Ghiduri
ISO 27001 pentru firme mici și IMM: ce înseamnă, cât costă și cum obții certificarea
Un client îți cere certificarea ISO 27001 și nu știi de unde începi. Vezi ce înseamnă standardul în versiunea 2022, cele 93 de controale, cum decurge certificarea prin organism acreditat și la ce buget să te aștepți, fără jargon.
Un client mare îți pune în ofertă o condiție scurtă și fermă: certificare ISO 27001. Te uiți la ea ca la un zid. Nu știi dacă e ceva ce poți obține într-o lună, dacă firma ta mică se califică sau dacă e o cheltuială de zeci de mii de euro pe care nu ți-o permiți. Iar termenii care apar peste tot, SMSI, Anexa A, Declarație de Aplicabilitate, nu ajută cu nimic.
Vestea bună: ISO 27001 e gândit să fie scalabil, deci se potrivește și unei firme mici, dacă înțelegi ce ți se cere de fapt. Vei vedea ce înseamnă standardul în versiunea actuală, 2022, cele 93 de controale, cum decurge certificarea printr-un organism acreditat și la ce buget și termen să te aștepți. Cifrele de cost sunt orientative: depind mult de mărimea și complexitatea firmei tale.
Ce este ISO 27001 și ce înseamnă un SMSI
ISO/IEC 27001 este standardul internațional pentru un sistem de management al securității informației, pe scurt SMSI. Nu e un produs și nici un simplu document, ci un mod organizat și bazat pe risc de a-ți proteja informațiile. Logica e simplă: identifici ce informații ai și ce riscuri le amenință, alegi măsuri de control potrivite, le aplici, apoi verifici și îmbunătățești continuu. Certificarea confirmă, printr-un audit independent, că acest sistem există și funcționează, nu doar că ai scris niște politici și le-ai pus la sertar.
ISO 27001:2022 sau 2013: care e versiunea valabilă
Versiunea actuală este ISO/IEC 27001:2022, care a înlocuit ediția din 2013. Dacă vezi undeva referințe la 2013, sunt depășite: termenul de tranziție pentru certificările vechi a fost 31 octombrie 2025, iar după această dată certificatele pe ediția 2013 nu mai sunt valabile. Practic, orice firmă care pornește acum o face direct pe versiunea 2022. Diferența nu e doar cosmetică, mai ales la lista de controale, despre care vorbim imediat.
Cele 93 de controale din Anexa A
Pe lângă cerințele de management, ISO 27001 vine cu o anexă de controale concrete de securitate, Anexa A. În versiunea 2022, aceasta are 93 de controale, grupate în patru teme. Față de ediția 2013, care avea 114 controale în 14 domenii, structura a fost simplificată prin comasare, iar 11 controale sunt complet noi, printre ele informații despre amenințări, securitatea serviciilor cloud, prevenirea scurgerii de date și monitorizarea activităților.
Organizaționale, 37 de controale
Politici, roluri, gestiunea riscului, relația cu furnizorii, clasificarea informațiilor, răspunsul la incidente. Partea de guvernanță.
Legate de oameni, 8 controale
Verificări la angajare, instruire și conștientizare, reguli de acces, ce se întâmplă la plecarea din firmă. Factorul uman.
Fizice, 14 controale
Securitatea spațiilor, accesul în birouri și camere de echipamente, protecția dispozitivelor, monitorizarea fizică.
Tehnologice, 34 de controale
Controlul accesului, criptare, copii de rezervă, jurnalizare, securitatea rețelei, configurare, dezvoltare sigură de software.
Cerințele obligatorii: clauzele 4 până la 10 și SoA
Aici e o confuzie frecventă: controalele din Anexa A nu sunt inima standardului, ci o listă din care alegi. Partea obligatorie sunt clauzele 4 până la 10, care descriu sistemul de management: contextul firmei, implicarea conducerii, planificarea pe bază de risc, resursele, operarea, evaluarea performanței și îmbunătățirea. Aceste cerințe folosesc cuvântul trebuie, deci nu pot fi sărite. Tot obligatorie este Declarația de Aplicabilitate (SoA), documentul în care treci fiecare control din Anexa A și spui dacă îl aplici sau nu. Nu ești obligat să implementezi toate cele 93 de controale, dar trebuie să justifici fiecare excludere în SoA, în funcție de riscul real.
Cum obții certificarea, pas cu pas
Certificarea o emite un organism de certificare acreditat, nu ISO și nici tu însuți. În România, acreditarea este coordonată de RENAR, iar organismele acreditate pot emite certificate recunoscute. Drumul tipic arată cam așa.
Implementezi SMSI-ul
Analiză de risc, politici, alegerea controalelor și Declarația de Aplicabilitate. Aici e cea mai mare parte din muncă.
Audit intern și analiză de management
Înainte de certificare ești obligat să rulezi cel puțin un audit intern și o analiză a sistemului făcută de conducere.
Auditul de certificare, etapa 1 (Stage 1)
Organismul acreditat verifică documentația și gradul de pregătire: există sistemul și e bine gândit?
Auditul de certificare, etapa 2 (Stage 2)
Verificare în profunzime a implementării, cu dovezi că măsurile chiar funcționează în practică.
Certificat valabil trei ani
Dacă treci, primești certificatul, valabil trei ani, cu audituri anuale de supraveghere și o recertificare la final de ciclu.
