ISO 27001 pro SaaS firmy: příprava na enterprise tendr
ISO 27001 je pro mnoho SaaS firem vstupenka do enterprise tendrů. Nejde jen o certifikát, ale o schopnost doložit rizika, vybrané kontroly, vlastníky a pravidelné ověřování.
Autor: Marco Zoratto, zakladatel Splnit.eu
Co zákazník obvykle chce vidět
V tendru se ISO 27001 často objeví dřív než samotný certifikační audit. Zákazník chce vědět, jestli máte řízení rizik, schválené bezpečnostní politiky, přístupové revize a proces pro incidenty.
Pokud certifikát ještě nemáte, pomáhá ukázat realistickou gap analýzu: které kontroly běží, které mají důkaz a které mají vlastníka a termín dokončení.
- Statement of Applicability s důvody výběru a výjimek
- risk register a plán ošetření rizik
- access reviews, MFA a správa privilegovaných účtů
- incident response, zálohy a vendor management
Proč nestačí sada dokumentů
Politiky bez důkazů rychle zastarají. Enterprise zákazník nebo auditor se bude ptát, kdy byla kontrola naposledy ověřena, kdo schválil výjimku a kde je podklad ze systému.
Praktický přístup je vést každou kontrolu jako živý záznam: vlastník, status, důkaz, datum revize a návaznost na riziko nebo zákaznický požadavek.
Jak začít bez přestřelených tvrzení
Neříkejte, že jste ISO-ready, pokud chybí důkazy. Bezpečnější formulace je ukázat aktuální readiness: hotové kontroly, otevřené gapy a plán k certifikaci nebo tendru.
Související přehled předpisu
Otevřít přehled: ISO 27001 →Převést ISO 27001 požadavky na gap analýzu
Splnit.eu propojí SoA, rizika, politiky a důkazy z nástrojů, aby bylo před tendrem vidět, co je připravené a co ještě chybí.
Otevřít ISO 27001 přehled