ISO 27001 prakticky: co audit znamená pro firmu 30–100 zaměstnanců.

V naší praxi vidíme, že kybernetický audit přichází obvykle v jednom ze tří kontextů. A ten kontext určuje, jak má audit vypadat — protože jiné věci sleduje korporátní zákazník a jiné investor.

Kontext první — vstupenka k většímu klientovi. Středně velký zákazník (banka, výrobní korporace, telco) má v zadávacích podmínkách certifikaci nebo ekvivalent. Pro malou firmu to znamená rozhodnutí, jestli investovat 250 až 450 tisíc Kč do certifikace, abychom získali zakázku za 4 až 12 milionů. Obvykle se to vyplatí — a navíc certifikace má hodnotu pro další klienty.

Kontext druhý — pre-Series A due diligence. U projektu pro český B2C SaaS startup ze segmentu fitness/wellness (8 zaměstnanců) jsme dělali nezávislý audit kódu a infrastruktury, který si vyžádal investor před Series A. Nešlo o plnou certifikaci ISO 27001, ale o externí pohled na bezpečnost — a v rámci 4týdenního auditu jsme našli 14 medium a 3 high zranitelnosti, včetně SQL injection ve dvou endpointech a exposed environment variables v build artefaktech. To jsou nálezy, které investor velmi nerad vidí v posledním týdnu před term sheetem.

Kontext třetí — veřejná zakázka. Tady je pravidlo jasné — buď máte certifikaci, nebo nehrajete. Subdodavatelská cesta přes většího partnera (jako jsme my u GFŘ přes O2 IT Services) tu funguje, ale i u toho subdodavatele se vyžaduje audit trail, error handling a procesy odpovídající ISO 27001 standardu.

Audit ISO 27001 má v plné podobě 93 kontrol v Annex A, ale pro českou SMB se v praxi soustředí na pět oblastí. Pokud máte tyto v pořádku, prošli jste 80 procenty auditu.

Oblast první — řízení přístupů. Kdo má přístup k jakým systémům, jak se onboarding a offboarding nového člověka řeší, jak je nastavená multifaktorová autentizace. Tady často padají firmy, které nikdy formálně nezrušily přístupy bývalému zaměstnanci a po půl roce má pořád aktivní účet v GitHubu.

Oblast druhá — bezpečnost vývoje. Code review, secrets management, dependency scanning, ochrana proti SQL injection a XSS. U převzetí PHP portálu NemovitostiČesko jsme jako součást stabilizace nastavili DDoS protection a automated backups — to jsou konkrétní kontroly, které auditor uvidí v dokumentaci provozu.

Oblast třetí — provozní bezpečnost a monitoring. Logy, alerting, incident response postupy. „Co uděláte, když přijde alert v 02:00?" Pokud odpověď zní „nevíme", je to nález. U integrační platformy IDR pro Generální finanční ředitelství (přes O2 IT Services) jsme řešili audit trail a error handling jako součást stabilního integračního řešení — to je kontext, kde state-of-the-art monitoring není nice-to-have, ale tvrdý požadavek.

Oblast čtvrtá — řízení dodavatelů. Které třetí strany mají přístup k vašim datům, jaké máte uzavřené DPA a NDA, jak ověřujete jejich bezpečnost. SaaS účet v Cloudinary, který používáte tři roky, ale nemáte ani DPA, je nález.

Oblast pátá — kontinuita a obnova. Jaké máte zálohy, kde jsou, kdy jste je naposledy testovali. „Měli bychom mít zálohy v S3" je málo — auditor chce vidět záznam o tom, že jste minulý měsíc obnovili konkrétní soubor a změřili recovery time.

Pro firmu 30 až 100 zaměstnanců se kybernetický audit připravující na ISO 27001 certifikaci pohybuje typicky v rozpětí 250 až 450 tisíc Kč. Trvá 4 až 8 týdnů a navazuje na něj samotná certifikace u akreditovaného certifikačního orgánu (typicky 80 až 150 tisíc Kč navíc).

