Splnit.eu
PlatformaDemoEU PředpisyBlogPředběžný přístupO násCeník
||
Přihlásit se
Design partner
← Všechny články
ISO 270018 min24. května 2026

ISO 27001 pro SaaS firmy: jak se připravit na enterprise tendr

„Před podpisem smlouvy budeme potřebovat váš ISO 27001 certifikát nebo výsledky SOC 2 auditu." Tato věta přichází z procurement oddělení enterprise zákazníků čím dál pravidelněji.

Autor: Splnit.eu, Redakce Splnit.eu

V článku

Co ISO 27001 reálně je — a co neníProč enterprise zákazníci ISO 27001 vyžadujíISMS: co to znamená v praxiRozsah certifikace: nejdůležitější rozhodnutí pro SaaS93 kontrol Annex A: co vás čeká (zjednodušeně)Realistický harmonogram a nákladyPrůnik s nZKB: dvojí výhodaCo připravit ještě před tím, než kontaktujete certifikační orgánTL;DR

Co ISO 27001 reálně je — a co není

**Je to:** Mezinárodní norma (ISO/IEC 27001:2022) pro systém řízení bezpečnosti informací (ISMS). Certifikace znamená, že akreditovaný auditor nezávisle ověřil, že váš ISMS odpovídá požadavkům normy — tedy že máte zavedený, funkční a průběžně zlepšovaný systém pro řízení informační bezpečnosti.

**Není to:** Garantování, že nebudete nikdy napadeni. Ani jednorázový projekt, který „uděláte" a pak na něj zapomenete.

**Platnost a přezkumy:** Certifikát platí 3 roky, ale každý rok probíhá dozorový audit, který ověřuje, že systém stále funguje. Po 3 letech je třeba recertifikační audit.

Proč enterprise zákazníci ISO 27001 vyžadují

Enterprise firmy a regulované instituce jsou samy pod tlakem — ať už ze strany NIS2/nZKB, GDPR, nebo sektorových regulátorů (ČNB, SUKL). Jejich compliance a procurement týmy musejí prokázat, že jejich dodavatelé (tedy vy) mají zavedené kontroly informační bezpečnosti.

ISO 27001 certifikát je pro ně efektivní zkratka: místo toho, aby prováděly plný audit vašeho prostředí (což je drahé a časově náročné), důvěřují výsledku práce akreditovaného certifikačního orgánu.

**Co zákazník konkrétně chce vidět:**

  • 1. Platný certifikát od akreditovaného certifikačního orgánu
  • 2. Scope certifikace — co přesně je certifikováno
  • 3. Prohlášení o aplikovatelnosti (Statement of Applicability / SoA)
  • 4. Postup při incidentech a SLA pro notifikaci zákazníka
  • 5. Výsledky posledního interního auditu nebo penetračního testu

ISMS: co to znamená v praxi

ISMS (Information Security Management System) není sada dokumentů v šuplíku. Je to živý systém, který zahrnuje:

1. Kontext organizace a rozsah

Kdo jste, co děláte, jaká jsou vaše klíčová aktiva a kde jsou hranice ISMS. Rozsah je první a nejdůležitější rozhodnutí — viz níže.

2. Hodnocení rizik

Systematická identifikace hrozeb a zranitelností, hodnocení jejich pravděpodobnosti a dopadu a rozhodnutí o tom, jak s nimi naložit. Výsledkem je registr rizik a plán zvládání rizik (Risk Treatment Plan).

3. Prohlášení o aplikovatelnosti (SoA)

Norma ISO 27001:2022 obsahuje 93 kontrol rozdělených do 4 témat (organizační, personální, fyzická, technologická). SoA je dokument, kde pro každou kontrolu říkáte:

SoA je jeden z nejvíce sledovaných dokumentů při zákaznických auditech. Zákazníci z regulovaného sektoru si ho pravidelně vyžadují a čtou.

  • Aplikujeme ji? (Ano / Ne)
  • Pokud ano: jak ji máme zavedenou (odkaz na politiku, postup nebo technické opatření)
  • Pokud ne: proč ji neaplikujeme a zda to je ospravedlnitelné

4. Operace a kontroly

Samotné zavedení politiky a opatření, která z hodnocení rizik a SoA vyplývají. Toto tvoří největší část praktické práce.

5. Měření a hodnocení výkonnosti

Jak víte, že ISMS funguje? Definujte metriky — počet incidentů, průměrná doba záplatování, výsledky phishingových testů, pokrytí školení — a sledujte je.

