ISO 27001 certifică faptul că firma ta protejează informațiile pe care le gestionează. Este standardul internațional pentru securitatea informației, iar versiunea actuală (ISO/IEC 27001:2022) a fost adoptată în România ca SR EN ISO/IEC 27001:2023.
Dacă lucrezi în IT, fintech sau gestionezi date personale ale clienților, probabil ți s-a cerut deja.
Verifică dacă ai nevoie de ISO 27001
Nu toate firmele au nevoie de ISO 27001. Iată cine îl folosește cel mai des în România:
- Firme de IT outsourcing cu clienți din vestul Europei sau SUA (aproape toți cer ISO 27001 ca precondiție contractuală)
- Companii fintech și furnizori de servicii de plată
- Operatori de servicii esențiale și furnizori de servicii digitale conform OUG 155/2024 (transpunerea Directivei NIS2)
- Firme care participă la licitații publice pe SEAP în domeniul IT, unde Legea 98/2016 (Art. 200) permite solicitarea certificărilor ISO
La nivel global, numărul de certificate ISO 27001 a ajuns la 96.709 în 2024, cu o creștere de 35% față de 2022. Cererea în România urmează același trend.
Pregătește documentele necesare
Înainte să contactezi un organism de certificare, ai nevoie de:
- CUI activ și firmă funcțională (minim 3 luni de activitate)
- Inventarul activelor informatice (servere, aplicații, baze de date, echipamente de rețea)
- Registrul de evaluare a riscurilor de securitate
- Politici de control al accesului (cine are acces la ce sisteme și de ce)
- Proceduri de răspuns la incidente de securitate
- Plan de continuitate a activității și recuperare în caz de dezastru
- Evidența instruirilor angajaților privind securitatea informației
Dacă nu ai documentația, o poți pregăti singur sau poți angaja un consultant. Un consultant specializat pe ISO 27001 pregătește tot pachetul de documente și te ghidează prin proces.
Parcurge procesul săptămână cu săptămână
Dacă pornești de la zero, cu implementare completă, procesul durează 10 până la 12 săptămâni:
| Săptămâna | Ce faci |
|---|---|
| 1 și 2 | Analiză de diferențe: evaluezi ce ai deja, inventariezi activele informatice, identifici ce lipsește față de cerințele ISO 27001 |
| 3 și 4 | Evaluare riscuri: analizezi riscurile pentru fiecare activ, stabilești planul de tratare a riscurilor, alegi controalele aplicabile din cele 93 de controale ale standardului |
| 5 până la 8 | Elaborare politici și proceduri: scrii documentația completă a sistemului de management al securității informației, inclusiv politica de securitate, procedurile de control acces, managementul incidentelor |
| 9 și 10 | Instruire personal și audit intern: instruiești echipa pe noile proceduri, faci un audit intern ca să verifici dacă totul funcționează |
| 11 și 12 | Audit extern și certificare: organismul de certificare verifică conformitatea și emite certificatul |
Dacă ai nevoie doar de certificat rapid (fără implementare completă), procesul se comprimă la 1 până la 3 săptămâni. Citește cât durează certificarea ISO 27001 pentru detalii pe fiecare scenariu.
Treci auditul de certificare
Auditul are două etape:
- Etapa I (analiza documentației): auditorul verifică dacă ai documentele cerute de ISO 27001, dacă riscurile sunt evaluate și dacă controalele sunt selectate corect
- Etapa II (audit la fața locului sau online): auditorul verifică dacă aplici efectiv ce scrie în documente, testează dacă procedurile de securitate funcționează, discută cu echipa IT
La final primești raportul de audit. Dacă nu sunt neconformități majore, certificatul se emite în 2 până la 5 zile lucrătoare. Certificatul este valabil 3 ani, cu audituri de supraveghere anuale.
Calculează costurile în 2026
Prețul certificării ISO 27001 depinde de ce variantă alegi:
| Varianta | Cost orientativ | Ce include |
|---|---|---|
| Certificare standard | 1.500–3.500 lei + TVA | Audit de certificare, certificat, contract pe 3 ani |
| Cu consultanță | 5.000-15.000 lei + TVA | Consultanță implementare, documentație completă, instruire, certificare |
| Implementare completă (enterprise) | 15.000-50.000+ lei + TVA | Analiză de diferențe, implementare reală, instruire, audit intern, certificare |
La reînnoire (audituri de supraveghere anuale), costul este aproximativ 50-70% din prețul certificării inițiale. De exemplu, de la 800 lei + TVA pe an.
Există furnizori care oferă certificare 100% online, între 1.500 și 2.500 lei + TVA, cu proces accelerat — de la 3 zile lucrătoare (onlineiso.ro).
Înțelege contextul legal: NIS2 și GDPR
ISO 27001 nu funcționează izolat de legislația românească. Două reglementări fac certificarea și mai relevantă în 2026.
Directiva NIS2 a fost transpusă în România prin OUG 155/2024 (completată de Legea 124/2025). Dacă firma ta este operator de servicii esențiale sau furnizor de servicii digitale, ai obligații concrete: desemnarea unui manager de securitate cibernetică, raportarea incidentelor către DNSC (24 de ore pentru notificare inițială, 72 de ore pentru raport detaliat) și autoevaluări anuale. Amenzile pentru neconformitate ajung la 10.000.000 EUR sau 2% din cifra de afaceri globală pentru entități esențiale. ISO 27001 acoperă majoritatea cerințelor NIS2, deci certificarea te ajută să demonstrezi conformitatea.
GDPR (aplicat în România prin Legea 190/2018) cere măsuri tehnice și organizatorice pentru protecția datelor personale. ISO 27001 documentează exact aceste măsuri. Dacă prelucrezi date personale ale clienților (și aproape orice firmă o face), certificarea demonstrează că ai un sistem structurat de protecție.
Ce s-a schimbat în ISO 27001:2022?
Versiunea 2022 a restructurat controalele din anexă: de la 114 controale în 14 domenii (versiunea 2013) la 93 de controale în 4 categorii: organizaționale (37), personal (8), fizice (14), tehnologice (34). Au fost adăugate 11 controale noi, printre care securitatea serviciilor cloud, prevenirea scurgerilor de date și codarea securizată.
Termenul de tranziție de la versiunea 2013 a expirat pe 31 octombrie 2025. Toate certificările noi se emit pe versiunea 2022.
Pot obține certificarea online?
Da. Multe organisme de certificare oferă certificare 100% online, fără deplasări. Auditul se face prin videoconferință sau pe baza documentelor trimise electronic. Pentru firmele de IT, aceasta este opțiunea naturală.
Am nevoie de ISO 27001 dacă am deja conformitate GDPR?
GDPR și ISO 27001 se suprapun parțial, dar nu sunt echivalente. GDPR cere măsuri de protecție a datelor personale, ISO 27001 acoperă toate informațiile companiei (nu doar datele personale). Dacă ai nevoie de certificare pentru clienți sau licitații, conformitatea GDPR singură nu este suficientă. Vezi tabelul complet de mapare ISO 27001 si GDPR.
Pot combina ISO 27001 cu alte standarde?
Da. Cele mai frecvente combinații sunt ISO 27001 + ISO 9001 (pentru firme IT care participă la licitații) și ISO 27001 + ISO 22000 (pentru companii din industria alimentară care gestionează date online). Pachetele combinate sunt mai ieftine: de exemplu, 2 standarde între 2.800 și 4.000 lei + TVA.