ISO 27001 certifikácia krok za krokom: praktický návod pre firmy

ISO/IEC 27001 je celosvetovo najuznávanejšia norma pre riadenie informačnej bezpečnosti. Certifikát čoraz častejšie vyžadujú zákazníci v tendroch, poisťovne aj regulácie ako NIS2 či DORA. Tu je realistický pohľad na to, ako certifikácia prebieha — bez konzultantského marketingu.

Fáza 1: Rozsah a kontext (1–2 týždne)

Definujte, čo bude systém riadenia informačnej bezpečnosti (ISMS) pokrývať: ktoré procesy, lokality a systémy. Menší rozsah znamená rýchlejšiu certifikáciu — väčšina firiem začína celou organizáciou alebo kľúčovou službou. Výstupom je dokument rozsahu ISMS a analýza kontextu organizácie (klauzula 4 normy).

Fáza 2: Analýza rizík a SoA (2–4 týždne)

Jadro celej normy. Identifikujete informačné aktíva (dáta, systémy, ľudí), ohodnotíte riziká podľa pravdepodobnosti a dopadu a rozhodnete o ich ošetrení. Na riziká nadväzuje Vyhlásenie o aplikovateľnosti (SoA) — dokument, ktorý pre všetkých 93 kontrol Prílohy A uvádza, či sú aplikovateľné a prečo. SoA je prvá vec, ktorú audítor otvorí.

Fáza 3: Dokumentácia (tradične 2–4 mesiace, s automatizáciou dni)

Norma vyžaduje zdokumentovaný systém: politiku informačnej bezpečnosti, riadenie prístupov, riadenie incidentov, kontinuitu, dodávateľov, školenia a ďalšie. Tradične je to najprácnejšia fáza — konzultant za ňu vypýta 10 000 € a viac, šablónové toolkity vám dajú generické anglické vzory na ručné vypĺňanie.

Toto je fáza, ktorú dnes vie automatizovať ISOForge: na základe krátkeho sprievodcu o vašej firme vygeneruje kompletnú dokumentáciu prispôsobenú vašej organizácii, v slovenčine a s konzistentnými krížovými odkazmi. Stiahnite si vzorový dokument a posúďte kvalitu sami.

Fáza 4: Implementácia a prevádzka (2–3 mesiace)

Dokumenty musia žiť: zaveďte opatrenia, vyškoľte zamestnancov (povinné každoročné školenie povedomia), spustite evidenciu incidentov a zbierajte záznamy — dôkazy, že systém funguje. Audítor bude chcieť vidieť minimálne 2–3 mesiace prevádzky.

Fáza 5: Interný audit a preskúmanie manažmentom

Pred certifikačným auditom musíte povinne vykonať interný audit (klauzula 9.2) a preskúmanie manažmentom (klauzula 9.3). Zistenia z interného auditu riešite cez nápravné opatrenia. Bez týchto dvoch krokov vás certifikačný orgán vráti domov.

Fáza 6: Certifikačný audit

Prebieha v dvoch stupňoch: Stage 1 je kontrola dokumentácie a pripravenosti, Stage 2 je hĺbkový audit fungovania systému na mieste. Audítor klasifikuje zistenia ako veľké nezhody (blokujú certifikát), malé nezhody (treba vyriešiť do dohodnutého termínu) a odporúčania. Certifikačný orgán si vyberáte sami — musí byť akreditovaný (na Slovensku SNAS).

Po certifikácii: tu sa nič nekončí

Certifikát platí 3 roky, ale každý rok absolvujete surveillance audit a po troch rokoch recertifikáciu. Dokumenty vyžadujú ročné revízie, riziká pravidelné prehodnotenie, školenia sa opakujú. Väčšina firiem podcení práve údržbu — a na surveillance audite zbiera nezhody za expirované dokumenty a chýbajúce záznamy. Compliance kalendár s pripomienkami, živý register rizík a sledovanie revízií dokumentov v ISOForge riešia presne toto.

Náklady: realistický rozpočet

• Konzultant: 10 000 – 30 000 € za prípravu
• Šablónové toolkity: 200 – 500 € + týždne vlastnej práce
• ISOForge: od 29 €/mesiac vrátane údržby po certifikácii
• Certifikačný orgán: 3 000 – 8 000 € podľa veľkosti firmy (nevyhnutný náklad pri každej ceste)

Najčastejšie chyby

1. Príliš široký rozsah ISMS na prvý pokus.
2. Dokumentácia odtrhnutá od reality firmy — audítori to spoznajú okamžite.
3. Žiadne záznamy — systém „na papieri" bez dôkazov o fungovaní.
4. Zabudnutý interný audit a preskúmanie manažmentom.
5. Podcenená údržba po certifikácii.