ISO

Jurisdicție · Global

ISO/IEC 27001:2022 roadmap pentru SaaS — implementare în 12 luni

De la zero la certificat — 8 etape ISMS, controalele Anexa A 2022, internal audit, alegerea certification body, surveillance audits anuale. Cost și timeline realist.

Aprox. 1400 cuvinte · Actualizat 2026-05-29

Aviz: această pagină este un rezumat informativ cu referințe oficiale. NU constituie consultanță juridică. Pentru advice juridic concret, consultă un avocat specializat în protecția datelor sau un DPO certificat.

Ce e ISO 27001:2022 și de ce contează pentru SaaS

ISO/IEC 27001:2022 este standardul internațional pentru sistemele de management al securității informațiilor (ISMS — Information Security Management System). Publicat de International Organization for Standardization împreună cu IEC, ediția actuală e octombrie 2022 (înlocuiește versiunea 2013 cu schimbări semnificative în Anexa A). Spre deosebire de SOC 2 (raport de audit), ISO 27001 e o certificare formală acordată de un certification body acreditat. Pentru un SaaS în UE, ISO 27001 e cea mai recunoscută bază de încredere pe sales B2B mid-market și enterprise — pentru deal-uri peste 50k EUR/an, RFP-ul aproape sigur cere certificare. Pentru piața US, SOC 2 Type II e adesea preferată; pentru piața globală, ambele sunt complementare. Investiția într-o certificare deschide segmente de clienți altfel inaccesibili.

Etapa 1 — Scope și gap analysis (luna 1-2)

Primul pas: definirea scope-ului ISMS. Pentru SaaS, scope tipic = «dezvoltarea, hosting, suportul platformei XYZ» sau mai larg «toate operațiunile companiei». Scope-ul mai mic = audit mai ieftin, certificare mai rapidă, dar acoperire limitată în RFP-uri. Recomandare: începe cu scope «dezvoltare + operare platformă SaaS principal» — extinzi ulterior la procesele HR, finance dacă RFP-ul cere. După scope, faci gap analysis — compari starea actuală vs cerințele ISO 27001:2022. Output: listă de gap-uri pe fiecare clauză + Anexa A (93 controale). Poți face cu consultant extern (8-15k EUR) sau intern dacă ai personal experimentat. Output gap analysis = roadmap concret pentru lunile 3-10.

Etapa 2 — Risk assessment și treatment plan (luna 2-3)

Inima ISMS-ului. Identifici asset-urile informaționale (date clienți, cod sursă, infrastructură, credențiale), amenințările (atacatori externi, insider, dezastre naturale, eșec hardware), vulnerabilitățile (config greșit, lipsă patches, training insuficient). Pentru fiecare combinație asset-amenintare-vulnerabilitate, evaluezi probabilitatea și impactul → risc inerent. Apoi decizi tratament: (a) accept (risc tolerabil); (b) reduce prin controale (cel mai frecvent); (c) transfer (asigurare cyber); (d) evită (oprești activitatea). Output: Risk Treatment Plan (RTP) + Statement of Applicability (SoA) care arată ce controale Anexa A se aplică și de ce. Metodologia: ISO 27005 e ghidul oficial; pentru SaaS mic, simplified matrix risk 1-5 funcționează adesea. Document recomandat: registru riscuri cu update semestrial minim.

Etapa 3 — Politici și proceduri (luna 3-5)

ISO 27001 cere documentație obligatorie. Documente minimale: (1) Information Security Policy — politica generală, semnată top management; (2) Acceptable Use Policy — pentru angajați și contractori; (3) Access Control Policy — RBAC, least privilege, joiner-mover-leaver process; (4) Cryptography Policy — ce se criptează, ce algoritmi, gestionare chei; (5) Incident Response Policy — cum se detectează, se raportează, se rezolvă incidente; (6) Backup și Recovery Policy — frecvență, testare, RPO/RTO; (7) Supplier Security Policy — due diligence vendor, DPA, monitoring; (8) Business Continuity Plan — scenarii downtime, comunicare, restore; (9) Risk Management Procedure; (10) Internal Audit Procedure. Plus 20-30 SOP-uri operaționale (onboarding angajat, change management, vulnerability scanning, patch management). Total documentație tipică: 800-1500 pagini. Templates open source (ISO27001Policies pe GitHub) reduc semnificativ efortul.

