (3 години), след което контролно посещение всяка година и пълен одит за подновяване след 3 години. Нищо не е окончателно фиксирано веднъж завинаги.

Източник: AFNOR Certification

Наистина ли се изплаща?

Според проучване на AFNOR сред сертифицирани компании: 89% са установили по-малко инциденти по сигурността, 83% имат по-солидни вътрешни процеси за сигурност, а 88% са запазили клиенти, които биха могли да си тръгнат без сертификацията.

Източник: проучване на AFNOR, 2019 г.

Призната навсякъде, не само във Франция

Това е най-използваният в света стандарт за информационна сигурност, според самата ISO. А акредитацията, която контролира сертифициращите органи (като COFRAC във Франция), е международно призната чрез споразумения между държавите, което улеснява достъпа до пазари в Европа и другаде.

Източник: ISO (комитет JTC1/SC27)