NORMA ISO/IEC 27001:2022 - ISMS

Pripravte si certifikáciu ISO 27001
bez straty 6 mesiacov

ISO/IEC 27001 je medzinárodná referenčná norma pre systém riadenia bezpečnosti informácií (ISMS). Čoraz častejšie ju vyžadujú odberatelia, verejné súťaže, poisťovne kybernetických rizík alebo prístup na niektoré exportné trhy. SYAGA vás sprevádza od gap assessmentu až po prípravu certifikačného auditu.

93
Opatrení Prílohy A (vydanie 2022)
4
Bezpečnostné témy
7
Riadiacich kapitol (4 až 10)
1
Odovzdané Vyhlásenie o aplikovateľnosti

Kontext

ISO 27001 nie je všeobecná zákonná povinnosť, no stáva sa nevyhnutným obchodným predpokladom

📋

Dobrovoľná certifikácia, no čoraz viac žiadaná

ISO/IEC 27001 zostáva dobrovoľným postupom. Napriek tomu ju čoraz viac vyžadujú verejné súťaže, veľkí odberatelia, niektoré poisťovne kybernetických rizík alebo je podmienkou prístupu na niektoré exportné trhy.

🔒

Málo malých a stredných firiem má formalizovaný ISMS

Väčšina malých a stredných podnikov nezačala žiadny štruktúrovaný postup zavedenia systému riadenia bezpečnosti informácií. Téma je vnímaná ako zložitá, technická a zdĺhavá.

💰

Zdĺhavá a nákladná podpora

Klasické certifikačné zákazky zamestnávajú vaše tímy niekoľko mesiacov a predstavujú značnú investíciu, často nedostupnú pre malú firmu.

Vaše IT tímy sú už preťažené

Zamestnávať IT riaditeľa alebo bezpečnostného manažéra na mesiace budovaním ISMS nie je udržateľné v malej firme, kde každý zastáva už niekoľko rolí.

Metóda ISO27001-Express

Štruktúrovaný postup v 3 fázach, opierajúci sa o rovnakú metodiku, ktorú SYAGA už overila na PSSI-Express

1
Fáza 1 - Gap Assessment

Vyhodnotenie 93 opatrení Prílohy A

Úvodný rozhovor s vedením a zodpovedným za IT systém, následne systematické vyhodnotenie každého z 93 bezpečnostných opatrení Prílohy A (vydanie 2022), rozdelených do 4 tém: organizačná, ľudská, fyzická a technologická. Odovzdanie faktickej správy o zisteniach.

2
Fáza 2 - Dokumentácia ISMS

Bezpečnostná politika, DdA a plán nápravy

Vypracovanie alebo aktualizácia bezpečnostnej politiky (ISMS), Vyhlásenia o aplikovateľnosti (DdA) zdôvodňujúceho uplatnenie alebo vylúčenie každého z 93 opatrení, a prioritizovaného plánu nápravy na odstránenie nedostatkov zistených vo fáze 1.

3
Fáza 3 - Podpora smerom k certifikácii

Príprava auditu certifikačným orgánom

Sledovanie realizácie plánu nápravy, revízia dokumentácie a príprava vášho tímu na audit vykonávaný nezávislým akreditovaným certifikačným orgánom. SYAGA vás pripraví na audit; samotnú certifikáciu vydáva tento tretí subjekt.

Čo dostanete

Kľúčové dokumenty spisu certifikácie ISO 27001

📊

Správa Gap Assessment

Faktické vyhodnotenie vašej úrovne súladu s normou.

  • Vyhodnotenie 93 opatrení Prílohy A
  • Stav podľa opatrenia: v súlade / čiastočne / nesúlad
  • Zhrnutie podľa témy (organizačná, ľudská, fyzická, technologická)
  • Faktické zistenia, bez hodnotových súdov
🔐

Vyhlásenie o aplikovateľnosti (DdA)

Kľúčový normatívny dokument spisu certifikácie ISO 27001.

  • Stav uplatnené/vylúčené pre každé z 93 opatrení
  • Zdôvodnenie každého vylúčenia
  • Odkaz na dokumenty ISMS
  • Pripravené na predloženie certifikačnému orgánu
📝

Bezpečnostná politika (ISMS)

Dokument governance vyžadovaný kapitolami 4 až 10 normy.

