Az ISO/IEC 27001 az információbiztonsági irányítási rendszer (ISMS) nemzetközi szabványa. Kis- és középvállalkozások számára általában nem kötelező, de 2026-ban de facto szükségessé válik nagy ügyfelekkel kötött B2B szerződéseknél, közbeszerzéseken és NIS2 által szabályozott szektorokban. A tanúsítás 4–9 hónapot vesz igénybe és egy középvállalatnál 8 000–25 000 EUR-ba kerül, de megnyitja a tenderzési lehetőségeket évi százezertől millió euróig.

Ez a cikk a felhő ERP biztonság és megfelelés sorozat részét képezi. Elmagyarázza, mit jelent az ISO 27001 valójában egy KKV számára, hogyan szereztük meg az AMCEF csoportban (a Modulario fenntartójánál) és milyen előnyök származnak ebből az ügyfeleink számára.

Mi az ISO 27001 emberi nyelven

Az ISO 27001 nem „csak papír”, ahogy kívülről néző vállalatok néha gondolják. Ez az információbiztonság-irányítási rendszer, amely három réteget fed le:

  1. Szabályzatok és folyamatok — hogyan vesz fel alkalmazottakat, hogyan dolgozik jelszavakkal, hogyan reagál egy incidensre, hogyan selejtez el egy régi notebookot.
  2. Technikai intézkedések — titkosítás, MFA, monitorozás, hálózati szegmentálás, biztonsági mentés.
  3. Kockázatkezelés — az eszközök, fenyegetések és gyenge pontok rendszeres elemzése csökkentési tervekkel.

A szabvány az A mellékletben 114 ellenőrzési pontot határoz meg, 14 területre osztva (a biztonsági szervezettől az incidenskezelésen át a megfelelésig). Az auditor ellenőrzi, hogy minden alkalmazható ellenőrzési ponthoz van-e bizonyítéka — szabályzat, feljegyzés, napló, képernyőkép, képzési anyag.

Kulcsfogalmak, amelyekkel találkozni fog

  • ISMS (Information Security Management System) — az egész rendszer egészként.
  • SoA (Statement of Applicability) — dokumentum, ahol feltünteti, hogy az A melléklet 114 ellenőrzési pontjából melyeket alkalmazza és miért.
  • Kockázatelemzés — az eszközök, fenyegetések, sebezhetőségek azonosítására és a kockázat kiszámítására vonatkozó formális folyamat.
  • Surveillance audit — éves ellenőrző audit a tanúsítás után.
  • Újratanúsítás — teljes audit 3 évente.

Mikor kötelező vagy szükséges az ISO 27001 KKV-knak

A jogszabályok szerint: szinte soha közvetlenül, de sok esetben közvetve

Az ISO 27001-et egyetlen EU irányelv sem írja elő általánosan kötelezőnek. Azonban közvetve szükségessé válik ezekben a helyzetekben:

  • NIS2 által szabályozott szervezetek — az irányelv „megfelelő intézkedéseket” követel meg, és az ISO 27001 de facto elfogadott bizonyítékként ismert el. Nélküle az ellenőrzéskor nehezebb a helyzete.
  • DORA által szabályozott szervezetek — pénzügyi intézmények ICT harmadik fél szolgáltatói számára a tanúsítás gyakorlatilag elvárás.
  • Közigazgatás és stratégiai szektorok — a kiberbiztonsági törvények (Magyarországon az állami és kritikus infrastruktúra biztonságát szabályozó jogszabályok) az ISO/IEC 27001/27002 szabványokra hivatkoznak referencia-standardként.

A piac szerint: egyre gyakrabban

2026-ban az ISO 27001-et belépési feltételként találkozhat ezekben a kontextusokban:

KontextusKövetelmény gyakoriságaAz elmaradás költsége
Tender nagy autóipari cégnélMagasKizárás a közbeszerzésből
Banknak / biztosítónak való szállításMagasDiszkvalifikáció
200 000 EUR feletti közbeszerzésKözepes–magasExtra pontok vagy kizárás
Állami intézménnyel való szerződésMagasFokozott dokumentáció
EU nagyvállalati ügyfelek számára SaaSKözepesHosszabb szállítói átvilágítás
KiberbiztosításKözepesMagasabb biztosítási díj

Példa a gyakorlatból: az AMCEF csoport (amelyhez a Modulario tartozik) 2024-ben szerezte meg az ISO 27001-et főként azért, mert 10 legnagyobb potenciális ügyfelük közül 5 előfeltételként követelte a tanúsítást az ajánlati eljáráshoz.

