Колко служители трябва да имаме, за да има смисъл от ISO 27001?

Няма магическо число. По-важен е профилът на бизнеса: работите ли с корпоративни клиенти, обработвате ли чувствителни данни, целите ли международни пазари? Виждали сме компании от 8 човека с реална нужда от сертификация и такива от 80 без нея. Ако поне два от сигналите в наръчника по-горе се отнасят за вас, размерът не е пречка.

Колко отнема внедряването на ISO 27001?

Реалистично: 6-12 месеца за малка или средна компания при активна работа. Бързото внедряване за 3-4 месеца е възможно, но е риск - одиторите виждат системи, изградени набързо. По-дългото внедряване за 18+ месеца обикновено означава, че проектът е загубил инерция и се е разтеглил без нужда.

ISO 27001 или SOC 2 - кое да изберем?

Зависи от пазара. ISO 27001 е международно признат и работи добре за ЕС, DACH региона, Великобритания, Близкия изток. SOC 2 е предпочитан в САЩ и Канада, особено при SaaS продукти. Ако целите и двата пазара или не сте сигурни, ISO 27001 е по-добрата отправна точка - изгражда солидна основа, която улеснява бъдещо SOC 2. Вижте подробното сравнение в нашия наръчник.

Трябва ли ни консултант или можем сами?

Технически можете сами - стандартът е публичен. Практически, повечето компании без вътрешен специалист по СУИС губят значително повече време и пари, опитвайки се без помощ. Консултантът не замества вашия екип - помага да не изобретявате колелото и да не правите скъпи грешки преди одита. Правилният консултант намалява общата цена, а не я увеличава.

Каква е разликата между ISO 27001 сертификация и просто внедряване на СУИС?

Внедряването означава, че изграждате системата и следвате стандарта. Сертификацията означава, че независим акредитиран орган потвърждава това с одит и издава сертификат. За вътрешни цели или за клиенти, с които имате доверие, понякога е достатъчно внедряването. За тендери, B2B продажби и международни пазари обикновено е нужен официалният сертификат.

Кога е нужен ISO 27001

Структуриран наръчник за решение: кога ISO 27001 е правилната стъпка, кога може да изчакате и какво струва реално.

ISO 27001 е нужен, когато рискът от липсата му вече струва повече от разходите за внедряване. Това се случва при три условия: клиентите ви го изискват, данните, с които работите, носят реален риск, или целите пазари, където той е входен билет. Ако нито едно от трите не е вярно - вероятно можете да изчакате.

Ясни сигнали, че времето е дошло

Това не са “може би” - ако поне два от следните са верни за вас, ISO 27001 е следващата логична стъпка.

Клиентите ви питат директно. Получавате въпросници за информационна сигурност от потенциални клиенти. Корпоративните купувачи - особено в ЕС, Великобритания и DACH региона - все по-редовно правят vendor due diligence. Без сертификат отговорите ви са “работим по въпроса”, а с него затваряте сделки по-бързо. Данните показват, че 67% от B2B компаниите в ЕС очакват от доставчиците си доказателства за информационна сигурност.

Обработвате чувствителни данни в мащаб. Здравни данни, финансова информация, лични данни на клиенти, интелектуална собственост - ако пробив би навредил сериозно на хора или на бизнеса ви, СУИС не е бюрокрация, а управление на реален риск. GDPR е задължителен минимум, но не замества системния подход на ISO 27001.

Целите международни или regulated пазари. Финансови услуги, здравеопазване, публичен сектор, отбранителна промишленост - тези сектори изискват или силно предпочитат ISO 27001. Пазарите в Германия, Австрия, Швейцария и Скандинавия го третират почти като хигиенен фактор при B2B продажби.

Подготвяте се за инвестиция или придобиване. Institutional investors и стратегически купувачи правят cyber due diligence. Компании с работеща СУИС приключват M&A процесите по-бързо и с по-малко усложнения. Разликата в оценката може да е значителна.

Имате регулаторни задължения. NIS2 директивата задължи хиляди компании в ЕС да внедрят мерки за сигурност - ISO 27001 е признатият начин да демонстрирате съответствие. Ако попадате в обхвата на NIS2, DORA или подобни регулации, стандартът е не просто полезен, а логичен избор.

Кога може да изчакате

Честността изисква и обратната страна. Не всяка компания се нуждае от ISO 27001 точно сега.

Все още нямате ясен продукт или бизнес модел. Ако сте в много ранна фаза - под 12 месеца, без стабилни приходи и с продукт, който се мени на всеки три месеца - сертификацията ще бъде бреме, а не предимство. Изградете продукта първо, после системата за сигурност.

