Rozhodli ste sa zaviesť systém riadenia informačnej bezpečnosti podľa ISO 27001. Otázka už nie je prečo, ale ako. A najmä v akom poradí, ako dlho to trvá a s akými nákladmi treba rátať.

Tento článok je praktický sprievodca implementáciou ISMS od prvého kroku až po získanie certifikátu. Nevenuje sa teórii normy, ale postupu, rozhodnutiam a realistickému časovému rámcu.

Ak implementujete ISMS aj preto, aby ste splnili požiadavky zákona o kybernetickej bezpečnosti, odporúčame si prečítať aj súvisiaci článok: ISO 27001 a NIS2 na Slovensku – čo majú spoločné a kde sa rozchádzajú.

Krok 1 – Gap analýza: kde ste a kde musíte byť

Gap analýza je prvý krok, ktorý vám môže ušetriť mesiace práce. Jej cieľom je zmapovať aktuálny stav bezpečnostných opatrení, procesov a dokumentácie a porovnať ho s požiadavkami ISO 27001:2022.

V praxi to znamená prejsť kľúčové oblasti normy, od riadenia rizík cez správu aktív, riadenie prístupov, riešenie incidentov až po dodávateľské vzťahy, a pri každej si položiť tri otázky: máme to nastavené, funguje to a vieme to preukázať?

Gap analýzu možno urobiť interne, ak má organizácia v tíme človeka so skúsenosťou s ISO 27001, alebo externe cez konzultanta. Pri externom posúdení sa cena pre stredne veľkú firmu často pohybuje orientačne v rozmedzí 2 000 až 5 000 eur, podľa rozsahu a pripravenosti organizácie.

Výstupom je zoznam medzier s prioritizáciou. Teda čo treba vyriešiť pred certifikáciou a čo môže počkať. Tento zoznam sa následne stáva základom implementačného plánu.

Krok 2 – Definovanie scope: na čo ISMS aplikujete

Scope je jedno z najdôležitejších rozhodnutí celej implementácie. Definuje, čo ISMS pokrýva. Môže ísť o celú organizáciu, konkrétnu divíziu, produkt alebo službu.

Správne nastavenie scope je hľadanie rovnováhy medzi dvoma rizikami. Príliš široký scope znamená, že organizácia nedokáže ISMS reálne udržať a systém sa stane formálnym. Príliš úzky scope zas znamená, že certifikát pokrýva len časť a jeho praktická hodnota klesá.

Pre organizácie, ktoré spadajú pod zákon o kybernetickej bezpečnosti, je dôležité overiť, či scope ISMS pokrýva všetky regulované služby alebo relevantné časti prevádzky.

V scope treba zohľadniť aj externé závislosti, napríklad cloudové služby, outsourcovaný vývoj alebo hosting. Ak sú tieto prvky súčasťou scope, organizácia musí riadiť aj súvisiace riziká.

Krok 3 – Risk assessment a Statement of Applicability

Risk assessment je jadro celého ISMS. Bez neho sa nedá rozhodnúť, ktoré opatrenia sú potrebné a ktoré nie.

Proces má tri základné časti.

Identifikácia aktív a hrozieb

Treba si pomenovať, čo chránite, teda dáta, systémy, služby alebo infraštruktúru, a čo im hrozí, napríklad útok, výpadok, ľudská chyba alebo zlyhanie dodávateľa.

Hodnotenie rizík

Nasleduje posúdenie pravdepodobnosti a dopadu. Norma nepredpisuje konkrétnu metodiku, ale vyžaduje, aby bola konzistentná, opakovateľná a zdokumentovaná. Organizácie, ktoré podliehajú zákonu o kybernetickej bezpečnosti, musia zároveň zohľadniť aj požiadavky vykonávacích predpisov a metodických usmernení platných pre analýzu rizík.

Risk treatment

Na záver treba rozhodnúť, čo sa s rizikom urobí. Najčastejšie ide o zavedenie kontroly, zmenu procesu alebo vedomé prijatie rizika. Ak sa riziko prijíma, musí byť jasné, kto toto rozhodnutie schválil a na základe čoho.