Etapa 4 — Implementarea controalelor tehnice (luna 4-9)

Anexa A din ISO 27001:2022 listează 93 controale grupate în 4 teme (vs 14 secțiuni anterior 2013): (1) Organizational controls (37); (2) People controls (8); (3) Physical controls (14); (4) Technological controls (34). Pentru SaaS, control-uri tehnice cheie: MFA universal pe accesuri privilegiate; encryption at-rest AES-256 și in-transit TLS 1.3; centralized logging cu SIEM (Wazuh, Splunk, ELK); vulnerability scanning continuu (Nessus, Qualys, open source); patch management cu SLA pe severitate; secure development lifecycle (SAST, DAST, code review obligatoriu); backup geo-replicat cu test restore lunar; DDoS protection (Cloudflare, fastly); WAF; secrets management (Vault, AWS Secrets Manager); IAM cu RBAC fine-grained; network segmentation; endpoint protection pe stații dezvoltare; secure deletion la decommissioning. Investiția infra pentru un SaaS mediu: 500-3.000 EUR/lună incremental peste run-rate normal.

Etapa 5 — Training și awareness (luna 5-7)

Cea mai subestimată parte. ISO 27001 cere training documentat pentru tot personalul: (1) onboarding security awareness obligatoriu prima lună; (2) refresher anual minim 1h cu chestionar atestare; (3) training-uri specifice pe rol (dezvoltatori — secure coding OWASP; admin — incident handling; sales — social engineering); (4) phishing simulation lunar/trimestrial cu raportare metrics; (5) workshop-uri tematice (GDPR, AI Act, threat landscape actual). Auditorul verifică: lista participanți, chestionare semnate, evidență metrics phishing simulation, plan training anual aprobat. Investiție: 30-100 EUR/angajat/an pentru platforme training (KnowBe4, Hoxhunt, Curricula) plus 8-16 ore/angajat. Pentru SaaS sub 50 angajați, soluții free/cheap funcționează (videoclipuri customizate + Google Forms attestation).

Etapa 6 — Internal audit (luna 9-10)

Obligatoriu minim anual. Auditor intern (poate fi angajat sau extern contractat) verifică conformitatea cu ISMS-ul tău și cu cerințele ISO 27001:2022. Auditor intern nu poate fi cel care a creat documentația controlată (conflict de interes). Output: raport intern audit cu nonconformități (NC) majore și minore + observații + oportunități de îmbunătățire. Pentru fiecare NC, deschizi acțiune corectivă în registrul de management cu termen și responsabil. Internal audit e pregătirea pentru certification audit — descoperi gap-urile înainte de auditorul extern. Investiție: dacă faci cu consultant extern, 3-8k EUR pentru un audit complet (3-5 zile work). Dacă faci intern, capacitate 2-3 persoane training ISO 27001 Lead Auditor (~2-3k EUR/persoană).

Etapa 7 — Management review (luna 10-11)

Top management (CEO, CTO, COO sau echivalent) trebuie să facă review formal ISMS minim anual. Input-uri: rezultate internal audit; status acțiuni corective; rezultate risk assessment; feedback părți interesate; status obiective securitate; incidente securitate; recomandări îmbunătățire. Output: decizii management documentate: aprobare modificări ISMS, alocare resurse, schimbare obiective, schimbare scope. Auditorul extern va cere proces verbal management review cu participanți, agenda, decizii. Acesta e și momentul când realizezi că ISMS nu e un proiect punctual ci un proces continuu — cei mai mulți SaaS care eșuează la surveillance audit anul 2 e pentru că au tratat ca proiect singular.

