Бюджетна грешка №1: 8 от 10 управители одобряват бюджет, който покрива само CB одиторската такса и една консултантска оферта, без да резервират ресурс за вътрешното време. Резултатът е дублирано забавяне в седмиците, когато ИТ ръководителят е затрупан с документация и едновременно ескалира продуктови инциденти. Винаги резервирайте 25-35 на сто от пълния бюджет като "вътрешен буфер" - това може да е допълнителен junior служител за 6 месеца или временен contractor за административна поддръжка.

Фаза 1: Gap assessment и scope definition (3-4 седмици)

Външен консултант прави независим преглед на текущите процеси спрямо изискванията на ISO 27001 и приложимите контроли от Анекс A. Резултат: списък от 60-120 gaps, приоритизирани, с оценка на вътрешно усилие за всеки. Едновременно дефинирате scope statement - кои бизнес функции, активи, локации, договори, продукти влизат в обхвата на ИСМС. Грешка тук удължава всичко после с 3-6 седмици.

Готови да преминете напред: имате одобрен от ръководството scope statement и gap report.

Фаза 2: Risk assessment и Statement of Applicability (4-6 седмици)

Структуриран risk assessment по ISO 27005 (или вътрешен еквивалент) обхваща активи, заплахи, уязвимости, и оценява inherent vs residual риск. SoA документира всичките 93 контрола от Annex A на ISO/IEC 27002:2022 с обосновка защо всеки е приложим или не. Това е документ номер 1, който одиторът ще иска и ще го прегледа ред по ред. Опит за съкращаване с copy-paste от шаблон е първият червен флаг, който всеки добър одитор разпознава за 5 минути.

Готови да преминете напред: SoA одобрен от ръководството и risk register с поне 25 идентифицирани риска.

Фаза 3: Policy и documentation buildout (6-10 седмици)

Тук пишете задължителните политики и процедури: Information Security Policy, Access Control, Cryptography, Physical Security, Operations Security, Communications Security, Acquisition/Development/Maintenance, Supplier Relationships, Incident Management, Business Continuity, Compliance. Между 12 и 22 документа за типичен ИСМС. Едновременно установявате operating evidence - регистри, дневници, форми за достъп, форми за onboarding/offboarding, supplier reviews. Това е фазата, в която вътрешното време е най-голямо.

Готови да преминете напред: пълен policy set одобрен от ръководството, започнато operating evidence collection.

Фаза 4: Technical controls implementation (4-8 седмици, паралелно с Фаза 3)

Внедрявате конкретните технически контроли, които gap assessment е идентифицирал: MFA на всички потребители, MDM за служебни и BYOD устройства, log retention за 12 месеца, vulnerability scanning, backup verification, encryption в покой и при пренос, secure SDLC за разработчици. Тази фаза може да върви успоредно с Фаза 3, ако имате капацитет в ИТ екипа. Технически контроли без операционно evidence не са достатъчни - одиторът ще иска 2-3 месеца история на работа на контрола, не само факта, че е включен.

Готови да преминете напред: 90 на сто от приоритетните контроли от gap report са приложени и работят с evidence.

Фаза 5: Internal audit и management review (3-4 седмици)

ISO 27001 изисква независим вътрешен одит преди certification audit. Не може да бъде извършен от лицата, които са изградили ИСМС-а - конфликт на интерес. Често консултантската фирма доставя това като отделна услуга, или ангажирате втори независим консултант. Резултат: вътрешен одиторски доклад с 5-20 findings, които ви дават шанс да ги отстраните преди реалния одит. Management review е официално заседание на ръководството, документирано с протокол, в което се преглеждат рисковете, инцидентите, и ефективността на ИСМС-а.

Готови да преминете напред: вътрешен одит завършен с приет remediation план, management review протокол подписан.

Фаза 6: Certification audit - Stage 1 и Stage 2 (4-8 седмици елapsed)

CB изпраща одитор за двуфазен одит. Stage 1 (1-3 дни) е documentation review с дискусия на място - одиторът проверява дали имате необходимите документи и дали ИСМС-ът е "одитимо" в текущото състояние. Между Stage 1 и Stage 2 имате 4-8 седмици да отстраните issues. Stage 2 (2-7 дни според размера) е операционен одит - одиторът тества дали процесите работят на практика, говори с служители, проверява evidence, валидира контролите. Резултат: ако нямате major nonconformities, получавате препоръка за сертификация. Сертификатът се издава 2-4 седмици по-късно след одобрение от CB-то.

