Sari la conținut
Toate resursele
ISO 27001Actualizat 3 iulie 2026 · 11 min de citit

Ghid ISO 27001: standardul, Anexa A cu 93 de controale și drumul real până la certificare

ISO/IEC 27001 este standardul internațional pentru managementul securității informației — și, în practică, biletul de intrare la contractele cu clienți mari: tot mai multe licitații și due diligence-uri îl cer explicit. Ghidul de față îți explică ce este standardul, cum arată drumul real până la certificare, cât durează, ce greșeli să eviți și cum se leagă de NIS2.

01Ce este ISO 27001, pe scurt

ISO/IEC 27001 definește cerințele pentru un SMSI — sistem de management al securității informației: un mod organizat de a identifica riscurile asupra informațiilor tale și de a le trata prin controale documentate, măsurate și îmbunătățite continuu. Versiunea curentă este ISO/IEC 27001:2022 (a treia ediție, publicată în octombrie 2022), care a înlocuit complet ediția din 2013 — certificatele pe versiunea veche au expirat până la 31 octombrie 2025.

Spre deosebire de NIS2, care e lege și se aplică obligatoriu, ISO 27001 e un standard voluntar: nimeni nu te amendează dacă nu-l ai. Îl adopți pentru că piața ți-l cere — iar odată certificat, un organism independent verifică anual că sistemul tău chiar funcționează.

02De ce îl cer clienții tăi

Pentru un client mare, certificatul ISO 27001 e cel mai simplu mod de a-și reduce riscul de furnizor: în loc să-ți auditeze securitatea el însuși, se bazează pe verificarea anuală făcută de un organism de certificare acreditat. De aceea standardul apare tot mai des ca cerință în licitații, în chestionarele de securitate și în contractele cu bănci, corporații sau instituții publice. Pentru firmele de IT, SaaS și servicii B2B, lipsa certificării închide uși — iar existența ei scurtează semnificativ ciclul de vânzare.

03Certificare vs. conformitate: nu e același lucru

Poți fi „conform ISO 27001” fără certificat: implementezi cerințele standardului și te oprești acolo. Certificarea e pasul suplimentar — un organism de certificare acreditat (în România, acreditarea o dă RENAR) îți auditează sistemul și emite certificatul, valabil 3 ani cu audituri de supraveghere anuale. Unii clienți acceptă conformitatea demonstrabilă; cei mai mulți cer certificatul. Decizia e comercială: certificarea costă, dar semnalul de încredere e incomparabil.

04Clauzele 4–10: scheletul sistemului de management

  • Clauza 4 — Contextul organizației: ce faci, pentru cine, ce probleme interne și externe îți afectează securitatea; aici definești domeniul SMSI. Din amendamentul climatic din 2024, tot aici documentezi dacă schimbările climatice sunt relevante pentru tine.
  • Clauza 5 — Leadership: conducerea aprobă politica de securitate, alocă roluri și răspunde de sistem.
  • Clauza 6 — Planificare: metodologia de risc, evaluarea și tratarea riscurilor, Declarația de aplicabilitate (SoA) și obiectivele de securitate.
  • Clauza 7 — Suport: resurse, competențe, conștientizare, comunicare și documentație controlată.
  • Clauza 8 — Operare: rulezi efectiv procesele planificate și reevaluezi riscurile la schimbări.
  • Clauza 9 — Evaluarea performanței: monitorizare și măsurare, audit intern și analiza de management.
  • Clauza 10 — Îmbunătățire: neconformități, acțiuni corective și îmbunătățire continuă.

05Anexa A și Declarația de aplicabilitate (SoA)

Anexa A e lista de referință a controalelor de securitate: 93 de controale în versiunea 2022, organizate pe patru teme. Nu ești obligat să le implementezi pe toate — dar ești obligat să le parcurgi pe toate și să justifici, în Declarația de aplicabilitate, de ce fiecare control e aplicabil sau nu pentru tine. SoA e documentul-pivot al certificării: auditorul pleacă de la el.

