ISO 27001: Ghid Complet

Securitatea Informației

ISO 27001 este standardul internațional pentru sisteme de management al securității informației (SMSI). Demonstrează că firma ta protejează datele confidențiale ale clienților și ale companiei.

Actualizat: Aprilie 2026

Ce este ISO 27001?

ISO 27001 este un standard internațional care definește cerințele pentru un sistem de management al securității informației (SMSI). Cea mai recentă versiune este ISO 27001:2022, care a actualizat controalele de securitate pentru era cloud și lucrul remote.

În termeni simpli: ISO 27001 dovedește că firma ta are procese pentru a proteja datele confidențiale împotriva accesului neautorizat, pierderii sau scurgerii.

Standardul acoperă trei piloni ai securității informației:

  • Confidențialitate - Datele sunt accesibile doar persoanelor autorizate
  • Integritate - Datele sunt corecte și complete
  • Disponibilitate - Datele sunt accesibile când e nevoie

ISO 27001:2022 include 93 de controale de securitate organizate în 4 categorii: organizaționale, pentru personal, fizice și tehnologice.

Cine are nevoie de ISO 27001?

ISO 27001 devine din ce în ce mai important pe măsură ce datele devin mai valoroase și atacurile cibernetice mai frecvente:

  • Companii IT și software - Clienții enterprise cer ISO 27001 înainte de a încredința date sensibile.
  • Licitații pentru servicii IT - Licitațiile publice pentru servicii IT, cloud sau procesare date cer frecvent ISO 27001.
  • Procesatori de date personale - Ajută la demonstrarea conformității GDPR.
  • Servicii financiare - Bănci, fintech, procesatori de plăți.
  • Sănătate - Procesarea datelor medicale necesită securitate demonstrabilă.
  • Outsourcing și BPO - Clienții din vest cer certificare înainte de colaborare.

Cerințe principale ISO 27001:2022

ISO 27001 are două părți: cerințele pentru sistemul de management și controalele de securitate din Anexa A:

Cerințe pentru sistem (Clauzele 4-10)

  • Clauza 4: Context - Înțelegerea organizației și a cerințelor părților interesate
  • Clauza 5: Leadership - Angajamentul managementului și politica de securitate
  • Clauza 6: Planificare - Evaluarea riscurilor și planul de tratare
  • Clauza 7: Suport - Resurse, competență, conștientizare
  • Clauza 8: Operare - Implementarea planului de tratare a riscurilor
  • Clauza 9: Evaluare - Monitorizare, audit intern, analiză management
  • Clauza 10: Îmbunătățire - Gestionarea incidentelor și îmbunătățire continuă

Controale de securitate (Anexa A)

93 de controale în 4 categorii: organizaționale (37), pentru personal (8), fizice (14) și tehnologice (34). Nu toate sunt obligatorii - alegi ce e relevant pentru organizația ta în Declarația de Aplicabilitate (SoA).

Beneficii certificare ISO 27001

Certificarea ISO 27001 aduce beneficii strategice pentru afacerea ta:

  • Acces la clienți enterprise - Multe corporații cer ISO 27001 furnizorilor
  • Câștigă licitații IT - Avantaj competitiv în licitații publice și private
  • Demonstrează conformitate GDPR - Dovadă de măsuri tehnice și organizatorice
  • Reduce riscul de breșe - Procese pentru prevenirea și detectarea incidentelor
  • Încredere clienți - Arată că iei în serios protecția datelor lor
  • Reduce primele de asigurare - Unii asigurători oferă reduceri pentru firme certificate

Procesul de certificare

Certificarea ISO 27001 poate fi obținută prin mai multe abordări:

Opțiunea 1: Certificare standard

Pentru companii mici care au deja practici de securitate de bază. Procesul durează aproximativ o săptămână și costă între 2.000-4.000 lei.

Opțiunea 2: Cu consultanță

Un consultant te ajută să faci evaluarea riscurilor, să selectezi controalele potrivite și să pregătești documentația. Durează 1-2 luni și costă 4.000-8.000 lei.