6. Interní audit a přezkoumání vedením

Minimálně jednou ročně interní audit ověřující funkčnost ISMS a přezkoumání vedením, které bere výsledky auditu na vědomí a schvaluje zdroje pro zlepšení.

7. Neustálé zlepšování

ISMS musí reagovat na změny — nové hrozby, nové systémy, nové procesy, výsledky auditů. Dokument z roku 2024 popisující infrastrukturu z roku 2024 nesplňuje svůj účel v roce 2026.

Rozsah certifikace: nejdůležitější rozhodnutí pro SaaS

Rozsah určuje, co přesně certifikujete. Je to kritické rozhodnutí — a nejčastější chyba je dělat ho příliš velké.

**Doporučení pro první certifikaci:** Certifikujte jen to, na co se zákazník ptá — tedy systémy, procesy a prostředí, která zpracovávají zákaznická data a poskytují zákaznickou službu.

**Typický scope pro SaaS firmu (10–100 zaměstnanců):**

> „Vývoj, provoz a správa [název produktu] jako SaaS platformy, zahrnující produkční cloudové prostředí, vývojové systémy s přístupem k produkčním datům, správu přístupů a procesy zajišťující bezpečnost a dostupnost platformy. Lokalita: [česká republika / cloud provider region]."

**Co nemusí být v rozsahu:**

**Zákazník akceptuje omezený scope**, pokud pokrývá to, na čem mu záleží — bezpečnost jeho dat a dostupnost vaší služby.

  • Marketingové systémy bez přístupu k zákaznickým datům
  • Finance a účetnictví (pokud nezpracovávají zákaznická data)
  • HR systémy (pokud nemají přístup k zákaznickým systémům)

93 kontrol Annex A: co vás čeká (zjednodušeně)

ISO 27001:2022 obsahuje 93 kontrol ve 4 skupinách. Nemusíte zavést všechny — musíte pro každou rozhodnout, zda je relevantní pro váš scope, a zdůvodnit to v SoA.

**Organizační kontroly (37 kontrol)** — Politiky, řízení rizik, správa dodavatelů, řízení incidentů, business continuity, soulad s legislativou.

**Personální kontroly (8 kontrol)** — Prověřování pracovníků, školení, odpovědnosti, disciplinární procesy.

**Fyzické kontroly (14 kontrol)** — Fyzický přístup do prostor a serveroven, ochrana hardwaru, čistý stůl/čistá obrazovka.

**Technologické kontroly (34 kontrol)** — Správa přístupů, MFA, šifrování, správa zranitelností, logování, síťová bezpečnost, bezpečné vývojové prostředí (SDLC), zálohy.

**Pro SaaS firmu provozující cloudovou infrastrukturu** jsou nejrelevantnější technologické a organizační kontroly. Fyzické kontroly jsou méně rozsáhlé, pokud nemáte vlastní serverovnu.

Realistický harmonogram a náklady

Fáze 1: Příprava (3–6 měsíců)

**Měsíc 1–2: Základ**

**Měsíc 2–4: Dokumentace**

**Měsíc 3–5: Implementace**

**Měsíc 5–6: Ověření**

  • Definice rozsahu
  • Gap analýza oproti požadavkům normy
  • Sestavení projektového týmu a plánu
  • Hodnocení rizik a plán zvládání rizik
  • SoA
  • Základní politiky (přístupy, zálohy, incidenty, dodavatelé, rizika, fyzická bezpečnost, HR)
  • Zavedení chybějících technických opatření
  • Školení zaměstnanců
  • Nastavení metrik a monitoringu
  • Interní audit
  • Přezkoumání vedením
  • Náprava zjištěných neshod

Fáze 2: Certifikační audit (1–2 měsíce)

**Stage 1 audit (dokumentační):** Auditor prochází vaši dokumentaci — zejména SoA, hodnocení rizik a klíčové politiky. Výsledkem je seznam oblastí k doladění před Stage 2.

**Stage 2 audit (certifikační):** Auditor prochází zavedení kontrol v praxi — rozhovory se zaměstnanci, kontrola systémů, ověřování záznamů. Trvá typicky 1–3 dny pro firmu do 50 zaměstnanců.