  • Rozsah a kontext ISMS
  • Bezpečnostné roly a zodpovednosti
  • Proces riadenia rizík
  • Cyklus neustáleho zlepšovania (PDCA)
🎯

Prioritizovaný plán nápravy

Cestovná mapa na odstránenie zistených nedostatkov.

  • Opatrenia zoradené podľa priority
  • Organizačné a technické opatrenia
  • Sledovanie postupu
  • Postupná príprava na audit
📄

Prevádzkové postupy

Dokumenty priamo použiteľné vašimi tímami.

  • Riadenie bezpečnostných incidentov
  • Správa prístupov a identít
  • Riadenie zmien
  • IT charta
💻

Upraviteľné súbory

Všetky dokumenty vo formátoch, ktoré môžete ďalej rozvíjať.

  • Samostatný HTML (otvoriteľný v akomkoľvek prehliadači)
  • Kvalitné PDF (tlač A4)
  • Upraviteľný DOCX (Microsoft Word)
  • Aktualizácia pri každej ročnej revízii

Zdieľateľný dokumentačný základ

ISMS podľa ISO 27001 sa prirodzene prekrýva s viacerými referenčnými rámcami

ISO

ISO/IEC 27001:2022

Hlavný referenčný rámec: kapitoly 4 až 10 (riadiace požiadavky) a Príloha A (93 bezpečnostných opatrení rozdelených do 4 tém).

N2

Prepojenie s NIS2

Opatrenia na riadenie kybernetických rizík vyžadované smernicou NIS2 sa vo veľkej miere prekrývajú s opatreniami Prílohy A ISO 27001. ISMS podľa ISO 27001 uľahčuje zosúladenie s NIS2 pre dotknuté subjekty.

AN

Príručka ANSSI (francúzsky úrad) - IT hygiena

Opatrenia z príručky IT hygieny ANSSI sa vo významnej miere prekrývajú s opatreniami Prílohy A ISO 27001. Priradenie je zdokumentované v pláne nápravy.

RG

RGPD (čl. 32)

Primerané technické a organizačné opatrenia vyžadované článkom 32 RGPD sa opierajú o rovnaké osvedčené postupy ako Príloha A ISO 27001 (kontrola prístupu, šifrovanie, riadenie incidentov).

Ponuky prispôsobené vášmu kontextu

Každá zákazka ISO 27001 je dimenzovaná podľa vášho rozsahu a súčasnej vyspelosti. Vždy individuálna cenová ponuka.

Gap Assessment

Počiatočná fotografia vašich nedostatkov

Na dopyt
podľa rozsahu a počtu zamestnancov
  • Vyhodnotenie 93 opatrení Prílohy A
  • Faktická správa o zisteniach
  • Zhrnutie podľa bezpečnostnej témy
  • Prezentácia vedeniu
  • Formáty HTML + PDF + DOCX
Vyžiadať cenovú ponuku

Ročná údržba

Po certifikácii alebo priebežne

Na dopyt
podľa rozsahu a počtu zamestnancov
  • Ročná revízia ISMS
  • Aktualizácia DdA
  • Aktualizácia plánu nápravy
  • Príprava na dozorné audity
Vyžiadať cenovú ponuku