TemaControaleExemple
A.5 — Organizaționale37politici, roluri, furnizori, incidente, continuitate
A.6 — Persoane8verificări la angajare, instruire, confidențialitate
A.7 — Fizice14perimetre, acces fizic, echipamente, birou curat
A.8 — Tehnologice34acces, criptografie, backup, logging, dezvoltare sigură

Ghidul de implementare al controalelor e un standard separat — ISO/IEC 27002:2022 — care detaliază fiecare control din Anexa A. E lectură utilă, dar nu e certificabil: certificarea se face doar pe 27001.

06Pașii reali de implementare

  • Definește domeniul SMSI: ce entități, locații, sisteme și servicii acoperă sistemul — un domeniu prea larg scumpește totul, unul artificial de îngust nu trece la clienți.
  • Stabilește metodologia de risc și fă evaluarea riscurilor: activele importante, amenințările realiste, impactul și probabilitatea.
  • Alege tratarea riscurilor și construiește SoA: pentru fiecare din cele 93 de controale — aplicabil sau nu, și de ce.
  • Scrie politicile și procedurile cerute și implementează efectiv controalele: MFA, backup testat, jurnalizare, managementul furnizorilor — pe hârtie ȘI în practică.
  • Instruiește oamenii: securitatea e a întregii organizații, nu doar a IT-ului.
  • Rulează sistemul: adună dovezi de funcționare (minute, rapoarte, înregistrări) — auditorul vrea istoric, nu documente scrise săptămâna trecută.
  • Fă auditul intern și analiza de management — ambele obligatorii ÎNAINTE de auditul de certificare.

07Cât durează și cum arată auditul de certificare

Implementarea durează de regulă între câteva luni și un an, în funcție de mărimea organizației și de cât de matură e securitatea ta la start. Auditul de certificare are două etape: etapa 1 (auditorul verifică documentația și pregătirea) și etapa 2 (verifică pe teren că sistemul funcționează efectiv). Certificatul e valabil 3 ani, cu audituri de supraveghere în anii 1 și 2 și recertificare în anul 3. Costurile depind de numărul de angajați și de complexitate — cere oferte de la mai multe organisme acreditate și verifică acreditarea lor.

08Relația cu NIS2: muncă dublă sau avans?

Suprapunerea dintre controalele ISO 27001 și măsurile NIS2 e substanțială: managementul riscului, politicile de acces, backup-ul și continuitatea, securitatea furnizorilor, gestionarea incidentelor apar în ambele. Dacă ai deja ISO, ai un avans serios la NIS2; dacă faci NIS2 acum, structurarea muncii după logica ISO te apropie de certificare. Atenție însă: ISO nu înlocuiește obligațiile legale NIS2 (înrolare la DNSC, raportarea incidentelor în termenele legale) — am detaliat exact această comparație într-un ghid separat.

09Cum te ajută Normward

Normward îți dă catalogul complet al celor 93 de controale din Anexa A, evaluabile control cu control (politică + implementare), cu scor, lacune și plan de remediere. Declarația de aplicabilitate — documentul cel mai laborios al certificării — se generează cu AI direct din evaluarea ta reală, cu justificări din notele evaluatorului. Iar dacă ai evaluat deja NIS2, mapările dintre cele două cadre îți pre-completează sugestii pe controalele ISO echivalente — tu doar le confirmi. Onest: Normward te pregătește de certificare, dar certificatul îl emite doar un organism de certificare acreditat, după auditul lui.

ISO 27001, în cifre

Versiunea curentă
ISO/IEC 27001:2022 (+ amendamentul climatic Amd 1:2024)
Controale în Anexa A
93, pe 4 teme (37 organizaționale / 8 persoane / 14 fizice / 34 tehnologice)
Valabilitatea certificatului
3 ani, cu supraveghere anuală
Etapele auditului
Etapa 1 (documentație) + Etapa 2 (implementare)
Acreditarea în România
RENAR — organismul național de acreditare

Surse și texte oficiale

Material informativ, nu consultanță juridică. Legislația se poate modifica — verifică textele oficiale înainte de decizii cu efecte legale.

Afli în 5 minute unde stai cu NIS2.

Calculator gratuit de eligibilitate — sector, mărime, servicii → verdictul și nivelul tău de clasificare.

Citește și