ISO 27001 pro SaaS firmy: jak se připravit na enterprise tendr
„Před podpisem smlouvy budeme potřebovat váš ISO 27001 certifikát nebo výsledky SOC 2 auditu." Tato věta přichází z procurement oddělení enterprise zákazníků čím dál pravidelněji.
Autor: Splnit.eu, Redakce Splnit.eu
Co ISO 27001 reálně je — a co není
**Je to:** Mezinárodní norma (ISO/IEC 27001:2022) pro systém řízení bezpečnosti informací (ISMS). Certifikace znamená, že akreditovaný auditor nezávisle ověřil, že váš ISMS odpovídá požadavkům normy — tedy že máte zavedený, funkční a průběžně zlepšovaný systém pro řízení informační bezpečnosti.
**Není to:** Garantování, že nebudete nikdy napadeni. Ani jednorázový projekt, který „uděláte" a pak na něj zapomenete.
**Platnost a přezkumy:** Certifikát platí 3 roky, ale každý rok probíhá dozorový audit, který ověřuje, že systém stále funguje. Po 3 letech je třeba recertifikační audit.
Proč enterprise zákazníci ISO 27001 vyžadují
Enterprise firmy a regulované instituce jsou samy pod tlakem — ať už ze strany NIS2/nZKB, GDPR, nebo sektorových regulátorů (ČNB, SUKL). Jejich compliance a procurement týmy musejí prokázat, že jejich dodavatelé (tedy vy) mají zavedené kontroly informační bezpečnosti.
ISO 27001 certifikát je pro ně efektivní zkratka: místo toho, aby prováděly plný audit vašeho prostředí (což je drahé a časově náročné), důvěřují výsledku práce akreditovaného certifikačního orgánu.
**Co zákazník konkrétně chce vidět:**
- 1. Platný certifikát od akreditovaného certifikačního orgánu
- 2. Scope certifikace — co přesně je certifikováno
- 3. Prohlášení o aplikovatelnosti (Statement of Applicability / SoA)
- 4. Postup při incidentech a SLA pro notifikaci zákazníka
- 5. Výsledky posledního interního auditu nebo penetračního testu
ISMS: co to znamená v praxi
ISMS (Information Security Management System) není sada dokumentů v šuplíku. Je to živý systém, který zahrnuje:
1. Kontext organizace a rozsah
Kdo jste, co děláte, jaká jsou vaše klíčová aktiva a kde jsou hranice ISMS. Rozsah je první a nejdůležitější rozhodnutí — viz níže.
2. Hodnocení rizik
Systematická identifikace hrozeb a zranitelností, hodnocení jejich pravděpodobnosti a dopadu a rozhodnutí o tom, jak s nimi naložit. Výsledkem je registr rizik a plán zvládání rizik (Risk Treatment Plan).
3. Prohlášení o aplikovatelnosti (SoA)
Norma ISO 27001:2022 obsahuje 93 kontrol rozdělených do 4 témat (organizační, personální, fyzická, technologická). SoA je dokument, kde pro každou kontrolu říkáte:
SoA je jeden z nejvíce sledovaných dokumentů při zákaznických auditech. Zákazníci z regulovaného sektoru si ho pravidelně vyžadují a čtou.
- Aplikujeme ji? (Ano / Ne)
- Pokud ano: jak ji máme zavedenou (odkaz na politiku, postup nebo technické opatření)
- Pokud ne: proč ji neaplikujeme a zda to je ospravedlnitelné
4. Operace a kontroly
Samotné zavedení politiky a opatření, která z hodnocení rizik a SoA vyplývají. Toto tvoří největší část praktické práce.
5. Měření a hodnocení výkonnosti
Jak víte, že ISMS funguje? Definujte metriky — počet incidentů, průměrná doba záplatování, výsledky phishingových testů, pokrytí školení — a sledujte je.
6. Interní audit a přezkoumání vedením
Minimálně jednou ročně interní audit ověřující funkčnost ISMS a přezkoumání vedením, které bere výsledky auditu na vědomí a schvaluje zdroje pro zlepšení.
