STANDARDUL ISO/IEC 27001:2022 - SMSI

Pregătiți-vă certificarea ISO 27001
fără să pierdeți 6 luni

ISO/IEC 27001 este standardul internațional de referință pentru Sistemul de Management al Securității Informației (SMSI). Din ce în ce mai cerut de beneficiari, în cererile de ofertă, de asigurătorii cyber sau pentru accesul la anumite piețe de export, SYAGA vă însoțește de la gap assessment până la pregătirea auditului de certificare.

93
Măsuri Anexa A (ed. 2022)
4
Teme de securitate
7
Clauze de management (4-10)
1
Declarație de Aplicabilitate livrată

Contextul

ISO 27001 nu este o obligație legală generală, dar devine o cerință comercială de neocolit

📋

O certificare voluntară, dar din ce în ce mai cerută

ISO/IEC 27001 rămâne un demers voluntar. Ea este totuși din ce în ce mai cerută în cererile de ofertă, de marii beneficiari, de anumiți asigurători cyber, sau ca o cerință prealabilă pentru accesul la anumite piețe de export.

🔒

Puține IMM-uri și-au formalizat SMSI-ul

Majoritatea IMM-urilor și ETI-urilor nu au demarat niciun demers structurat de Sistem de Management al Securității Informației. Subiectul este perceput ca fiind complex, tehnic și lung.

💰

Însoțiri lungi și costisitoare

Misiunile clasice de certificare mobilizează echipele dumneavoastră timp de mai multe luni și reprezintă o investiție consistentă, adesea inaccesibilă unui IMM.

Echipele dumneavoastră IT sunt deja suprasolicitate

A mobiliza directorul IT sau responsabilul de securitate timp de luni de zile pentru a construi un SMSI nu este viabil într-un IMM unde fiecare poartă deja mai multe pălării.

Metoda ISO27001-Express

Un demers structurat în 3 faze, bazat pe aceeași metodologie deja testată de SYAGA pe PSSI-Express

1
Faza 1 - Gap Assessment

Evaluarea celor 93 de măsuri din Anexa A

Interviu de cadraj cu conducerea și responsabilul IT, apoi evaluarea sistematică a fiecăreia dintre cele 93 de măsuri de securitate din Anexa A (ediția 2022), repartizate pe cele 4 teme organizațională, umană, fizică și tehnologică. Restituirea unui raport de decalaje factual.

2
Faza 2 - Documentarea SMSI-ului

Politică de securitate, DdA și plan de remediere

Redactarea sau actualizarea politicii de securitate (SMSI), a Declarației de Aplicabilitate (DdA) care justifică aplicarea sau excluderea fiecăreia dintre cele 93 de măsuri, și a unui plan de remediere prioritizat pentru a acoperi decalajele identificate în faza 1.

3
Faza 3 - Însoțire către certificare

Pregătirea auditului de către organismul de certificare

Urmărirea implementării planului de remediere, revizuire documentară, și pregătirea echipei dumneavoastră pentru auditul realizat de un organism de certificare acreditat independent. SYAGA vă pregătește pentru audit; certificarea în sine este eliberată de acest organism terț.

Ce primiți

Documentele structurante ale dosarului de certificare ISO 27001

📊

Raport de Gap Assessment

Evaluare factuală a nivelului dumneavoastră de conformitate în raport cu standardul.

  • Evaluarea celor 93 de măsuri din Anexa A
  • Status pe măsură: conform / parțial / neconform
  • Sinteză pe temă (organizațională, umană, fizică, tehnologică)
  • Constatări factuale, fără judecată de valoare
🔐

Declarația de Aplicabilitate (DdA)

Documentul normativ central al dosarului de certificare ISO 27001.

  • Status aplicabil/exclus pentru fiecare dintre cele 93 de măsuri
  • Justificarea fiecărei excluderi
  • Referință către documentele SMSI-ului
  • Gata de prezentat organismului de certificare
📝

Politică de securitate (SMSI)

Documentul de guvernanță cerut de clauzele 4-10 ale standardului.