Co tu cenu rozhoduje — velikost firmy, počet systémů ve scope, existující stav dokumentace. Firma, která má slušné DevOps procesy, dependency management v CI/CD a aspoň základní onboarding policy, projde auditem rychleji a levněji. Firma, která začíná od nuly, potřebuje navíc fázi přípravy — psaní policies, nastavování procesů, školení lidí — a to bývá další 200 až 350 tisíc Kč nebo měsíce práce vlastního IT.

Pro audit zaměřený na pre-Series A due diligence (ne plná certifikace, ale silný externí pohled) se cena pohybuje níže — typicky 180 až 320 tisíc Kč za 3 až 5 týdnů. U zmíněného SaaS startupu ze segmentu fitness/wellness jsme audit + převzetí AI komponent realizovali v období říjen až prosinec 2024 (4 týdny audit, 4 týdny refactor a hand-off) a dodali due diligence dokumentaci pro investora.

Pozor na cenovou pást — nabídky pod 100 tisíc Kč pro plný ISO 27001 audit obvykle znamenají, že dodavatel pošle checklist a počká, až ho vyplníte. To není audit, to je formulář.

Interní audit má smysl ve dvou případech — buď jako pravidelná roční kontrola po proběhlé certifikaci, nebo jako příprava před prvním externím auditem. V obou případech to může dělat váš vlastní compliance officer nebo IT manažer s vhodným školením.

Externí audit je nutný, když potřebujete nezávislé razítko — pro klienta, investora, pojišťovnu nebo certifikační orgán. Hlavní hodnota externího auditu není v technickém nálezu (ten často interní lidé znají dávno), ale v autoritě toho, kdo ho podepsal.

Z naší praxe doporučujeme firmám menším než 50 zaměstnanců začít interním auditem a po šesti měsících přípravy jít do externího. Firmy 50 až 250 zaměstnanců typicky přeskakují přímo k externímu auditu, protože interní zdroje pro detailní průchod 93 kontrolami nemají.

Dva varovné signály, kdy externí audit nefunguje — pokud auditor neudělá ani jednu hodinu skutečného code review, není to bezpečnostní audit, je to compliance audit. A pokud první report má jen samé „Vyhovuje", auditor neudělal svou práci. Reálný audit firmy v rané fázi má vždy nálezy — jde o to, jak vážné jsou a jak rychle je opravíte.

Když se nález objeví — a u prvního auditu se objeví vždy — je důležité reagovat strukturovaně. V naší praxi máme jednoduchý rámec, který funguje pro investory i pro korporátní klienty.

Krok první — kategorizace. Každý nález dostane prioritu (high / medium / low) a dopad (data leak, service disruption, compliance gap). U zmíněného SaaS startupu jsme 14 medium a 3 high nálezů kategorizovali tak, aby investor viděl, co se musí opravit před launch (high), co před scale-up (medium) a co je technický dluh (low).

Krok druhý — remediation plán s časem. Pro každý high nález konkrétní termín opravy, typicky do 14 dnů. Pro medium do 30 až 60 dnů. Bez plánu se nález proměňuje v „bug, který někdy opravíme".

Krok třetí — komunikace. Investor nebo klient nečekají, že máte nulu nálezů — čekají, že máte nálezy a víte, co s nimi. Otevřená komunikace funguje lépe než snaha věci zatajit. Pokud nález vyžaduje vážný refactor (typicky 4 až 8 týdnů), je rozumné to nabídnout investorovi jako součást plánu use of funds.

Pokud zvažujete kybernetický audit nebo přípravu na ISO 27001, ozvěte se nám — úvodní gap analýzu v rozsahu do 5 MD děláme zdarma a do dvou týdnů dostanete přehled, kde jste a co bude první audit reálně stát.