Na základe risk assessmentu vzniká Statement of Applicability, teda SoA. Ide o dokument, ktorý mapuje všetkých 93 kontrol z Annex A normy ISO 27001:2022 a pri každej uvádza, či sa aplikuje alebo nie, vrátane odôvodnenia. SoA nie je formalita. Je to mapa toho, ako organizácia pokrýva svoje riziká. Audítor pri certifikačnom audite overuje, či SoA zodpovedá realite.

Krok 4 – Implementácia kontrol a dokumentácie

Keď máte risk assessment a SoA, viete presne, čo treba zaviesť. Kontroly z Annex A sú v ISO 27001:2022 rozdelené do štyroch oblastí.

Organizačné kontroly

Patria sem politiky, roly a zodpovednosti, riadenie dodávateľov, klasifikácia informácií alebo threat intelligence.

Personálne kontroly

Sem patrí preverovanie pri nábore, školenia, zvyšovanie bezpečnostného povedomia a pravidlá pri odchode zamestnancov.

Fyzické kontroly

Ide o zabezpečenie priestorov, prístupy do serverovní alebo ochranu zariadení.

Technické kontroly

Tu patrí správa prístupov, šifrovanie, zálohovanie, monitoring, bezpečný vývoj a ochrana pred škodlivým kódom.

Implementácia nie je len o nasadení technológie. Veľká časť práce je o dokumentácii, teda politikách, smerniciach, postupoch a záznamoch. ISO 27001 vyžaduje preukázateľnosť. Nestačí, že niečo robíte. Musíte vedieť dokázať, že to robíte.

Dôležité je nepísať dokumentáciu, ktorá neodráža realitu. Audítor nekontroluje, či máte pekné dokumenty. Kontroluje, či dokumenty zodpovedajú tomu, čo sa v organizácii reálne deje. Rozpor medzi dokumentáciou a praxou patrí medzi najčastejšie príčiny nezhôd pri audite.

Krok 5 – Interný audit a manažérske review

Pred certifikačným auditom musí organizácia vykonať interný audit a manažérske review. Obe sú povinné požiadavky normy.

Interný audit overuje, či ISMS funguje tak, ako je zdokumentované. Interný audítor musí byť nezávislý. Nemal by auditovať proces, za ktorý je sám priamo zodpovedný. Ak organizácia nemá vhodného interného kandidáta, audit môže vykonať externý odborník.

Manažérsky review je formálna revízia ISMS vedením organizácie. Jej cieľom je, aby top manažment zhodnotil výkonnosť ISMS, výsledky auditov, stav rizík a rozhodol o prípadných zmenách. Výstupom sú dokumentované rozhodnutia a akčné kroky.

Ani jeden z týchto krokov nie je len formalita pred auditom. Sú to mechanizmy, ktoré držia ISMS funkčný aj po certifikácii. Organizácie, ktoré ich berú vážne, mávajú pri externom audite menej problémov.

Krok 6 – Certifikačný audit: Stage 1 a Stage 2

Certifikačný audit vykonáva akreditovaný certifikačný orgán. Audit sa zvyčajne delí na dve fázy.

Stage 1 – kontrola pripravenosti

Audítor preverí dokumentáciu, teda scope, politiky, risk assessment, SoA, výsledky interného auditu a manažérskeho review. Cieľom je overiť, či je ISMS navrhnutý v súlade s normou a pripravený na hĺbkovú previerku. Stage 1 sa často realizuje vzdialene alebo hybridne. Výstupom sú pozorovania a oblasti, ktoré treba doladiť pred Stage 2.

Stage 2 – certifikačný audit v praxi

Táto fáza nasleduje po Stage 1 spravidla v horizonte niekoľkých týždňov až mesiacov, podľa pripravenosti organizácie a termínov certifikačného orgánu. Audítor tu preveruje, či ISMS funguje v praxi. Kontroluje dôkazy o implementácii kontrol, vedie rozhovory so zamestnancami a preveruje záznamy o incidentoch, prístupoch, zmenách alebo dodávateľoch. Hľadá zhodu medzi tým, čo je napísané, a tým, čo sa reálne deje.

Ak audítor nájde menšie nezhody, organizácia ich musí odstrániť v dohodnutom čase. Ak nájde zásadnú nezhodu, certifikácia sa odloží, kým sa problém nevyrieši.

