Megéri az ISO 27001 tanúsítás? Mennyibe kerül? Mennyi idő? És tényleg kell egy 30 fős cégnek?
Ezeket a kérdéseket kapjuk a leggyakrabban. A válasz nem egyszerű „igen” vagy „nem”. Függ a cég méretétől, az iparágtól, és attól hogy miért akarja. De a számokat meg tudjuk mutatni, és utána Ön dönt.
Mi az ISO 27001? (30 másodperces összefoglaló)
Az ISO 27001 egy nemzetközi szabvány az információbiztonság-irányítási rendszerekre (ISMS). Magyarul: egy keretrendszer ami megmondja hogyan védje a cég az adatait, a rendszereit, és az ügyfelei információit.
A tanúsítás azt jelenti: egy független auditor ellenőrzi hogy a cég tényleg betartja amit a szabvány előír. Ha igen, kap egy tanúsítványt ami 3 évig érvényes (éves felügyeleti audittal).
Nem szoftver. Nem termék. Egy működési keretrendszer + külső igazolás hogy betartja.
Miért akarják a cégek? (5 ok)
1. Ügyfél követeli
A leggyakoribb ok. Egy nagyvállalati megrendelő, bank, vagy állami szervezet megköveteli a beszállítóitól az ISO 27001 tanúsítást. Nincs tanúsítvány = nincs szerződés. Ilyen egyszerű.
2. Pályázati feltétel
EU-s és hazai pályázatoknál egyre gyakrabban előfeltétel az ISO 27001. Különösen IT szolgáltatóknál, adatkezelőknél, és felhő szolgáltatóknál.
3. NIS2 megfelelőség támogatása
Az ISO 27001 és a NIS2 irányelv követelményei 70-80%-ban átfednek. Ha ISO 27001 tanúsított, a NIS2 megfelelés nagy része már megvan. Fordítva is: ha NIS2-re készül, az ISO 27001 minimális többletmunkával megszerezhető.
4. Versenyelőny
Két azonos ajánlat közül az ügyfél azt választja amelyik ISO 27001 tanúsított. Mert az bizonyítja hogy komolyan veszi az adatbiztonságot. Nem szavakkal, hanem auditált rendszerrel.
5. Belső rend
Az ISO 27001 bevezetése rendet tesz a cég IT biztonságában. Jogosultságkezelés, jelszó policy, backup, incidens kezelés: mind dokumentálva és betartva. Ez nem csak a tanúsítványért jó. Ez védi a céget a valós fenyegetésektől.
Mennyibe kerül? (konkrét számok)
A költség három részből áll: felkészülés, tanúsítási audit, és fenntartás.
1. Felkészülés (ISMS bevezetés)
Ez a legnagyobb tétel. Ide tartozik: kockázatelemzés, szabályzatok megírása, kontrollok bevezetése, oktatás, belső audit.
| Cégméret | Felkészülés költsége | Időtartam |
|---|---|---|
| 10-30 fő | 2-5 millió Ft | 3-6 hónap |
| 30-100 fő | 5-12 millió Ft | 4-8 hónap |
| 100-500 fő | 10-25 millió Ft | 6-12 hónap |
| 500+ fő | 20-50+ millió Ft | 9-18 hónap |
A felkészülés költsége függ attól, mennyire van rendben most az IT biztonság. Ha van tűzfal, van backup, van jelszó policy: olcsóbb. Ha semmi nincs: drágább.
Ezt végezheti belső csapat (ha van IT biztonsági szakértő) vagy külső tanácsadó. A legtöbb KKV külső tanácsadót vesz igénybe, mert nincs házon belül ilyen tudás.
2. Tanúsítási audit (külső auditor)
A tanúsító szervezet (pl. Bureau Veritas, TÜV, SGS, MSZT) végzi. Két fázisban:
- 1. fázis (dokumentáció audit): átnézik a szabályzatokat, eljárásrendeket. 1-2 nap.
- 2. fázis (helyszíni audit): ellenőrzik hogy a gyakorlatban is működik. 2-5 nap (cégmérettől függően).
| Cégméret | Tanúsítási audit díja |
|---|---|
| 10-30 fő | 800.000-1.500.000 Ft |
| 30-100 fő | 1.500.000-3.000.000 Ft |
| 100-500 fő | 3.000.000-6.000.000 Ft |
A tanúsítvány 3 évig érvényes. Évente felügyeleti audit szükséges (a tanúsítási díj kb. 30-50%-a).
3. Fenntartás (éves költség)
- Éves felügyeleti audit: a tanúsítási díj 30-50%-a
- Belső audit (évente 1x): 200.000-500.000 Ft (ha külső végzi)
- Szabályzatok frissítése: 100.000-300.000 Ft/év
- Oktatás (éves): 100.000-300.000 Ft
Összesen éves fenntartás: 500.000-2.000.000 Ft (cégmérettől függően).
Összesítés: teljes költség az első 3 évben
| Cégméret | Első év (felkészülés + audit) | 2-3. év (fenntartás) | 3 éves összköltség |
|---|---|---|---|
| 10-30 fő | 3-6,5M Ft | 1-2M Ft/év | 5-10,5M Ft |
| 30-100 fő | 6,5-15M Ft | 1,5-3M Ft/év | 9,5-21M Ft |
| 100-500 fő | 13-31M Ft | 2,5-5M Ft/év | 18-41M Ft |
Mennyi idő a bevezetés?
A felkészülés a legnagyobb időigény. A tanúsítási audit maga 3-7 nap.
