Vyzkoušet zdarma

Certifikace ISO 27001 krok za krokem: praktický návod pro firmy

ISO/IEC 27001 je celosvětově nejuznávanější norma pro řízení bezpečnosti informací. Certifikát stále častěji vyžadují zákazníci v tendrech, pojišťovny i regulace jako NIS2 či DORA. Zde je realistický pohled na to, jak certifikace probíhá — bez konzultantského marketingu.

Fáze 1: Rozsah a kontext (1–2 týdny)

Definujte, co bude systém řízení bezpečnosti informací (ISMS) pokrývat: které procesy, lokality a systémy. Menší rozsah znamená rychlejší certifikaci — většina firem začíná celou organizací nebo klíčovou službou. Výstupem je dokument rozsahu ISMS a analýza kontextu organizace (kapitola 4 normy).

Fáze 2: Hodnocení rizik a SoA (2–4 týdny)

Jádro celé normy. Identifikujete informační aktiva (data, systémy, lidi), ohodnotíte rizika podle pravděpodobnosti a dopadu a rozhodnete o jejich ošetření. Na rizika navazuje Prohlášení o aplikovatelnosti (SoA) — dokument, který pro všech 93 opatření Přílohy A uvádí, zda jsou aplikovatelná a proč. SoA je první věc, kterou auditor otevře.

Fáze 3: Dokumentace (tradičně 2–4 měsíce, s automatizací dny)

Norma vyžaduje zdokumentovaný systém: politiku bezpečnosti informací, řízení přístupů, řízení incidentů, kontinuitu, dodavatele, školení a další. Tradičně jde o nejpracnější fázi — konzultant si za ni řekne 10 000 € a více, šablonové toolkity vám dají generické anglické vzory k ručnímu vyplňování.

Právě tuto fázi dnes umí automatizovat ISOForge: na základě krátkého průvodce o vaší firmě vygeneruje kompletní dokumentaci přizpůsobenou vaší organizaci, v češtině a s konzistentními křížovými odkazy. Stáhněte si vzorový dokument a posuďte kvalitu sami.

Fáze 4: Implementace a provoz (2–3 měsíce)

Dokumenty musí žít: zaveďte opatření, vyškolte zaměstnance (povinné každoroční školení povědomí), spusťte evidenci incidentů a sbírejte záznamy — důkazy, že systém funguje. Auditor bude chtít vidět minimálně 2–3 měsíce provozu.

Fáze 5: Interní audit a přezkoumání systému řízení

Před certifikačním auditem musíte povinně provést interní audit (kapitola 9.2) a přezkoumání systému řízení vedením (kapitola 9.3). Zjištění z interního auditu řešíte nápravnými opatřeními. Bez těchto dvou kroků vás certifikační orgán pošle domů.

Fáze 6: Certifikační audit

Probíhá ve dvou stupních: Stage 1 je kontrola dokumentace a připravenosti, Stage 2 je hloubkový audit fungování systému na místě. Auditor klasifikuje zjištění jako velké neshody (blokují certifikát), malé neshody (nutno vyřešit do dohodnutého termínu) a doporučení. Certifikační orgán si vybíráte sami — musí být akreditovaný (v Česku Českým institutem pro akreditaci, ČIA).

Po certifikaci: tady nic nekončí

Certifikát platí 3 roky, ale každý rok absolvujete dozorový (surveillance) audit a po třech letech recertifikaci. Dokumenty vyžadují roční revize, rizika pravidelné přehodnocení, školení se opakují. Většina firem podcení právě údržbu — a na dozorovém auditu sbírá neshody za expirované dokumenty a chybějící záznamy. Compliance kalendář s připomínkami, živý registr rizik a sledování revizí dokumentů v ISOForge řeší přesně tohle.

Náklady: realistický rozpočet

Nejčastější chyby

  1. Příliš široký rozsah ISMS na první pokus.
  2. Dokumentace odtržená od reality firmy — auditoři to poznají okamžitě.
  3. Žádné záznamy — systém „na papíře" bez důkazů o fungování.
  4. Zapomenutý interní audit a přezkoumání vedením.
  5. Podceněná údržba po certifikaci.
Potřebujete ISO dokumentaci?

ISOForge vygeneruje audit-ready dokumentaci přizpůsobenou vaší firmě — v češtině, za zlomek ceny konzultanta.

Zjistit více