ISO/IEC 27001 je mednarodni referenčni standard za sistem upravljanja varovanja informacij (ISMS). Vse pogosteje ga zahtevajo naročniki, v javnih razpisih, kibernetske zavarovalnice ali kot pogoj za dostop do nekaterih izvoznih trgov. SYAGA vas spremlja od analize vrzeli do priprave na revizijsko presojo.
ISO 27001 ni splošna pravna obveznost, vendar postaja nujen poslovni predpogoj
ISO/IEC 27001 ostaja prostovoljen postopek. Kljub temu jo vse pogosteje zahtevajo v javnih razpisih, veliki naročniki, nekatere kibernetske zavarovalnice ali pa je pogoj za dostop do nekaterih izvoznih trgov.
Večina MSP in srednje velikih podjetij ni začela nobenega strukturiranega postopka za sistem upravljanja varovanja informacij. Tema velja za zapleteno, tehnično in dolgotrajno.
Klasični projekti certificiranja angažirajo vaše ekipe več mesecev in predstavljajo znatno naložbo, ki je za MSP pogosto nedosegljiva.
Angažiranje vodje informatike ali odgovorne osebe za varnost za več mesecev za gradnjo ISMS v MSP, kjer vsak že opravlja več vlog, ni izvedljivo.
Strukturiran postopek v 3 fazah, ki temelji na isti metodologiji, ki jo je SYAGA že preizkusila pri PSSI-Express
Uvodni razgovor z vodstvom in odgovorno osebo za informacijski sistem, nato sistematična ocena vsakega od 93 varnostnih ukrepov Priloge A (izdaja 2022), razdeljenih na 4 teme: organizacijsko, človeško, fizično in tehnološko. Predstavitev dejanskega poročila o vrzelih.
Priprava ali posodobitev varnostne politike (ISMS), izjave o uporabnosti, ki utemeljuje uporabo ali izključitev vsakega od 93 ukrepov, ter razvrščenega sanacijskega načrta za odpravo vrzeli, ugotovljenih v fazi 1.
Spremljanje izvajanja sanacijskega načrta, pregled dokumentacije in priprava vaše ekipe na revizijo, ki jo izvede neodvisen akreditiran certifikacijski organ. SYAGA vas pripravi na revizijo; samo certifikacijo izda ta tretji organ.
Ključne dokumente dokumentacije za certificiranje ISO 27001
Dejanska ocena vaše ravni skladnosti s standardom.
Osrednji normativni dokument dokumentacije za certificiranje ISO 27001.
Dokument upravljanja, ki ga zahtevajo klavzule 4 do 10 standarda.
Časovni načrt za odpravo ugotovljenih vrzeli.
Dokumenti, ki jih vaše ekipe lahko neposredno uporabijo.
Vsi dokumenti v formatih, ki jih lahko razvijate naprej.
ISMS ISO 27001 se naravno prekriva z več okviri
Osrednji okvir: klavzule 4 do 10 (zahteve upravljanja) in Priloga A (93 varnostnih ukrepov, razdeljenih na 4 teme).
Ukrepi obvladovanja kibernetskih tveganj, ki jih zahteva direktiva NIS2, se v veliki meri prekrivajo z ukrepi Priloge A ISO 27001. ISMS ISO 27001 olajša uskladitev z NIS2 za zadevne subjekte.
Ukrepi vodnika informacijske higiene ANSSI se v veliki meri prekrivajo z ukrepi Priloge A ISO 27001. Skladnost je dokumentirana v sanacijskem načrtu.
Ustrezni tehnični in organizacijski ukrepi, ki jih zahteva člen 32 GDPR, temeljijo na istih dobrih praksah kot Priloga A ISO 27001 (nadzor dostopa, šifriranje, upravljanje incidentov).
Vsak projekt ISO 27001 je dimenzioniran glede na vaš obseg in trenutno zrelost. Vedno prilagojena ponudba.
Začetni posnetek vaših vrzeli
Od analize vrzeli do priprave na revizijo
Po certificiranju ali kontinuirano
Kontaktirajte nas za prilagojeno ponudbo glede na vaš obseg in trenutno zrelost.
Kaj ISO/IEC 27001 res pravi, preprosto razloženo. Vsaka točka napotuje na svoj uradni vir (ISO, AFNOR, COFRAC, ANSSI), posodobljeno 17.07.2026.
ISO/IEC 27001 je priznana metoda za prepoznavanje groženj vašim podatkom, obvladovanje tveganj in vzpostavitev ustreznih zaščit, da vaše informacije ostanejo zaupne, dostopne in zanesljive. To ni programska oprema, temveč organizacija, ki jo je treba vzpostaviti v podjetju.
Vir: AFNOR CertificationZa razliko od nekaterih drugih postopkov (kot je varnostna homologacija, ki jo predpisuje nekaterim državnim sistemom), je ISO 27001 neobvezna: gre za certifikacijski standard, ne splošno regulativno obveznost. Izberete jo, da pomirite stranke, partnerje in zavarovalnice.
Vir: ANSSI (francoski organ, metodološki list)Nikoli podjetje samo niti svetovalec: certifikat lahko izda le neodvisen akreditiran certifikacijski organ (COFRAC je edini francoski akreditacijski organ, ustanovljen leta 1994). Pridobljeni certifikat velja 3 leta.
Vir: COFRAC (francoski akreditacijski organ)Predhodna ocena (neobvezna), priprava, pregled dokumentov, presoja na kraju samem za preverjanje, kaj je res vzpostavljeno, izdaja certifikata (3 leta), nato letni nadzorni obisk in celovita presoja obnovitve po 3 letih. Nič ni dokončno določeno enkrat za vselej.
Vir: AFNOR CertificationPo raziskavi AFNOR, izvedeni med certificiranimi podjetji: 89 % jih je ugotovilo manj varnostnih incidentov, 83 % ima trdnejše notranje varnostne procese, 88 % pa je ohranilo stranke, ki bi brez certifikacije morda odšle.
Vir: raziskava AFNOR 2019Po podatkih same organizacije ISO je to najbolj razširjen standard varovanja informacij na svetu. Akreditacija, ki nadzoruje certifikacijske organe (kot je COFRAC v Franciji), je mednarodno priznana s sporazumi med državami, kar olajša dostop do trgov v Evropi in drugod.
Vir: ISO (odbor JTC1/SC27)