Opțiunea 3: Implementare detaliată

Pentru companii care vor un SMSI complet funcțional, cu politici, proceduri, training și implementare tehnică. Durează 3-6 luni și costă 10.000+ lei.

Cât costă certificarea ISO 27001?

Costurile variază semnificativ în funcție de complexitatea organizației și nivelul de implementare dorit:

Opțiune Preț Durată Potrivit pentru
Certificare standard 2.000-4.000 lei ~1 săptămână Startup-uri, IMM-uri
Cu consultanță 4.000-8.000 lei 1-2 luni Companii IT medii
Implementare detaliată 10.000+ lei 3-6 luni Enterprise, fintech

Întrebări frecvente despre ISO 27001

Este ISO 27001 obligatoriu?

Nu este obligatoriu legal, dar este cerut de clienți enterprise, în licitații IT și pentru conformitate GDPR.

Care este diferența între ISO 27001 și GDPR?

GDPR este o reglementare legală, ISO 27001 este un standard voluntar. ISO 27001 te ajută să demonstrezi conformitatea GDPR.

Cât durează implementarea ISO 27001?

Certificarea standard durează aproximativ o săptămână. Implementarea completă poate dura 2-6 luni.

Ce documente primesc?

Certificat de conformitate, politica de securitate informațională, declarația de aplicabilitate (SoA), marcă de certificare.

Cât costă certificarea?

Între 2.000 și 8.000 lei pentru certificare, mai mult pentru implementare completă.

Adelina Buturga
Scris de
Adelina Buturga
Expert ISO

Adelina coordonează certificarea companiilor din România și oferă consultanță pentru implementarea sistemelor de management. Specialist în ISO 9001, 14001 și 45001.

Vezi toate articolele

Toate articolele despre ISO 27001

58 resurse disponibile

Bazele standardului

6
Ghid Ce inseamna ISO 27001? ISO 27001 este standardul pentru securitatea informatiei. Afla ce certifica, cat costa, cum se leaga de GDPR si NIS2 in Romania. 5 min citire Ghid Ce inseamna ISO 27701? ISO 27701 este standardul pentru protectia datelor personale (PIMS). Afla ce certifica, cum se leaga de GDPR si ce s-a schimbat in 2025. 5 min citire Ghid Cum obții certificarea ISO 27001 în România? Ghid cu timeline pe săptămâni, costuri 2026 în lei, context NIS2 și GDPR, checklist pentru certificarea ISO 27001 în România. 7 min citire Ghid Cum obții certificarea ISO 27701 în România Pași practici pentru certificarea ISO 27701, condiții, legătura cu GDPR și ce trebuie pregătit dacă ai deja ISO 27001. 6 min citire Ghid Certificare SOC 2 în România: ce este și cât costă SOC 2 nu se emite în România. Ce este, cât costă (USD), când e necesar pentru SaaS care vând în SUA și cum se combină cu ISO 27001. 7 min citire Ghid Ce este un sistem de management al securitatii informatiei (SMSI)? SMSI este cadrul prin care firma controleaza riscurile pentru informatii. Componente, costuri si legatura cu NIS2 si GDPR in Romania. 6 min citire

Costuri și durată

1
Ghid Cât costă certificarea ISO 27001 pentru o firmă IT? Prețuri ISO 27001 pe trei mărimi de firmă IT (sub 20, 20-100, 100+ angajați), scope ISMS pentru SaaS, costuri ascunse și legătura cu NIS2. 8 min citire

Implementare

2
Ghid Consultanță ISO 27001 București: prețuri și pași 2026 Consultanța ISO 27001 în București 2026: prețuri în RON, diferențe între coaching, hibrid și implementare completă. Cum alegi consultantul potrivit. 7 min citire Ghid Implementare ISO 27001 în România: ghid pe faze Ghid practic de implementare ISO 27001 în România: 6 faze, costuri reale, legătura cu NIS2 și GDPR, timeline 6-12 luni. 8 min citire