Готови да преминете напред: сертификатът е във вашите ръце.

Грешка 1: Избор на консултант на най-ниската оферта без проверка на опит

Класическата приказка от април тази година: 65-човешка финансова компания в София беше получила 4 оферти от 16 000 до 38 000 EUR за пълна подготовка. Избрали най-ниската с консултант, който беше "минал ISO 27001" по 4 случая, но всички в производствен сектор. След 4 месеца ситуацията: SoA е написан като шаблон с copy-paste от друг проект, risk assessment не отчита SaaS-специфични рискове, policy документите не са свързани с реалните процеси на компанията. Stage 1 одиторът отказва да го приеме и препоръчва 3 месеца допълнителна работа. Финална цена на проекта стигна 46 000 EUR с трети консултант, който ремоделира всичко. Препоръка: винаги изисквайте 3-5 референции от консултанта в подобен сектор и подобен размер, и говорете с поне 2 от тях.

Грешка 2: Едновременно стартиране на ISO 27001 и SOC 2 без обединен план

Имате двама западни клиента - единият иска ISO 27001, другият иска SOC 2 Type 2. Логичната реакция е "ще направим и двете заедно". На практика двата стандарта имат 70-75 на сто припокриване на контроли, но различни рамки за документация, различен formal language, и различни сертификационни процеси. Без consultant с реален опит и в двете и без обединен control mapping в първите 30 дни, екипът ви ще документира едно и също два пъти, ще пише две различни политики за access control, и ще се обърка кои evidence ходи за кой одит. Това удължава всеки timeline с 6-10 седмици и добавя 30-50 на сто към консултантската такса. Препоръка: ако правите и двете, започнете с unified control mapping и общ policy set от ден 1, или ги разделете със 4-6 месеца разлика (направете SOC 2 първо, после ISO 27001 като extension).

Грешка 3: Отлагане на risk assessment до Фаза 2 е свършила

Risk assessment изглежда "административна задача" и често се отлага до края, когато всички политики са вече написани. Това е тактическа грешка с дълбоки последствия. ISO 27001 изисква risk assessment да бъде входът, който определя кои контроли са приложими и как точно са конфигурирани. Ако направите risk assessment последен, ще откриете, че част от вашите политики не отразяват реалните рискове - например, че сте написали "encryption at rest" политика без да сте оценили дали PII е в обхвата, или че имате supplier risk процес, който не покрива cloud услугите, които използвате. Преработката е скъпа и забавя проекта с 4-6 седмици. Препоръка: risk assessment не може да чака. Започва паралелно със scope definition в първите 4 седмици.

Грешка 4: Липса на executive sponsor с реален мандат

Изненадващо честа грешка. ИТ ръководителят се ангажира с проекта, но няма executive sponsor (CEO, COO, CTO с мандат) с реална бюджетна и оперативна власт. Когато sales team трябва да направи compliance training (4 часа х 18 души), маркетинг отдел трябва да попълни data inventory, или финансовият отдел трябва да предостави доказателства за процеси, започва бавна разпра за приоритети. ИТ ръководителят без executive backing не може да наложи. Резултат: проектът се движи 60 на сто скорост, фаза 3 се удължава от 8 до 14 седмици, и накрая идва специален executive meeting "трябва да побързаме за одита". Препоръка: формализирайте executive sponsor в първата седмица с charter document, ясни KPI-та, и месечни steering committee meetings.

Грешка 5: Късно ангажиране на сертификационен орган

"Ще намерим CB, когато сме готови за одит" е разпространено мислене. Реалността: добрите CB-та имат опашка 6-12 седмици за Stage 1, и още 6-10 седмици от Stage 1 до Stage 2. Ако чакате до месец 6 на проекта да започнете разговори с CB-то, не получавате одит до месец 9-10. Това е особено критично, ако имате договорен срок за клиента ("до края на годината"). Препоръка: ангажирайте CB-то паралелно с Фаза 2-3 (около месец 2-3 на проекта). Подписвате договор и резервирате слотове за Stage 1 и Stage 2, без да плащате авансово за всичко. Това дава предсказуемост на крайния срок и понякога възможност за по-добри тарифи (CB-тата понякога предлагат отстъпки за ранно резервиране).