Po úspešnom Stage 2 a uzavretí všetkých nezhôd certifikačný orgán vydá certifikát. V praxi to býva v horizonte niekoľkých týždňov.

Koľko to stojí a ako dlho to trvá

Náklady aj čas závisia od veľkosti organizácie, aktuálnej úrovne bezpečnosti a od toho, koľko práce sa robí interne a koľko externe.

Orientačné náklady

Pri firmách s 10 až 100 zamestnancami sa náklady na samotný certifikačný audit často pohybujú orientačne v rozmedzí 6 000 až 14 000 eur. Pri firmách so 100 až 500 zamestnancami môže ísť približne o 15 000 až 35 000 eur. K tomu treba pripočítať implementačné náklady, teda konzultanta, interné kapacity a prípadne aj technológie alebo nástroje.

Celkový rozpočet prvého roka sa preto pri malej alebo stredne veľkej firme môže pohybovať orientačne medzi 10 000 a 50 000 eur. Rozdiel závisí najmä od toho, ako pripravená organizácia už je a aký rozsah má mať certifikácia.

Ročné udržiavacie náklady po certifikácii bývajú nižšie. Dozorový audit býva spravidla lacnejší než počiatočný certifikačný audit, no organizácia musí rátať aj s priebežnou údržbou dokumentácie, procesov a interných kontrol.

Orientačné časové rámce

Pre malú až stredne veľkú firmu do približne 100 zamestnancov býva realistický horizont od začiatku projektu po certifikát približne 3 až 6 mesiacov, ak má organizácia vyčlenenú zodpovednú osobu a aspoň základné bezpečnostné procesy.

Pri väčších organizáciách s komplexnou infraštruktúrou, viacerými lokalitami alebo vyššou regulačnou záťažou môže implementácia trvať 6 až 18 mesiacov.

Najčastejšie dôvody zdržania sú tri. Projekt nikto reálne neriadi. Scope je na začiatku príliš široký. Alebo sa čaká na dostupný termín u certifikačného orgánu.

Čo nasleduje po certifikácii

Certifikát je platný 3 roky. Počas tohto obdobia musí organizácia ISMS udržiavať a absolvovať pravidelné audity.

Dozorový audit v roku 1 a 2

Ide o kratší audit, ktorý overuje, či ISMS stále funguje, či boli riešené predchádzajúce zistenia a či organizácia preukazuje kontinuálne zlepšovanie.

Recertifikačný audit v roku 3

Ide o rozsiahlejší audit, na základe ktorého sa certifikát obnovuje na ďalšie 3 roky.

ISO 27001 nie je jednorazový projekt. Je to priebežný proces riadenia bezpečnosti. Organizácie, ktoré po certifikácii všetko vypnú, riskujú nielen problémy na dozorovom audite, ale aj to, že sa ich reálna úroveň bezpečnosti začne zhoršovať.

Zhrnutie – implementačný plán v 6 krokoch

1. Gap analýza – Zmapujte, kde ste a kde musíte byť.
2. Scope – Definujte, čo ISMS pokrýva.
3. Risk assessment a SoA – Identifikujte riziká a vyberte kontroly.
4. Implementácia – Zaveďte kontroly a vytvorte dokumentáciu, ktorá odráža realitu.
5. Interný audit a manažérske review – Overte funkčnosť pred externým auditom.
6. Certifikačný audit – Fáza 1 preverí dokumentáciu, Fáza 2 preverí prax.

Kľúčový princíp celej implementácie je jednoduchý. ISMS má odrážať to, ako organizácia reálne funguje. Ak je dokumentácia odtrhnutá od praxe, audit rozpor odhalí a certifikácia sa oddiali. Ak ISMS odráža realitu, audit je najmä potvrdením toho, čo už funguje.

Ďalšie články v sérii o ISO 27001

• ISO 27001 bez omáčky: čo je ISMS a čo musí mať firma nastavené
• ISO 27001 a NIS2 na Slovensku – čo majú spoločné a kde sa rozchádzajú
• Časté chyby pri zavádzaní ISMS – a ako sa im vyhnúť

Súvisiace články

• NIS2 a zákon o kybernetickej bezpečnosti na Slovensku v roku 2026