Documentație și șabloane

2
Ghid Declaratie de aplicabilitate ISO 27001 (SoA) Ce este Declaratia de Aplicabilitate ISO 27001, ce coloane contine, cum justifici includerea sau excluderea controalelor din Anexa A si ce verifica auditorul. 6 min citire Ghid Politica de securitate a informatiei ISO 27001 Ce cere clauza 5.2 ISO 27001, cum structurezi politica SMSI, ce angajamente incluzi si cum o diferentiezi de politicile specifice. 7 min citire

Clauze și cerințe

10
Ghid ISO 27001 Anexa A: cele 93 de controale explicate Ghid practic cu cele 93 de controale din Anexa A ISO 27001:2022, organizate pe 4 categorii, cu exemple si legatura cu NIS2. 7 min citire Ghid Backup si protectia datelor conform ISO 27001 Controlul A.8.13 din ISO 27001: politica de backup, regula 3-2-1, tipuri de backup, testare restaurare, RPO/RTO si legatura cu NIS2. 6 min citire Ghid Constientizare securitate ISO 27001: training angajati Cum construiesti un program de constientizare conform ISO 27001 clauza 7.3 si A.6.3. Plan anual, simulari phishing, metrici si cerinte NIS2. 6 min citire Ghid Controale fizice ISO 27001: Anexa A.7 in practica Cele 14 controale fizice din Anexa A.7 ISO 27001:2022 explicate pe grupuri tematice, cu legislatie romaneasca si costuri reale. 6 min citire Ghid Control acces ISO 27001: politica si implementare Cum implementezi controlul accesului conform ISO 27001:2022. Controale A.5.15, A.5.18, A.8.5, matrice de acces, MFA, off-boarding si cerinte OUG 155/2024. 7 min citire Ghid Evaluarea riscurilor ISO 27001: metodologie si matrice Cum faci evaluarea riscurilor de securitate a informatiei conform ISO 27001. Metodologie activ-amenintare-vulnerabilitate, matrice de risc si legatura cu SoA. 7 min citire Ghid Gestionarea incidentelor de securitate conform ISO 27001 Procedura de raspuns la incidente ISO 27001: detectie, containment, eradicare, recuperare. Controale A.5.24-A.5.28 si raportare NIS2. 7 min citire Ghid ISO 27001 si securitatea cibernetica in Romania 792 de certificate ISO 27001 pentru 6.000+ entitati NIS2. Cum te protejeaza ISO 27001 de atacuri cibernetice si amenzi de pana la 10M EUR. 6 min citire Ghid ISO 27001 clasificare informatii: 4 niveluri si reguli Cum clasifici informatiile conform ISO 27001:2022 (A.5.12). Cele 4 niveluri (public, intern, confidential, strict), etichetare si manipulare. 6 min citire Ghid Politica de criptografie ISO 27001: controlul A.8.24 Cum scrii politica de criptografie conform ISO 27001:2022 controlul A.8.24. Algoritmi recomandati, ciclul de viata al cheilor si cerinte NIS2/GDPR. 8 min citire

Audit și conformitate

2
Ghid Curs auditor intern ISO 27001: ghid pentru CISO si HR Curs auditor intern ISO 27001: 2-3 zile, 1.000-2.000 lei + TVA, ce contine diploma si diferenta fata de CISA si ISO 27001 Lead Auditor. 8 min citire Ghid Curs ISO 27001 securitate cibernetica: ce alegi in 2026 Tipuri de curs ISO 27001 pentru securitate cibernetica in Romania: intro, implementer, lead. Pret 700-7.000 lei, cerinte NIS2 si ce primesti la final. 7 min citire

Legislație

4
Ghid GDPR, Legea 190/2018 si ISO 27701: mapare practica Cum satisfaci cerintele Legii 190/2018 (CNP, monitorizare angajati, DPO) prin controalele ISO 27701:2025. Ghid practic pentru operatori romani. 7 min citire Ghid ISO 27001 și Directiva NIS2 în România: ce acoperă și ce lipsește ISO 27001 acoperă ~70% din cerințele NIS2. Vezi tabel de mapare, analiza lacunelor și costul certificării vs amenda de 10M EUR. 7 min citire Ghid ISO 27001 si GDPR in Romania: ce acopera si ce nu ISO 27001 acopera o parte din cerintele GDPR, dar nu pe toate. Vezi tabelul de mapare, lacunele si cum te ajuta Legea 190/2018. 6 min citire Ghid ISO 27701 si GDPR: cum dovedesti conformitatea Cum te ajuta ISO 27701 sa demonstrezi conformitatea GDPR in Romania. Mapare pe articole, date ANSPDCP si ce cauta un auditor. 6 min citire