Път 1: Български акредитиран CB (6-11 хил. EUR, 9-12 седмици)

Sertikon, MOODY-CSR и LL-Certification са трите български акредитирани от ИА БСА CB-та с пълно признаване по IAF MLA. Сертификатът е технически еквивалентен на всеки международен. Подходящ за компании с предимно български или регионален клиентски pipeline (Балкани, Гърция, Румъния, Сърбия), без големи DACH или UK корпоративни клиенти. ОЕЦ, КЗЛД, БНБ, КФН и АДФИ всички приемат сертификат от български CB. По-нисък ценови диапазон, локални одитори със познание на българския контекст (включително езикови нюанси в политики), по-бърза заявка (2-3 седмици срещу 6-8 при международни). Слаби страни: по-малко разпознаваема марка извън региона, и понякога по-малък опит със специфични технически домейни (SaaS, FinTech).

Подходящо за: компания 25-80 души с локален и регионален pipeline, без големи западни корпоративни клиенти. Намалявате цената с 40-50 на сто срещу международен CB.

Път 2: Международен CB с офис в България (12-22 хил. EUR, 10-13 седмици)

TÜV NORD, DNV, SGS и Bureau Veritas имат локални офиси в София с одиторски екипи 4-8 души всеки. Издават сертификат със същата марка, която издават в Германия, Нидерландия, Австрия. Подходящ за компании с DACH (Германия, Австрия, Швейцария), Северна Европа (Холандия, Швеция, Дания) или ЕС регулиран pipeline. Разпознаваема марка при големи корпоративни купувачи. Има висока вариативност между четирите по отношение на профил: TÜV NORD е силен за DACH регулирани сектори (38-52 на сто предпочитание при банки и фарма), DNV е силен за SaaS и финтех с инженерен фон на одиторите, SGS е универсален играч с най-големия локален екип, Bureau Veritas е гъвкав по цена и силен за франкофонски pipeline. Цената е 1.7-2.4 пъти спрямо български CB.

Подходящо за: компания 50-200 души с DACH/Nordic корпоративни клиенти или регулирани сектори. Стандартният избор за повечето български SaaS, FinTech и финансови услуги.

Път 3: BSI или други tier-1 международни CB-та (18-28 хил. EUR, 12-14 седмици)

BSI (British Standards Institution) е автор на оригиналния стандарт BS 7799, на който се базира ISO 27001. Подходящ за компании с UK корпоративен pipeline (банки в Сити, FCA-регулирани, insurance брокери), компании в подготовка за IPO на LSE, или такива с глобален Fortune 500 portfolio. Глобална марка с най-високо разпознаване в англоезичните пазари. По-висока цена (1.3-1.5 пъти спрямо TÜV NORD), и понякога по-дълга опашка за заявка (6-10 седмици след подписване на договора). LRQA (LR's certification arm) и DNV Global Services са подобни в позиционирането, но с различни регионални предпочитания.

Подходящо за: компания 100-300 души с UK pipeline или IPO подготовка. Маркова стойност понякога възвръща инвестицията със следваща голяма сделка.

Хибриден подход за 80+ души: една от тактиките, които препоръчваме при бюджетни ограничения, е стартиране с български CB за първите 3 години (намалена цена), след това смяна към международен CB на re-сертификация (Год. 4). Това спестява 25-40 на сто на първия цикъл, дава време да валидирате дали наистина имате нужда от international brand, и при смяна Год. 4 често CB-тата дават отстъпки 25-35 на сто срещу нов клиент. Минусът: част от клиентите ви могат да поискат "BSI или TÜV" още от ден 1 - проверете това преди да тръгнете по този път.

Направете ISO 27001, ако:

• Един или повече настоящи или потенциални клиенти изрично изискват сертификат до конкретна дата.
• Продавате на корпоративни клиенти 500+ души, особено в банки, застраховане, фарма, енергетика, автомобили в DACH или UK.
• Имате SaaS продукт с PII или платежни данни и таргетирате enterprise купувачи.
• Кандидатствате за големи ЕС публични поръчки, в които сертификатът е критерий.
• Cyber insurance брокерът ви е цитирал ISO 27001 като намаление на премията.

Отложете или не правете ISO 27001, ако:

• Имате под 15-20 души и продавате основно на SMB клиенти без compliance изисквания. SOC 2 Type 1 (или дори attestation letter) е по-евтиния и достатъчен първоначален ход.
• Управителният екип не може да отдели 6-9 месеца концентрирано внимание (обикновено защото е в средата на product launch или Series A набиране).
• Бюджетът ви не позволява долния край на диапазона (18 000 EUR за 30-човешка компания) без да компрометира друго.
• Клиентите ви приемат алтернативни доказателства - писма за attestation, vendor security questionnaire отговори, penetration test reports.