Hogyan zajlik a tanúsítás: ütemterv és költségek

1. fázis: Előkészítés (2–4 hónap)

  • Gap elemzés — hol tartunk most vs. hol kell lennünk. Jellemzően 2–3 nap külső tanácsadó vagy belső projektmenedzser.
  • ISMS hatókör tervezése — az egész vállalat vagy csak egy részleg/termék? KKV-knál az egész vállalattal való kezdést ajánljuk (egyszerűbben fenntartható, hosszú távon olcsóbb).
  • Szabályzatok és eljárások — jellemzően 25–35 dokumentum: biztonsági szabályzat, hozzáférési szabályzat, adatosztályozás, incidenskezelési terv, BCP, szállítói szabályzat stb.
  • Kockázatelemzés — eszköznyilvántartás (szerverek, alkalmazások, adatok, emberek, szállítók), fenyegetésmodellezés, kockázatkezelési terv.
  • Ellenőrzések bevezetése — technikai (MFA, monitorozás, titkosítás, biztonsági mentés) és szervezeti (képzés, magatartási kódex, szállítói onboarding).

2. fázis: Belső audit és menedzsment felülvizsgálat (1 hónap)

Külső audit előtt igazolni kell, hogy a rendszer legalább 3 hónapja működik. Ez azt jelenti:

  • Legalább egy belső auditciklus megállapításokkal és korrekciós intézkedésekkel.
  • Menedzsment felülvizsgálat (értekezleti feljegyzés, ahol az ISMS teljesítményét megvitatják).
  • Aktív naplók, incidensrekordok, képzési feljegyzések.

3. fázis: Tanúsítási audit (1–2 hónap)

Külső tanúsító szervezet (Magyarországon pl. TÜV SÜD, Bureau Veritas, SGS, DEKRA) kétlépéses auditot végez:

  • 1. szakasz: Dokumentációs felülvizsgálat. Az auditor 1–2 napra jön és ellenőrzi, hogy megvan-e az összes dokumentum.
  • 2. szakasz: Megvalósítási audit. Az auditor 2–5 napig (a vállalat méretétől függően) ellenőrzi, hogy ami a dokumentumokban szerepel, az ténylegesen meg is történik. Interjúkat készít az emberekkel, naplókat ellenőrzi, mintavizsgálatot végez.

Ha átmegy „major non-conformity” nélkül, 3 éves érvényességű tanúsítványt kap kötelező éves surveillance auditokkal.

Költségek

Egy 20–80 alkalmazottas KKV esetén:

TételÁr tartomány
Gap elemzés + konzultáció3 000–8 000 EUR
Belső megvalósítás (1 fő részleges munkaideje 4–6 hónapig)6 000–15 000 EUR bér
Tanúsítási audit (1. + 2. szakasz)4 000–10 000 EUR
Surveillance audit / év1 500–3 500 EUR
Újratanúsítás / 3 év4 000–8 000 EUR
Összesen az első évben8 000–25 000 EUR

Tapasztalataink: ISO 27001 az AMCEF-nél és a Modulariónál

Az AMCEF csoport (a Modulario fenntartója) 2024-ben szerezte meg az ISO 27001 tanúsítványt. Íme a valós tanulságok, amelyek érdemes megosztani:

Ami segített

  1. Felhő-natív architektúra a kezdetektől. A Modulario EU infrastruktúrán fut natív titkosítással, MFA-val, audit naplóval és mentési megoldásokkal. Ez azt jelentette, hogy a technikai ellenőrzési pontok nagy része alapértelmezetten teljesített volt. On-premise örökölt rendszerekkel rendelkező vállalatok számára a tanúsítás lényegesen nehezebb.
  2. Dedikált személy. Volt egy emberünk, akinek az ISMS volt az elsődleges felelőssége (nem mellékteendőként) 4 hónapig.
  3. Külső tanácsadó a gap elemzéshez és a 0. szakaszhoz. Az 5 000 EUR-os befektetés 2 hónap tapogatózástól mentett meg.

Ami meglepett

  • A dokumentáció terjedelme. Kb. 30 szabályzattal és ~50 eljárással fejeztük be. Nem kell kitalálni — vannak sablonok, amelyeket lehet adaptálni.
  • A képzés terhe. Minden alkalmazottnak részt kellett vennie legalább 2 órás képzésen + éves ismétlő tanfolyamon. 50 fős vállalatnál ez évente 100 óra.
  • Szállítókezelés. Minden SaaS szállítót értékelni és nyilvántartani kell. Az Excel-táblázat gyorsan növekszik.