Клиентите ви не питат и не питат скоро. Ако продавате директно на крайни потребители (B2C), работите само с малки локални клиенти или сте в сектор, където темата все още не е приоритет - нуждата може да е по-далеч. Следете обаче: пазарът се движи.

Нямате минимален вътрешен капацитет. ISO 27001 изисква реален ангажимент от вашия екип - особено от ръководството. Ако нямате никой, който да “owns” информационната сигурност вътрешно, и не сте готови да отделите 20-30% от времето на поне един човек, резултатът ще е документи за одитора, не реална система.

Бюджетът просто не е там. По-добре е да изградите силна техническа основа - MFA навсякъде, криптиране, backup стратегия, управление на достъпа - и след това да надградите с СУИС, отколкото да направите сертификацията небрежно заради недостатъчен бюджет.

Цена, срокове, усилия - реални числа

Нека бъдем конкретни. Цифрите по-долу са ориентировъчни за Bulgaria/ЕС контекст при работа с опитен консултант.

Консултантска помощ: 4 000 - 13 000 € за малка/средна компания (20-150 служители), в зависимост от сложността на обхвата и текущото ниво на зрялост. По-малките компании с добра техническа база са на долния край.

Сертификационен одит: 1 500 - 4 000 € за Stage 1 + Stage 2 одит при акредитиран орган. Зависи от обхвата и броя сайтове. Surveillance одитите след това са 800 - 1 800 € годишно.

Вътрешни разходи: Не ги подценявайте. Времето на вашия екип за документация, обучения, вътрешни одити и управление на СУИС типично е 0.5 - 1 FTE за компания от 50-100 човека в периода на внедряване.

Срок за внедряване: 6-9 месеца е реалистично за компания с 20-80 служители при активен ангажимент. 10-14 месеца за по-голям обхват или по-сложна среда. Под 6 месеца е рискована бързина.

Обща инвестиция за малка компания (20-50 човека): 8 000 - 18 000 € всичко включено за първата сертификация. Звучи много, но да загубиш един голям B2B договор заради липса на сертификат може да струва повече.

Контролен списък за решение

Отговорете честно на тези въпроси. Ако имате 4 или повече “да” - ISO 27001 е навременна инвестиция, не преждевременна.

Имате ли поне един активен клиент или prospect, който е питал за ISO 27001 или е изпратил security questionnaire?
Обработвате ли лични данни, здравна информация или финансови данни на клиенти в мащаб?
Целите ли корпоративни клиенти в ЕС, Великобритания, DACH или Скандинавия в следващите 12-18 месеца?
Попадате ли в обхвата на NIS2, DORA или друга регулация, изискваща доказателства за информационна сигурност?
Планирате ли fundraising или M&A в следващите 2 години?
Има ли в екипа ви поне един човек, който може да се ангажира с темата вътрешно?
Имате ли бюджет от поне 8 000 € за целия процес?

Препоръка по профил на компанията

Стартъп под 20 човека

Ако нямате корпоративни клиенти и не очаквате скоро - изчакайте. Фокусирайте се върху техническата хигиена: MFA, криптиране, управление на достъпа, backup. Ако имате или очаквате корпоративни клиенти в следващите 12 месеца - стартирайте сега. По-лесно е на 15 от на 50 човека, а конкурентното предимство идва точно когато имате нужда от него. За тази група vCISO услугата е по-гъвкав вариант от full-scale внедряване.

Мащабираща компания (20-100 човека)

Това е типично най-подходящият момент. Вече имате процеси, имате данни, вероятно вече имате клиенти, питащи за сигурност. При тази група виждаме най-добра възвращаемост от инвестицията - времето за внедряване е разумно, а полученото предимство е реално. Препоръчваме да не чакате следващия “правилен момент” - той рядко идва сам. Разгледайте нашата ISO 27001 услуга за конкретна пътна карта.

Компания над 100 човека

Ако все още нямате ISO 27001 на тази величина - въпросът не е “дали”, а “кога и как”. Пробив на тази величина, регулаторна проверка или изгубена тръжна процедура ще са значително по-скъпи от сертификацията. При по-голям обхват е важно да изберете правилния партньор за одит и правилния подход към обхвата - грешките тук са скъпи. Нека поговорим за конкретния ви случай.

Ако все още не сте сигурни дали времето е сега - запишете безплатна консултация. Ще ви дадем честна оценка, дори ако отговорът е “не още”. За стартъпи с конкретния въпрос “кога има смисъл” вижте и нашата подробна статия по темата. А ако се колебаете между ISO 27001 и SOC 2, сравнението на двата стандарта ще ви помогне да изберете правилно.

Кога е нужен ISO 27001

Често задавани въпроси