Можем ли да направим ISO 27001 само с вътрешни ресурси, без външен консултант?

Технически - да. Практически - изключително рядко успешно. Имали сме само 2 от 31 ангажимента, в които компанията е стартирала "без помощ", и в двата случая се ангажираха с нас в месец 4-5 след като осъзнаха колко работа е останала. Цената става сравнима или по-висока (вътрешно време + нашата работа за финализиране) при по-дълъг общ срок. Препоръка: ако имате ИТ ръководител с предходен реален опит с ISO 27001 в подобен сектор (не "е чувал за стандарта"), можете да си спестите 30-50 на сто от консултантската такса с по-фокусиран ангажимент.

Колко струва подновяване след първите 3 години?

Re-сертификационният одит на 3-та година е средно 70-80 на сто от стойността на първоначалния Stage 2 одит. За 100-човешка компания това е приблизително 8 000-13 000 EUR. Между re-сертификациите имате 2 surveillance (наблюдателни) одита годишно, всеки 30-40 на сто от Stage 2 цената. Цялостно: за пълен 3-годишен цикъл (стартиращ от 4-та година) трябва да резервирате 60-70 на сто от първоначалния общ разход. Консултантска работа намалява драстично - ИСМС-ът е изграден, нуждаете се само от поддръжка и подготовка за всеки одит (5-15 хил. EUR годишно за компания 100 души).

Какво се случва, ако не минем Stage 2 одита?

При identified major nonconformities на Stage 2 одита получавате 90 дни да ги отстраните, след което CB-то прави targeted follow-up одит (1-2 дни, 1 500-3 000 EUR), за да валидира корекциите. Ако и тогава не минете, получавате nonconformity report и трябва да повторите Stage 2 (50-70 на сто от първоначалната цена). Това е изключение, не правило: при добра подготовка с reasonable консултант и реален вътрешен ангажимент, шансът за major nonconformity на Stage 2 е под 10 на сто. Класически случаи на провал: пропуснат internal audit, риск assessment с copy-paste, технически контрол който не е работил последните 3 месеца.

Как се различава ISO 27001:2022 от ISO 27001:2013, който познаваме?

ISO 27001:2022 е актуалната версия (издадена октомври 2022). Прехвърлянето от 2013 версията беше задължително до 31 октомври 2025 за всички съществуващи сертификати. Основните разлики: Annex A има 93 контрола (срещу 114 в 2013), реорганизирани в 4 теми (Organizational, People, Physical, Technological); няколко нови контрола (Threat intelligence, Information security for cloud services, ICT readiness for business continuity, Data masking, Web filtering, Secure coding); обновени изисквания за supplier management и data protection. Новите компании сертифицират директно по 2022 версията.

Кой стандарт да изберем: ISO 27001 или SOC 2, ако имаме и западни и европейски клиенти?

Бърз тест: ако 60+ процента от обема ви идва от ЕС/UK/DACH, започнете с ISO 27001. Ако 60+ процента идва от САЩ, започнете със SOC 2 Type 1, после Type 2. Ако е смесено 40-60, направете оба паралелно с unified control mapping (виж Грешка 2). При наша работа в смесен профил препоръчваме SOC 2 Type 1 първо (2-3 месеца, 18-28 хил. EUR), след това ISO 27001 като extension (4-5 допълнителни месеца, 22-35 хил. EUR за 100-човешка). Това дава по-бърз ROI на SOC 2 страната и плавно прехвърляне към пълна compliance posture.

Покрива ли ISO 27001 изискванията на НИС2 и DORA в България?

Не напълно, но дава 70-80 на сто от основата. НИС2 (транспониран в ЗКС с краен срок 1 юни 2026) и DORA (за финансов сектор от януари 2025) имат специфични изисквания, които не се покриват от ISO 27001: 24-часов inicial report за инциденти, специфични контроли за ICT third-party risk (DORA), threat-led penetration testing (DORA TLPT), governance изисквания на ниво борд. ISO 27001 ИСМС е добра основа, върху която строите gap remediation за НИС2/DORA - намалява допълнителната работа значително, но не я елиминира. За българска финтех компания типичното покритие е 75-85 на сто на DORA и 80-90 на сто на НИС2 след ISO 27001 сертификат.