Celkový časový výhled

  • Scénář: S interními kapacitami | Přípravná fáze: 4–6 měsíců | Certifikační audit: 1–2 měsíce | Celkem: 5–8 měsíců
  • Scénář: S externím konzultantem | Přípravná fáze: 3–5 měsíců | Certifikační audit: 1–2 měsíce | Celkem: 4–7 měsíců
  • Scénář: Urgentní (max. kapacita) | Přípravná fáze: 2–3 měsíce | Certifikační audit: 1 měsíc | Celkem: 3–4 měsíce

Orientační náklady (ČR, 2026)

**Návratnost:** Jeden enterprise tendr v hodnotě 500 000+ Kč ročně, který by bez certifikátu nedopadl, certifikaci zaplatí.

  • Položka: Certifikační audit (Stage 1 + 2) | Orientační náklady: 80 000 – 200 000 Kč
  • Položka: Dozorový audit (roční) | Orientační náklady: 40 000 – 100 000 Kč
  • Položka: Recertifikační audit (po 3 letech) | Orientační náklady: 60 000 – 160 000 Kč
  • Položka: Externí konzultant pro přípravu | Orientační náklady: 150 000 – 400 000 Kč (závisí na stavu firmy)
  • Položka: ISMS nástroj/platforma (volitelné) | Orientační náklady: 20 000 – 80 000 Kč/rok
  • Položka: **Celkový 3letý náklad** | Orientační náklady: **~500 000 – 1 200 000 Kč**

Průnik s nZKB: dvojí výhoda

Pokud jste zároveň regulovanou firmou pod nZKB, je ISO 27001 vynikající investice — existuje rozsáhlý překryv mezi požadavky normy a požadavky zákona:

**Praktický závěr:** Pokud budujete ISMS pro ISO 27001, budujete zároveň velkou část toho, co vyžaduje nZKB. Udělejte to jednou, správně a pro oba účely.

OblastISO 27001nZKB
Hodnocení rizikPovinné (klauzule 6.1.2)Povinné (§ bezpečnostní opatření)
Politiky a dokumentacePovinné (klauzule 5.2)Povinné
Správa přístupůAnnex A 5.15–5.18Technické opatření
Incident managementAnnex A 5.24–5.28Povinné (§ 15–16 nZKB)
Správa dodavatelůAnnex A 5.19–5.23Povinné pro vyšší režim
Business continuityAnnex A 5.29–5.30Organizační opatření
ŠkoleníAnnex A 6.3Povinné

Co připravit ještě před tím, než kontaktujete certifikační orgán

Tyto základy by měly existovat, jinak první certifikační audit propadne:

✅ **Inventura aktiv** — písemný seznam informačních aktiv v rozsahu certifikace (systémy, data, lidé, prostory) ✅ **Správa přístupů v praxi** — MFA funkční, offboarding proces existuje a je dodržován ✅ **Zálohy fungují a jsou testovány** — zálohy probíhají automaticky, obnova byla alespoň jednou vyzkoušena ✅ **Základní logování** — klíčové systémy logují přístupy a aktivity ✅ **Smlouvy se zpracovateli** — DPA uzavřeny se sub-dodavateli zpracovávajícími zákaznická data ✅ **Odpovědnost za ISMS definována** — někdo ve firmě je jmenován jako vlastník ISMS

TL;DR

  • ISO 27001 je vstupní podmínka pro enterprise SaaS dealy — plánujte ji s předstihem alespoň 6–9 měsíců.
  • ISMS není sada dokumentů, ale živý systém: hodnocení rizik, SoA, politiky, metriky, interní audity.
  • Zvolte minimální smysluplný rozsah pro první certifikaci — produkční prostředí + zpracování zákaznických dat.
  • Překryv s nZKB je velký — budujte ISMS tak, aby sloužil pro oba účely.
  • SoA je dokument, který zákazníci při auditech nejvíce čtou — věnujte mu patřičnou pozornost.

Splňte požadavky bez zbytečné byrokracie

Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.

Začít zdarma
Splnit.eu

Platforma v předběžném přístupu pro automatizaci compliance v EU.

Měsíční přehled EU předpisů

Produkt

  • Monitoring
  • Integrace
  • Trust Center
  • Bezpečnost
  • Stav
  • Předběžný přístup
  • O nás
  • Ceník
  • Srovnání
  • Partneři

Předpisy

  • NIS2
  • EU AI Act
  • GDPR
  • ISO 27001

Kontakt

Splnit.eu — OSVČ, Olomouc

Olomouc, Česká republika

hello@splnit.eu
GDPRNIS2ISO 27001Vyhl. č. 410/2025 Sb.

© 2026 Splnit · Všechna práva vyhrazena

SoukromíPodmínkyCookiesDPA
||