Etapa 8 — Certification audit (luna 11-12)

Realizat de certification body acreditat (DNV, BSI, TÜV, Bureau Veritas, SGS în Europa). Două stage-uri: **Stage 1** (readiness review) — auditorul verifică documentația, scope, SoA — 1-2 zile, identifică gap-uri critice care ar bloca Stage 2. **Stage 2** (certification audit) — audit on-site (sau remote post-COVID), 3-5 zile, verifică implementarea efectivă a controalelor: interviuri personal, verificare evidence, walk-through procese. Posibile rezultate: (a) certificare acordată (zero NC majore); (b) certificare condiționată (NC minore — plan corectiv termen 30-90 zile); (c) NC majore — refuzat, refacere audit post-remediere. După certificare: surveillance audit anual (1-2 zile, scope redus) + re-certification audit la 3 ani (full re-audit). Cost certification body: 8-25k EUR pentru SaaS mediu prima dată, 4-10k EUR surveillance anual.

Cost total și timeline realist

Sumar cost pentru SaaS cu 20-50 angajați, scope rezonabil: (a) consultanță (gap analysis, suport implementare, internal audit): 15-35k EUR; (b) certification body (Stage 1 + 2): 10-20k EUR primul an; (c) infra incremental (logging, scanning, MFA, etc.): 500-3.000 EUR/lună; (d) training (platforme + ore angajați): 3-8k EUR/an; (e) timp intern echipă (CTO + DPO/CISO + cca 20% dezvoltatori part-time pe controale): valoare semnificativă, 4-8 luni eforturi 0.5-1 FTE. **Total cash out**: 25-80k EUR primul an, 15-30k EUR anii următori. **Timeline realist**: 9-12 luni de la decizie la certificat în mână pentru SaaS care n-a făcut nimic anterior; 4-6 luni dacă deja există maturitate (DPA-uri, audit log, MFA, backup tested). Tentația de a comprima sub 6 luni rezultă adesea în certificare cosmetică care eșuează la surveillance anul 2.

ISO 27001 vs SOC 2 — care alegi sau ambele

**ISO 27001** — certificare formală, valabilitate 3 ani (cu surveillance anual), recunoscută global, focus pe ISMS as a system. **SOC 2** — raport de audit pe Trust Services Criteria, valabilitate report 12 luni continuu cu refresh anual, dominant SUA mid-market+, focus pe controale operate într-o perioadă (Type I = la un moment, Type II = pe perioadă). Pentru un SaaS care vinde global: ambele sunt complementare — ISO 27001 pentru clienți UE/global, SOC 2 Type II pentru clienți SUA. Overlap controale ~70% — investiția marginală pentru a doua e 30-40% din prima. Recomandare ordine: SaaS European → ISO 27001 primul, SOC 2 al doilea după 1-2 ani. SaaS American → SOC 2 primul, ISO 27001 al doilea pentru expansion EU. Pentru Megaforms, plan-ul este: ISO 27001 certification audit Q3 2026, SOC 2 Type II raport Q1 2027.

Greșeli comune și cum să le eviți

Top 10 greșeli observate la SaaS care urmează prima certificare: (1) scope prea larg primul an — extinzi pe surveillance; (2) lipsă management buy-in real (top management semnează dar nu participă) — eșuează în interviuri; (3) documentație copy-paste de pe internet fără adaptare reală la procese — auditor recunoaște imediat; (4) lipsă evidence operațional pentru controale (nu poți demonstra că faci ce zici că faci); (5) internal auditor neexperimentat — descoperă mai puțin gap-uri decât certification body; (6) tratează ISMS ca proiect singular — surveillance audit anul 2 dezvăluie regresie; (7) underbudgeting timp intern echipă — partime în plus față de munca normală epuizează; (8) alegerea certification body doar pe preț — auditori inexperimentați adaugă rework; (9) lipsă comunicare cu clienții actuali (procesul ISMS poate cere modificări contract, DPA) — surpriză negativă; (10) post-certificare relaxare totală — surveillance audit anul 2 devine dezastru. Best practice: angajează un CISO part-time chiar și 0.2 FTE, mai degrabă decât a delega CTO-ului.