Tipikus ütemterv (30-100 fős cég)
| Hónap | Feladat |
|---|---|
| 1. hónap | GAP elemzés: hol tartunk most, mi hiányzik |
| 2. hónap | Kockázatelemzés, hatókör meghatározás |
| 3. hónap | Szabályzatok, eljárásrendek megírása |
| 4. hónap | Kontrollok bevezetése, technikai intézkedések |
| 5. hónap | Oktatás, tudatosság program, belső audit |
| 6. hónap | Tanúsítási audit (1. és 2. fázis) |
Ha a cég IT biztonsága már viszonylag rendben van (van tűzfal, backup, jogosultságkezelés), 4-5 hónap is elég. Ha nulláról indul, 8-12 hónap reálisabb.
Megéri? (ROI kalkuláció)
A kérdés nem az hogy „drága-e”. A kérdés az hogy „mennyibe kerül ha nincs”.
Ha ügyfél követeli
Ha egy nagyvállalati szerződés feltétele az ISO 27001, a ROI egyértelmű. Egy 50M Ft-os éves szerződés vs. 5-10M Ft tanúsítási költség: az első évben megtérül.
Ha pályázati feltétel
Ugyanez. Ha a pályázat értéke 20M Ft+, a tanúsítás költsége töredéke a nyereménynek.
Ha adatvédelmi incidens megelőzés
Egy adatszivárgás átlagos költsége Magyarországon: 50-200M Ft (GDPR bírság + reputációs kár + ügyfélvesztés + helyreállítás). Az ISO 27001 nem garantálja hogy nem lesz incidens, de 80%-kal csökkenti a valószínűségét.
Ha NIS2-vel együtt
Ha amúgy is NIS2-re kell felkészülni (mert érintett), az ISO 27001 minimális többletköltséggel megszerezhető. A két rendszer 70-80%-ban átfed. Együtt olcsóbb mint külön-külön.
Kinek kell és kinek nem?
Kell, ha:
- Nagyvállalati ügyfelei vannak akik megkövetelik
- IT szolgáltató, szoftverfejlesztő, felhő szolgáltató
- Érzékeny adatokat kezel (egészségügyi, pénzügyi, személyes)
- Pályázatokon indul ahol előfeltétel
- NIS2 érintett (a kettő együtt olcsóbb)
- Nemzetközi ügyfelei vannak (külföldön ez alap elvárás)
Nem feltétlenül kell, ha:
- 10 fő alatti cég, helyi ügyfelekkel
- Nem kezel érzékeny adatokat
- Nincs nagyvállalati megrendelő aki követeli
- A költség a cég éves bevételének 10%-át meghaladná
Fontos: az ISO 27001 nem kötelező (szemben a NIS2-vel ami törvényi). Üzleti döntés, nem jogi kötelezettség.
ISO 27001 vs. NIS2: mi a különbség?
| Szempont | ISO 27001 | NIS2 |
|---|---|---|
| Típus | Önkéntes szabvány | EU törvény (kötelező) |
| Ki adja? | ISO (nemzetközi szabványügyi szervezet) | Európai Unió |
| Kötelező? | Nem (üzleti döntés) | Igen (érintett szervezeteknek) |
| Bírság ha nincs? | Nincs (de elveszítheti az ügyfelet) | 10M EUR-ig |
| Átfedés | 70-80% közös követelmény | |
| Érvényesség | 3 év (éves felügyeleti audit) | Folyamatos megfelelés |
Ha NIS2 érintett: az ISO 27001 tanúsítás bizonyítja a megfelelést. A hatóság elfogadja mint „megfelelőségi bizonyítékot”. Nem helyettesíti a NIS2-t, de jelentősen megkönnyíti az ellenőrzést.
Hogyan kezdje el?
- Döntse el miért kell. Ügyfél követeli? Pályázat? NIS2? Belső rend? Ez meghatározza a sürgősséget és a büdzsét.
- GAP elemzés. Mérje fel hol tart most. Egy szakértő 1-2 nap alatt felméri. Ez megmondja mennyi munka van hátra.
- Válasszon tanácsadót. Aki végigvezeti a felkészülésen. Referenciákat kérjen, árat kérjen, és kérdezze meg mennyi idő.
- Válasszon tanúsító szervezetet. Bureau Veritas, TÜV, SGS, MSZT: mind elfogadott. Az ár és az időpont a döntő.
- Indítsa el a projektet. 4-8 hónap, és megvan a tanúsítvány.
Hogyan segít az ERP rendszer az ISO 27001 felkészülésben?
Az ISO 27001 követelményeinek jelentős része technikai kontroll. Egy jól felépített ERP rendszer ezeket automatikusan biztosítja:
- Jogosultságkezelés (Annex A.9): ki fér hozzá milyen adathoz, milyen szinten. Szerepkör alapú hozzáférés.
- Audit napló (Annex A.12): ki mit csinált, mikor. Minden módosítás naplózva, visszakereshető.
- Titkosítás (Annex A.10): adatok titkosítva tárolódnak és titkosított csatornán közlekednek.
- Automatikus backup (Annex A.12): napi mentés, georedundáns tárolás. Incidens esetén visszaállítható.
- Jelszó policy (Annex A.9): erős jelszó követelmény, kétfaktoros hitelesítés lehetőség.
- Incidenskezelés támogatás (Annex A.16): riasztások, naplózás, nyomon követhetőség.
Ez nem helyettesíti a teljes ISO 27001 felkészülést (kellenek szabályzatok, kockázatelemzés, oktatás is). De a technikai kontrollok 40-60%-át lefedi, ami jelentősen csökkenti a felkészülés idejét és költségét.
A BR Works ERP rendszer ezeket a kontrollokat beépítve tartalmazza. Ha ISO 27001 tanúsításra készül, az ERP bevezetésével a technikai rész nagy része automatikusan megoldódik.