7. Neustálé zlepšování
ISMS musí reagovat na změny — nové hrozby, nové systémy, nové procesy, výsledky auditů. Dokument z roku 2024 popisující infrastrukturu z roku 2024 nesplňuje svůj účel v roce 2026.
Rozsah certifikace: nejdůležitější rozhodnutí pro SaaS
Rozsah určuje, co přesně certifikujete. Je to kritické rozhodnutí — a nejčastější chyba je dělat ho příliš velké.
**Doporučení pro první certifikaci:** Certifikujte jen to, na co se zákazník ptá — tedy systémy, procesy a prostředí, která zpracovávají zákaznická data a poskytují zákaznickou službu.
**Typický scope pro SaaS firmu (10–100 zaměstnanců):**
> „Vývoj, provoz a správa [název produktu] jako SaaS platformy, zahrnující produkční cloudové prostředí, vývojové systémy s přístupem k produkčním datům, správu přístupů a procesy zajišťující bezpečnost a dostupnost platformy. Lokalita: [česká republika / cloud provider region]."
**Co nemusí být v rozsahu:**
**Zákazník akceptuje omezený scope**, pokud pokrývá to, na čem mu záleží — bezpečnost jeho dat a dostupnost vaší služby.
- Marketingové systémy bez přístupu k zákaznickým datům
- Finance a účetnictví (pokud nezpracovávají zákaznická data)
- HR systémy (pokud nemají přístup k zákaznickým systémům)
93 kontrol Annex A: co vás čeká (zjednodušeně)
ISO 27001:2022 obsahuje 93 kontrol ve 4 skupinách. Nemusíte zavést všechny — musíte pro každou rozhodnout, zda je relevantní pro váš scope, a zdůvodnit to v SoA.
**Organizační kontroly (37 kontrol)** — Politiky, řízení rizik, správa dodavatelů, řízení incidentů, business continuity, soulad s legislativou.
**Personální kontroly (8 kontrol)** — Prověřování pracovníků, školení, odpovědnosti, disciplinární procesy.
**Fyzické kontroly (14 kontrol)** — Fyzický přístup do prostor a serveroven, ochrana hardwaru, čistý stůl/čistá obrazovka.
**Technologické kontroly (34 kontrol)** — Správa přístupů, MFA, šifrování, správa zranitelností, logování, síťová bezpečnost, bezpečné vývojové prostředí (SDLC), zálohy.
**Pro SaaS firmu provozující cloudovou infrastrukturu** jsou nejrelevantnější technologické a organizační kontroly. Fyzické kontroly jsou méně rozsáhlé, pokud nemáte vlastní serverovnu.
Realistický harmonogram a náklady
Fáze 1: Příprava (3–6 měsíců)
**Měsíc 1–2: Základ**
**Měsíc 2–4: Dokumentace**
**Měsíc 3–5: Implementace**
**Měsíc 5–6: Ověření**
- Definice rozsahu
- Gap analýza oproti požadavkům normy
- Sestavení projektového týmu a plánu
- Hodnocení rizik a plán zvládání rizik
- SoA
- Základní politiky (přístupy, zálohy, incidenty, dodavatelé, rizika, fyzická bezpečnost, HR)
- Zavedení chybějících technických opatření
- Školení zaměstnanců
- Nastavení metrik a monitoringu
- Interní audit
- Přezkoumání vedením
- Náprava zjištěných neshod
Fáze 2: Certifikační audit (1–2 měsíce)
**Stage 1 audit (dokumentační):** Auditor prochází vaši dokumentaci — zejména SoA, hodnocení rizik a klíčové politiky. Výsledkem je seznam oblastí k doladění před Stage 2.
**Stage 2 audit (certifikační):** Auditor prochází zavedení kontrol v praxi — rozhovory se zaměstnanci, kontrola systémů, ověřování záznamů. Trvá typicky 1–3 dny pro firmu do 50 zaměstnanců.