Referințe oficiale

standard
ISO/IEC 27001:2022 — pagina oficială ISO
https://www.iso.org/standard/27001
standard
ISO/IEC 27002:2022 — Anexa A controale
https://www.iso.org/standard/75652.html
standard
ISO/IEC 27005:2022 — risk management
https://www.iso.org/standard/80585.html
standard
ISO 27701:2019 — privacy extension
https://www.iso.org/standard/71670.html
guidance
ENISA — ghid ISMS pentru cloud providers
https://www.enisa.europa.eu/publications

Megaforms acoperă cerințele de mai sus by design

Host 100% UE, DPA semnabil online, sub-procesatori listați transparent, retention configurabil, audit log accesare date sensibile, portal DSAR self-serve. Începe pe Free, evaluezi conformitatea pe propriul tău use case.

Începe gratuit Features compliance Megaforms

Întrebări frecvente

Cât costă ISO 27001 pentru SaaS cu 10 angajați?▾

Estimat 20-40k EUR primul an pentru un SaaS micuț. Reducere posibilă cu scope minimal (doar dezvoltare + hosting, fără HR/finance), consultanță combinată cu training, certification body mai mic (TÜV România vs BSI UK). Surveillance anii 2-3 scade la 10-15k EUR/an.

Putem face fără consultant extern?▾

Tehnic da, dacă ai personal cu experiență ISO 27001 anterior (CISO, DPO experimentat). Practic, primul an consultanța economisește 40-50% timp și evită rework la audit. Strategie hibrid: consultant pentru gap analysis + internal audit, restul intern.

Certificarea ISO 27001 acoperă GDPR?▾

Parțial — Anexa A include controale aplicabile GDPR (acces, encryption, breach response). Dar ISO 27001 nu acoperă specific drepturile subiecților, DPA-uri sub-procesatori, DPIA. Combinația ISO 27001 + ISO 27701 (extension pentru privacy) acoperă substanțial GDPR. Sau ISO 27001 + program privacy dedicat.

Dacă pierd certificarea, ce se întâmplă?▾

Certificatul retras face revocare publică pe site certification body. Clienții care au cerut certificarea ca precondiție contractuală pot rezilia. Re-certificare cere refacere proces (cost și timp egal cu primul). Risc reputațional semnificativ. De evitat cu surveillance audit serios.

Anexa A 2022 vs 2013 — schimbări majore?▾

Anexa A 2022 e restructurată: 14 secțiuni → 4 teme; 114 controale → 93 (consolidate, 11 noi). Controale noi notabile: threat intelligence, ICT readiness for business continuity, data leakage prevention, cloud services use, monitoring activities, configuration management, web filtering. SaaS-uri certificate 2013 au tranziție obligatorie până la 31 octombrie 2025 — verifică dacă ești la zi.

Pot folosi infrastructură certificată (AWS, GCP) ca să simplific?▾

Da, dar nu reduce scope-ul tău. AWS ISO 27001 acoperă infrastructura AWS — TU rămâi responsabil pentru aplicație, date, IAM, config. Shared responsibility model. Beneficiu: poți cita certificatul AWS în SoA pentru controale infra (data center physical, network base) — auditor acceptă fără verificare independentă.

Ghiduri conexe

SOC

SOC 2 Type II

Cele 5 Trust Services Criteria, diferența Type I vs Type II, raportul auditorului independent, statusul Megaforms Q1 2027 și ce clienți primesc.

GDPR/GDPR UE

De la Art. 5 la sub-procesatori și transferuri internaționale — ce trebuie să faci concret când colectezi date prin formulare online în UE.

EU AI Act

Calendar oficial, clasificarea pe nivele de risc, Art. 50 transparența chatbot/AI, Art. 14 supraveghere umană, sancțiuni până la 35 mln EUR sau 7% CA.

MED

HIPAA vs GDPR healthcare

Cele două regimuri pentru date medicale online — definiții PHI vs date sensibile, BAA vs DPA, deadline-uri breach, drepturi pacient. Ce alegi pentru clinica ta.