E obligatoriu? Relația cu NIS2 și GDPR
Prin lege, ISO 27001 nu este obligatoriu, este voluntar. În practică însă, devine tot mai des o condiție comercială: clienții mari, instituțiile și licitațiile îl cer în lanțul de aprovizionare, iar pentru o firmă mică poate fi diferența dintre a prinde sau a pierde un contract. ISO 27001 sprijină și conformarea cu NIS2 și GDPR, fiindcă multe dintre măsurile lui se suprapun cu cerințele de securitate ale acestora. Atenție însă: nu o înlocuiește. NIS2 are obligații legale proprii, de la înregistrare la raportarea incidentelor, iar GDPR are cerințe juridice pe care niciun standard de securitate nu le acoperă singur. Dacă vrei să verifici dacă intri sub NIS2, vezi ghidul despre NIS2 pentru IMM și furnizori.
Cât costă și cât durează pentru o firmă mică
Orice cifră aici este orientativă, fiindcă depinde de mărime, de complexitate, de cât de matură e deja securitatea ta și de dacă lucrezi cu un consultant. Pentru un IMM, implementarea durează de regulă între 3 și 12 luni. La costuri intră, separat, eventuala consultanță sau platforma folosită, taxele organismului de certificare pentru auditul în două etape și apoi auditurile anuale de supraveghere, care sunt de obicei o fracțiune din costul auditului inițial. Un reper util: o ofertă suspect de ieftină ascunde adesea fie un scop foarte îngust, fie un organism fără acreditare reală. Pentru contextul general al bugetelor de securitate, vezi cât costă securitatea cibernetică.
Mituri despre ISO 27001
Mit: te face de nespart
Fals. Reduce și gestionează riscul, dar nu garantează că nu vei fi atacat niciodată. E despre disciplină, nu despre imunitate.
Mit: e doar pentru corporații
Fals. Standardul e scalabil, iar scopul și SoA îți permit să îl potrivești pe mărimea firmei tale.
Mit: cumperi certificatul
Fals. Un certificat recunoscut cere un audit făcut de un organism acreditat. Cine îți vinde un certificat fără audit îți vinde o hârtie fără valoare.
Mit: e o singură dată
Fals. Ciclul e de trei ani, cu audituri anuale de supraveghere, iar sistemul trebuie menținut și îmbunătățit continuu.
Mit: aplici toate cele 93 de controale
Fals. Le selectezi după risc și justifici excluderile în Declarația de Aplicabilitate.
De unde începi, practic
Începe cu o evaluare onestă a punctelor slabe, fie printr-un mic audit intern, fie printr-o scanare sau un test, ca să știi de unde pleci. Vezi diferența dintre o scanare de vulnerabilități și un pentest și, dacă primești deja chestionare de la clienți, citește despre cum răspunzi la un chestionar de securitate, fiindcă acolo apar exact întrebările la care ISO 27001 te ajută să răspunzi credibil.
Vrei ISO 27001 fără să te pierzi în hârtii
Întrebări frecvente
Ce este ISO 27001 și pentru ce e bun?
Este standardul internațional pentru un sistem de management al securității informației (SMSI), adică un mod organizat, bazat pe risc, de a-ți proteja informațiile. Nu e un simplu act, ci un set de procese: analizezi riscurile, alegi măsuri de control, le aplici și le îmbunătățești continuu. Versiunea actuală este ISO/IEC 27001:2022, care a înlocuit ediția din 2013; termenul de tranziție pentru certificările vechi a fost 31 octombrie 2025.
Este ISO 27001 obligatoriu prin lege?
Nu, este voluntar. Nicio lege nu te obligă să te certifici. În practică însă, tot mai mulți clienți mari și instituții îl cer prin contracte și licitații, mai ales în lanțul de aprovizionare, iar pentru o firmă mică devine adesea condiția ca să prinzi anumite contracte. ISO 27001 sprijină și conformarea cu NIS2 și GDPR, dar nu o înlocuiește: rămâi obligat separat de cerințele lor legale.
Câte controale are ISO 27001:2022?
Anexa A din versiunea 2022 are 93 de controale, grupate în patru teme: organizaționale (37), legate de oameni (8), fizice (14) și tehnologice (34). Față de ediția 2013, care avea 114 controale în 14 domenii, structura a fost simplificată și au fost adăugate 11 controale noi, printre care informații despre amenințări, securitatea serviciilor cloud și prevenirea scurgerii de date. Nu aplici orbește toate controalele: le selectezi în funcție de risc și justifici excluderile în Declarația de Aplicabilitate.
Cât costă și cât durează certificarea pentru o firmă mică?
Depinde mult de mărime, de complexitate și de cât de pregătită e firma, așa că orice cifră e orientativă. Pentru un IMM, implementarea durează de regulă între 3 și 12 luni, iar costurile includ eventuala consultanță, auditul de certificare în două etape (Stage 1 și Stage 2) și auditurile anuale de supraveghere. Certificarea o emite un organism acreditat (în România, prin RENAR), nu o cumperi, iar certificatul e valabil trei ani, cu verificări în fiecare an.
Citește și
GhiduriNIS2 pentru IMM: ești obligat? Test rapid și ce faci
Toată lumea vorbește despre NIS2, dar nimeni nu îți spune clar dacă te aplică pe tine. Vezi un test rapid pentru IMM și furnizori, ce obligații ai și de unde începi, fără jargon juridic.
GhiduriChestionar de securitate de la un client: cum răspunzi
Un client important îți trimite un chestionar de securitate cu zeci de întrebări și intri în panică fiindcă nu ai om de securitate. Vezi ce înseamnă, de ce l-ai primit și cum răspunzi corect, fără să minți și fără să pierzi contractul.
GhiduriScanare de vulnerabilități vs pentest: ce îți trebuie
Doi furnizori, două prețuri care diferă de zece ori, aceeași cerere. Diferența dintre o scanare automată și un pentest manual, ce raport să ceri și la ce buget să te aștepți.