Celkový časový výhled
- Scénář: S interními kapacitami | Přípravná fáze: 4–6 měsíců | Certifikační audit: 1–2 měsíce | Celkem: 5–8 měsíců
- Scénář: S externím konzultantem | Přípravná fáze: 3–5 měsíců | Certifikační audit: 1–2 měsíce | Celkem: 4–7 měsíců
- Scénář: Urgentní (max. kapacita) | Přípravná fáze: 2–3 měsíce | Certifikační audit: 1 měsíc | Celkem: 3–4 měsíce
Orientační náklady (ČR, 2026)
**Návratnost:** Jeden enterprise tendr v hodnotě 500 000+ Kč ročně, který by bez certifikátu nedopadl, certifikaci zaplatí.
- Položka: Certifikační audit (Stage 1 + 2) | Orientační náklady: 80 000 – 200 000 Kč
- Položka: Dozorový audit (roční) | Orientační náklady: 40 000 – 100 000 Kč
- Položka: Recertifikační audit (po 3 letech) | Orientační náklady: 60 000 – 160 000 Kč
- Položka: Externí konzultant pro přípravu | Orientační náklady: 150 000 – 400 000 Kč (závisí na stavu firmy)
- Položka: ISMS nástroj/platforma (volitelné) | Orientační náklady: 20 000 – 80 000 Kč/rok
- Položka: **Celkový 3letý náklad** | Orientační náklady: **~500 000 – 1 200 000 Kč**
Průnik s nZKB: dvojí výhoda
Pokud jste zároveň regulovanou firmou pod nZKB, je ISO 27001 vynikající investice — existuje rozsáhlý překryv mezi požadavky normy a požadavky zákona:
**Praktický závěr:** Pokud budujete ISMS pro ISO 27001, budujete zároveň velkou část toho, co vyžaduje nZKB. Udělejte to jednou, správně a pro oba účely.
| Oblast | ISO 27001 | nZKB |
|---|---|---|
| Hodnocení rizik | Povinné (klauzule 6.1.2) | Povinné (§ bezpečnostní opatření) |
| Politiky a dokumentace | Povinné (klauzule 5.2) | Povinné |
| Správa přístupů | Annex A 5.15–5.18 | Technické opatření |
| Incident management | Annex A 5.24–5.28 | Povinné (§ 15–16 nZKB) |
| Správa dodavatelů | Annex A 5.19–5.23 | Povinné pro vyšší režim |
| Business continuity | Annex A 5.29–5.30 | Organizační opatření |
| Školení | Annex A 6.3 | Povinné |
Co připravit ještě před tím, než kontaktujete certifikační orgán
Tyto základy by měly existovat, jinak první certifikační audit propadne:
✅ **Inventura aktiv** — písemný seznam informačních aktiv v rozsahu certifikace (systémy, data, lidé, prostory) ✅ **Správa přístupů v praxi** — MFA funkční, offboarding proces existuje a je dodržován ✅ **Zálohy fungují a jsou testovány** — zálohy probíhají automaticky, obnova byla alespoň jednou vyzkoušena ✅ **Základní logování** — klíčové systémy logují přístupy a aktivity ✅ **Smlouvy se zpracovateli** — DPA uzavřeny se sub-dodavateli zpracovávajícími zákaznická data ✅ **Odpovědnost za ISMS definována** — někdo ve firmě je jmenován jako vlastník ISMS
TL;DR
- ISO 27001 je vstupní podmínka pro enterprise SaaS dealy — plánujte ji s předstihem alespoň 6–9 měsíců.
- ISMS není sada dokumentů, ale živý systém: hodnocení rizik, SoA, politiky, metriky, interní audity.
- Zvolte minimální smysluplný rozsah pro první certifikaci — produkční prostředí + zpracování zákaznických dat.
- Překryv s nZKB je velký — budujte ISMS tak, aby sloužil pro oba účely.
- SoA je dokument, který zákazníci při auditech nejvíce čtou — věnujte mu patřičnou pozornost.
Splňte požadavky bez zbytečné byrokracie
Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.
Začít zdarma