Întrebări frecvente

10
Cât costă certificarea ISO 27001? Între 1.500 și 10.000+ lei, în funcție de nivelul de servicii. ISO 27001 este mai scump decât alte standarde ISO din cauza complexității documentației de securitate. Cât costă certificarea ISO 27701? Între 2.000 și 5.000 EUR ca extensie la ISO 27001. Ca pachet cu ISO 27001 la furnizori online, între 2.800 și 4.000 lei + TVA. Cât durează certificarea ISO 27001? De la o săptămână (certificare standard) până la 6 luni (implementare completă cu controale tehnice). ISO 27001 durează mai mult decât alte standarde ISO din cauza celor 93 de controale de securitate. Cat dureaza certificarea ISO 27701? Intre 2 si 6 luni daca ai deja ISO 27001. Intre 6 si 12 luni daca pornesti de la zero, inclusiv cu implementarea ISO 27001. Este obligatoriu ISO 27001? Nu e obligatoriu legal, dar clientii IT, NIS2 si GDPR il transforma in cerinta practica. Amenzi NIS2 in Romania: cat sunt si cine le plateste Amenzile NIS2 ajung pana la 10 milioane EUR sau 2% din cifra de afaceri pentru entitatile esentiale si pana la 7 milioane EUR sau 1,4% pentru cele importante. Abaterile mai usoare se sanctioneaza cu 1.000-500.000 lei. Ce este ANSPDCP si ce rol are in protectia datelor? ANSPDCP (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal) este institutia care verifica respectarea GDPR si a Legii 190/2018 in Romania. Primeste plangeri, face investigatii si aplica avertismente sau amenzi. Ce este Legea 190/2018 si ce reguli adauga la GDPR? Legea 190/2018 este legea care pune GDPR in aplicare in Romania. Adauga reguli nationale pentru prelucrarea CNP, monitorizarea angajatilor si desemnarea responsabilului cu protectia datelor. Cine intra sub incidenta Directivei NIS2? Intra firmele dintr-un sector reglementat de OUG 155/2024 care au peste 50 de angajati sau cifra de afaceri peste 10 milioane EUR, plus cateva categorii vizate indiferent de marime. Este obligatoriu ISO 27701? Nu este obligatoriu legal. EDPB nu il recunoaste inca oficial ca mecanism GDPR, dar clientii din UE si rolul de operator de date personale il transforma in cerinta practica.

Comparații

9
Comparație ISO 20000 vs ISO 27001: servicii IT vs securitate Comparație ISO 22301 vs ISO 27001: continuitate vs securitate Comparație ISO 27001:2022 vs 2013: ce s-a schimbat Comparație ISO 27001 vs ISO 27701: securitate vs confidențialitate Comparație ISO 27001 vs SOC 2: alege cadrul potrivit Comparație ISO 31000 vs ISO 27001: risc general vs securitate Comparație ISO 42001 vs ISO 27001: AI vs securitate Comparație ISO 9001 vs ISO 27001: calitate vs securitate Comparație ISO 27001 vs NIS2: standard voluntar vs directivă obligatorie

Industrii

12
Industrie Certificare ISO pentru firme de resurse umane și recrutare Industrie Certificare ISO in sectorul public din Romania Industrie Certificare ISO pentru servicii financiare și bănci în România Industrie Certificare ISO pentru telecomunicatii in Romania Industrie ISO 27001 pentru fintech si banci in Romania Industrie ISO 27001 pentru firme IT din Romania Industrie Certificări ISO pentru IT și Software Industrie Certificare ISO pentru firme de consultanta in Romania Industrie Certificare ISO pentru magazine online in Romania Industrie Certificare ISO pentru firme IT si servicii software Industrie Certificare ISO pentru ONG-uri din Romania Industrie Certificare ISO pentru cabinete de contabilitate