Časté otázky

Čo je norma ISO/IEC 27001?
ISO/IEC 27001 je medzinárodná referenčná norma na zavedenie systému riadenia bezpečnosti informácií (ISMS). Vo svojom vydaní z roku 2022 je štruktúrovaná do kapitol 4 až 10 (riadiace požiadavky: kontext, vedenie, plánovanie, podpora, prevádzka, hodnotenie, zlepšovanie) a Prílohy A s 93 bezpečnostnými opatreniami rozdelenými do 4 tém: organizačná, ľudská, fyzická a technologická.
Je ISO 27001 pre moju firmu povinná?
Nie, ISO 27001 je dobrovoľná certifikácia, na rozdiel od regulačných textov ako NIS2. Napriek tomu je čoraz viac vyžadovaná de facto: verejné súťaže, požiadavky veľkých odberateľov, podmienky kybernetického poistenia alebo prístup na niektoré exportné trhy. Je to skôr strategické rozhodnutie ako všeobecná zákonná povinnosť.
Vydáva SYAGA certifikáciu?
Nie. Certifikáciu ISO 27001 vydáva výlučne nezávislý akreditovaný certifikačný orgán, na základe externého auditu. SYAGA vás sprevádza v príprave (gap assessment, dokumentácia ISMS, plán nápravy, príprava vašich tímov), no sama certifikát nevydáva.
Čo je Vyhlásenie o aplikovateľnosti (DdA)?
DdA je povinný normatívny dokument spisu certifikácie. Uvádza každé z 93 opatrení Prílohy A a spresňuje, či je uplatnené alebo vylúčené, spolu s príslušným zdôvodnením. Je to jeden z najviac skúmaných dokumentov počas certifikačného auditu.
Koľko času musím vyčleniť svojim tímom?
Podstatnú časť práce (vyhodnotenie, tvorba dokumentácie, plán nápravy) vykonávajú naši audítori. Vaše tímy sú zapojené najmä počas úvodného rozhovoru a bodov prezentácie. Celková dĺžka certifikačného postupu výrazne závisí od vášho rozsahu a počiatočnej vyspelosti; odhaduje sa individuálne v cenovej ponuke.
Prečo je SYAGA oprávnená ma sprevádzať?
SYAGA Consulting vykonáva audity bezpečnosti informačných systémov od roku 2009. Naši audítori pôsobia u klientov rôznych veľkostí vo viacerých odvetviach. Metodika gap assessmentu a generovania dokumentácie použitá pre ISO27001-Express sa opiera o rovnaký nástroj, ktorý už používame pri ostatných službách súladu (PSSI-Express).
SYAGA vás sprevádza pri príprave vášho ISMS a vášho certifikačného spisu. Samotnú certifikáciu ISO/IEC 27001 vydáva nezávislý akreditovaný certifikačný orgán, ktorý nie je pridružený k SYAGA. Tento obsah je podporný nástroj a nepredstavuje právne poradenstvo.

Ste pripravení štruktúrovať váš postup ISO 27001?

Kontaktujte nás pre individuálnu cenovú ponuku podľa vášho rozsahu a súčasnej vyspelosti.

Regulačný monitoring - oficiálne zdroje

Čo ISO/IEC 27001 skutočne hovorí, vysvetlené jednoducho. Každý bod odkazuje na svoj oficiálny zdroj (ISO, AFNOR, COFRAC, ANSSI - francúzske orgány), aktualizované k 17.07.2026.

Čo to konkrétne je?

ISO/IEC 27001 je uznávaná metóda na identifikáciu hrozieb ohrozujúcich vaše údaje, zvládanie rizík a zavedenie správnej ochrany, aby vaše informácie zostali dôverné, dostupné a spoľahlivé. Nie je to softvér, je to organizácia, ktorú treba zaviesť vo firme.

Zdroj: AFNOR Certification (francúzsky orgán)

Je to voľba, nie zákon

Na rozdiel od iných postupov (ako bezpečnostná homologizácia vyžadovaná pri niektorých štátnych systémoch), ISO 27001 je dobrovoľná: je to certifikačná norma, nie všeobecná regulačná povinnosť. Volíte si ju, aby ste upokojili klientov, partnerov a poisťovne.

Zdroj: ANSSI (francúzsky úrad, metodický list)

Kto vydáva certifikát?

Nikdy sama firma, ani konzultant: certifikát môže vydať iba nezávislý a akreditovaný certifikačný orgán (COFRAC je jediný francúzsky akreditačný orgán, založený v roku 1994). Získaný certifikát platí 3 roky.

Zdroj: COFRAC (francúzsky orgán)

Postup v 6 krokoch

Predbežné hodnotenie (voliteľné), príprava, revízia dokumentov, audit na mieste na overenie toho, čo je skutočne zavedené, vydanie certifikátu (3 roky), následne kontrolná návšteva každý rok a kompletný audit obnovenia po 3 rokoch. Nič nie je raz a navždy dané.

Zdroj: AFNOR Certification (francúzsky orgán)

Prináša to skutočne výsledky?

Podľa štúdie AFNOR (francúzsky orgán) medzi certifikovanými firmami: 89 % zaznamenalo menej bezpečnostných incidentov, 83 % má pevnejšie interné bezpečnostné procesy a 88 % si udržalo klientov, ktorí by bez certifikácie mohli odísť.

Zdroj: štúdia AFNOR 2019

Uznávaná všade, nielen vo Francúzsku

Podľa samotnej ISO ide o najpoužívanejšiu normu bezpečnosti informácií na svete. A akreditácia, ktorá kontroluje certifikačné orgány (ako COFRAC vo Francúzsku), je medzinárodne uznávaná na základe dohôd medzi krajinami, čo uľahčuje prístup na trhy v Európe aj inde.

Zdroj: ISO (výbor JTC1/SC27)