Mit csináltunk volna másképp

  • Korábban kezdtük volna az incidensek nyomkövetését. Az auditornak 3 hónap feljegyzés kellett; mi csak 2 hónappal a 2. szakasz előtt kezdtük el szisztematikusan gyűjteni. Szoros volt.
  • Következetesebb adatosztályozás. Feleslegesen sok időt töltöttünk az osztályozás „átírásával” public/internal-ból 4-szintű modellbe.

Mit jelent tanúsítványunk a Modulario ügyfeleinek

A Modulariót választó ügyfél automatikusan örökli a biztonsági ellenőrzési pontok nagy részét anélkül, hogy azokat magának kellene felépítenie:

  • Kizárólag EU-s hosting (Frankfurt, Prága) tanúsított adatközpontokkal.
  • Titkosítás tároláskor és átvitel közben — AES-256, TLS 1.3.
  • Audit napló minden modulban — GDPR, NIS2 és az ügyfél belső auditjával kompatibilis.
  • Szerepkör-alapú hozzáférés-vezérlés attribútumszintű konfigurálható jogosultságokkal az Emberek modullal.
  • 2FA / SSO támogatás (TOTP, WebAuthn, SAML, OIDC).
  • Mentés és DR terv meghatározott RTO < 8h és RPO < 1h.
  • Incidenskezelési folyamat <24h bejelentési SLA-val.
  • Szabványosított DPA a GDPR 28. cikke szerint.
  • Nyilvános alfeldolgozói lista előzetes jóváhagyási folyamattal.

Ez az ügyfél számára azt jelenti, hogy saját ISO 27001 auditjánál vagy NIS2 átvilágításnál hivatkozhat a Modulariora mint tanúsított szolgáltatóra, ahelyett, hogy maga építene dokumentációt a SaaS réteghez. Ez tucatnyi dokumentáció oldalt és hetek munkáját takarítja meg.

Biztonsági intézkedéseink részletesen a Biztonság oldalon és az AMCEF esettanulmányban találhatók.

Mikor NE fektessen be az ISO 27001-be

Az ISO 27001 nem univerzális gyógyszer. A befektetés nem éri meg, ha:

  • 2–8 fős cég, tanúsítást igénylő B2B szerződések nélkül.
  • Adatai alacsony kockázatúak (nyilvánosan elérhető információk, nagy léptékű személyes adatok nélkül).
  • Nem működik NIS2/DORA által szabályozott szektorokban.
  • Nincs 12 hónapos horizonton tervezett tender, ahol előírják.

Ebben az esetben ésszerűbb:

  1. GDPR-megfelelés fenntartása (20 pontos ellenőrzőlista).
  2. ISO 27001 tanúsított SaaS szolgáltató kiválasztása kritikus rendszerekhez (ERP, CRM, e-mail, fájltárolás).
  3. Alapvető technikai intézkedések (MFA, titkosítás, biztonsági mentés, szállítókezelés) és dokumentáció megléte.

Ha később szükség van tanúsítványra, szilárd alapjai vannak és az út gyorsabb.

Gyakran ismételt kérdések

Mennyi ideig tart az ISO 27001 megszerzése egy 30 fős vállalatnál? Reálisan 4–6 hónap a döntéstől a tanúsítványig, ha a vállalatnak felhő-natív architektúrája és dedikált személye van. On-premise környezetben vagy dedikált személy nélkül inkább 9–12 hónap.

Elegendő az ISO 27001, vagy SOC 2 is kell? Az EU B2B piacon az ISO 27001 a domináns. A SOC 2 elsősorban az USA piachoz és a pénzügyi szektorhoz szükséges. Ha USA ügyfeleket céloz meg vagy fintech SaaS szolgáltató, mindkét tanúsítvány növeli a megbízhatóságot. KKV-k számára az ISO 27001 az elsőbbség.

Mi van, ha az auditot kisebb nem-megfeleléssel zárom? A kisebb nem-megfelelés (minor non-conformity) nem ok a tanúsítvány megtagadására. Az auditor határidőt ad (jellemzően 1–3 hónap) a korrekciós intézkedésre. Nagyobb nem-megfelelés (major non-conformity) azt jelenti, hogy nem kap tanúsítványt, amíg ki nem javítja és működéséről nem tesz bizonyságot.

Tanúsíthatom-e csak a vállalat egyik részlegét? Igen, az ISMS hatókörét Ön határozza meg. Egy felhő SaaS termék esetén például csak azt a részleget tanúsítjuk, amely a terméket fejleszti és üzemelteti (engineering + ops + support), nem az egész anyavállalatot. Ez időt és költséget takarít meg. A hatókörnek azonban egyértelműen körülhatároltnak kell lennie és értelemszerűnek kell lennie az ügyfél számára.