  • Perimetru și context al SMSI-ului
  • Roluri și responsabilități de securitate
  • Proces de gestionare a riscurilor
  • Ciclu de îmbunătățire continuă (PDCA)
🎯

Plan de remediere prioritizat

Foaia de parcurs pentru a acoperi decalajele identificate.

  • Acțiuni clasificate pe prioritate
  • Măsuri organizatorice și tehnice
  • Urmărirea progresului
  • Pregătire progresivă pentru audit
📄

Proceduri operaționale

Documente aplicabile direct de echipele dumneavoastră.

  • Gestionarea incidentelor de securitate
  • Gestionarea accesurilor și a identităților
  • Gestionarea schimbărilor
  • Cartă informatică
💻

Fișiere editabile

Toate documentele în formate pe care le puteți dezvolta.

  • HTML independent (se deschide în orice browser)
  • PDF de înaltă calitate (imprimare A4)
  • DOCX editabil (Microsoft Word)
  • Actualizare la fiecare revizuire anuală

Un soclu documentar mutualizabil

SMSI-ul ISO 27001 se suprapune în mod natural cu mai multe referențiale

ISO

ISO/IEC 27001:2022

Referențial central: clauzele 4-10 (cerințe de management) și Anexa A (93 de măsuri de securitate repartizate în 4 teme).

N2

Punte cu NIS2

Măsurile de gestionare a riscurilor cyber cerute de directiva NIS2 se suprapun în mare măsură cu măsurile din Anexa A ISO 27001. Un SMSI ISO 27001 facilitează punerea în conformitate NIS2 pentru entitățile vizate.

AN

Ghid ANSSI - Igienă informatică (autoritate franceză)

Măsurile ghidului de igienă informatică al ANSSI se suprapun cu o parte semnificativă a măsurilor din Anexa A ISO 27001. Corespondență documentată în planul de remediere.

RG

RGPD (Art. 32)

Măsurile tehnice și organizatorice adecvate cerute de articolul 32 din RGPD se bazează pe aceleași bune practici ca și Anexa A ISO 27001 (control acces, criptare, gestionarea incidentelor).

Oferte adaptate contextului dumneavoastră

Fiecare misiune ISO 27001 este dimensionată în funcție de perimetrul dumneavoastră și de maturitatea actuală. Ofertă personalizată sistematic.

Gap Assessment

Fotografia inițială a decalajelor dumneavoastră

La ofertă
în funcție de perimetru și efective
  • Evaluarea celor 93 de măsuri din Anexa A
  • Raport de constatare factuală
  • Sinteză pe temă de securitate
  • Restituire către conducere
  • Formate HTML + PDF + DOCX
Solicitați o ofertă

Mentenanță anuală

După certificare sau în continuu

La ofertă
în funcție de perimetru și efective
  • Revizuire anuală a SMSI-ului
  • Actualizarea DdA
  • Actualizarea planului de remediere
  • Pregătire pentru auditurile de supraveghere
Solicitați o ofertă

Întrebări frecvente

Ce este standardul ISO/IEC 27001?
ISO/IEC 27001 este standardul internațional de referință pentru implementarea unui Sistem de Management al Securității Informației (SMSI). În ediția sa din 2022, este structurat în clauzele 4-10 (cerințe de management: context, leadership, planificare, suport, funcționare, evaluare, îmbunătățire) și o Anexă A cu 93 de măsuri de securitate repartizate în 4 teme: organizațională, umană, fizică și tehnologică.
ISO 27001 este obligatorie pentru compania mea?
Nu, ISO 27001 este o certificare voluntară, spre deosebire de texte reglementare precum NIS2. În schimb, este din ce în ce mai cerută de facto: cereri de ofertă, cerințe ale marilor beneficiari, condiții de asigurare cyber, sau acces la anumite piețe de export. Este o alegere strategică mai degrabă decât o obligație legală generală.
SYAGA eliberează certificarea?
Nu. Certificarea ISO 27001 este eliberată exclusiv de un organism de certificare acreditat independent, în urma unui audit extern. SYAGA vă însoțește în pregătire (gap assessment, documentarea SMSI-ului, plan de remediere, pregătirea echipelor dumneavoastră), dar nu eliberează ea însăși certificatul.
Ce este Declarația de Aplicabilitate (DdA)?
DdA este un document normativ obligatoriu al dosarului de certificare. Ea listează fiecare dintre cele 93 de măsuri din Anexa A și precizează dacă este aplicată sau exclusă, cu justificarea corespunzătoare. Este unul dintre documentele cele mai examinate în timpul auditului de certificare.
Cât timp trebuie să îmi mobilizez echipele?
Esențialul lucrării (evaluare, redactare documentară, plan de remediere) este realizat de auditorii noștri. Echipele dumneavoastră sunt solicitate în principal la interviul inițial de cadraj și la punctele de restituire. Durata totală a unui demers de certificare depinde puternic de perimetrul dumneavoastră și de maturitatea de pornire; este estimată de la caz la caz în ofertă.
Prin ce este SYAGA legitimă să mă însoțească?
SYAGA Consulting realizează audituri de securitate a sistemelor informatice din 2009. Auditorii noștri intervin la clienți de diferite dimensiuni în mai multe sectoare. Metodologia de gap assessment și de generare documentară utilizată pentru ISO27001-Express se bazează pe același motor deja utilizat în celelalte însoțiri de conformitate ale noastre (PSSI-Express).
SYAGA vă însoțește în pregătirea SMSI-ului dumneavoastră și a dosarului dumneavoastră de certificare. Certificarea ISO/IEC 27001 în sine este eliberată de un organism de certificare acreditat independent, neafiliat cu SYAGA. Acest conținut este un instrument de asistență și nu constituie un aviz juridic.

Gata să vă structurați demersul ISO 27001?

Contactați-ne pentru o ofertă personalizată în funcție de perimetrul dumneavoastră și de maturitatea actuală.

Monitorizare reglementară - surse oficiale

Ce spune cu adevărat ISO/IEC 27001, explicat simplu. Fiecare punct trimite la sursa sa oficială (ISO, AFNOR, COFRAC, ANSSI), actualizată la 17/07/2026.

Ce este, concret?

ISO/IEC 27001 este o metodă recunoscută pentru a identifica amenințările care planează asupra datelor dumneavoastră, a controla riscurile și a implementa protecțiile potrivite, pentru ca informațiile dumneavoastră să rămână confidențiale, disponibile și fiabile. Nu este un software, este o organizare de pus în aplicare în companie.

Sursă: AFNOR Certification (organism francez)

Este o alegere, nu o lege

Spre deosebire de alte demersuri (precum omologarea de securitate impusă anumitor sisteme ale statului), ISO 27001 este facultativă: este un standard certificator, nu o obligație reglementară generală. O alegeți pentru a liniști clienți, parteneri și asigurători.

Sursă: ANSSI (fișă metodă, autoritate franceză)

Cine eliberează certificatul?

Niciodată compania însăși, nici un consultant: doar un organism de certificare independent și acreditat îl poate elibera (COFRAC este unica instanță franceză de acreditare, creată în 1994). Certificatul obținut este valabil 3 ani.

Sursă: COFRAC (organism francez)

Parcursul, în 6 etape

Evaluare prealabilă (opțională), pregătire, revizuirea documentelor, audit la fața locului pentru a verifica ce este cu adevărat în vigoare, eliberarea certificatului (3 ani), apoi o vizită de control în fiecare an și un audit complet de reînnoire după 3 ani. Nimic nu este fixat o dată pentru totdeauna.

Sursă: AFNOR Certification (organism francez)

Chiar aduce beneficii?

Conform unui studiu AFNOR realizat la companii certificate: 89% au constatat mai puține incidente de securitate, 83% au procese de securitate interne mai solide, iar 88% și-au păstrat clienți care ar fi putut pleca fără certificare.

Sursă: studiu AFNOR 2019 (organism francez)

Recunoscută peste tot, nu doar în Franța

Este standardul de securitate a informației cel mai utilizat din lume, conform ISO însăși. Iar acreditarea care controlează organismele de certificare (precum COFRAC în Franța) este recunoscută internațional prin acorduri între țări, ceea ce facilitează accesul la piețe în Europa și în altă parte.

Sursă: ISO (comitetul JTC1/SC27)