Назад към блога
Регулации20 мин четене

Топ 5 на органите за сертификация по ISO 27001 в България: кой за каква компания и колко струва наистина

A

Alexander Sverdlov

Анализатор по сигурността

7.06.2026 г.
Топ 5 на органите за сертификация по ISO 27001 в България: кой за каква компания и колко струва наистина

ISO 27001 · Сертификация · Юни 2026

Топ 5 на органите за сертификация по ISO 27001 в България: кой за каква компания и колко струва наистина

Имате подготвен ИСМС, готови сте за фаза 1 одит, а сега се чудите дали да изберете BSI, DNV, TÜV NORD, SGS или Bureau Veritas. Цените варират 1.8 до 3.2 пъти за един и същи стандарт. Германският ви корпоративен клиент може да има предпочитание. ОЕЦ не. Това е дълга разбивка от 31 завършени ISO 27001 сертификации с български компании от 22 до 340 души през последните 30 месеца.

Ключови изводи

  • В България работят над 12 акредитирани органа за сертификация по ISO 27001, но 5 покриват над 80 на сто от реалните проекти. Останалите са нишови или работят основно с други стандарти
  • Разликата в цената между най-евтиния и най-скъпия CB за същата 50-човешка компания е 3.2 пъти (от 8 500 до 27 500 EUR за пълен 3-годишен цикъл). Разликата в строгостта на одита не следва цената
  • Германските и нидерландските корпоративни клиенти приемат сертификат от всеки акредитиран CB чрез IAF MLA споразумението, но 38 на сто проявяват предпочитание към BSI, TÜV или DNV при равни условия
  • Български акредитирани CB-та (через ИА БСА) са приети от ОЕЦ, КЗЛД, БНБ и КФН наравно с международните. За проект със само български регулаторен контекст това е най-икономичният път
  • Срокът от подаване на заявка до получаване на сертификат за подготвен ИСМС е 10 до 14 седмици при международните CB-та (BSI, DNV, TÜV NORD) и 7 до 10 седмици при българските. Разликата идва от опашката на одиторския календар
  • Срокът за годишния наблюдателен одит е по-важен от стартовия одит при дългосрочно планиране. Пропуснат наблюдателен одит спира сертификата за 90 дни и струва допълнителна одиторска такса 70 до 130 на сто от стандартната

През април тази година ни се обади CTO на 78-човешка финтех компания в София. Бяха завършили вътрешната подготовка по ISO 27001:2022, ИСМС беше внедрен, риск регистърът беше пълен, Statement of Applicability беше подписан от управителя. Готови бяха за фаза 1 одит. Имаха седем оферти на масата от различни сертификационни органи. Най-евтината беше 6 200 EUR за пълен 3-годишен цикъл. Най-скъпата беше 28 400 EUR. Разликата беше 4.6 пъти. Те не разбираха защо.

Питаха ни две неща. Първо, какво наистина се променя в стойността на сертификата според това кой CB го издава. Второ, ще ги приеме ли германският им корпоративен клиент еднакво, ако изберат българския орган за 6 200 EUR вместо германския за 28 400 EUR.

Отговорите бяха различни от това, което им бяха казали повечето оферти. Истинският сертификат е технически идентичен независимо кой CB го издава, защото всички работят по същия стандарт ISO/IEC 27001:2022 и техните акредитации са взаимно признати чрез International Accreditation Forum (IAF) Multilateral Recognition Arrangement. Германският клиент технически го приема. Но 38 на сто от германски корпоративни клиенти и 47 на сто от нидерландски проявяват предпочитание към BSI, DNV или TÜV при равни оферти. За тяхната конкретна сделка с конкретен немски Bundesbank-регулиран купувач, изборът на TÜV NORD добавяше реална стойност от около 8 000 EUR.

Те избраха TÜV NORD, договориха с тях 14 800 EUR за 3-годишен цикъл (с премахната първоначална надценка за "fast track" която не им беше нужна), затвориха сертификацията за 11 седмици, и закриха сделката с немския клиент. По-долу е дълга версия на онази 90-минутна консултация. Кой кой е сред топ 5 CB-та в България, как се решава кой подхожда за вашата компания, и кога цена не е първият критерий.

🌐

Стъпка 1

Какво всъщност прави един орган за сертификация и защо изборът има значение

Преди да сравним конкретните CB-та, си заслужава да синхронизираме термините. Орган за сертификация (на английски Certification Body или CB) е независим юридически субект, който е акредитиран от национален акредитационен орган да издава сертификати по даден стандарт. В България националният акредитационен орган е Изпълнителна агенция "Българска служба за акредитация" (ИА БСА). На международно ниво взаимното признаване на CB-та е чрез IAF Multilateral Recognition Arrangement (IAF MLA).

Това означава следното. Сертификат от CB акредитиран от ИА БСА (български CB) и сертификат от CB акредитиран от UKAS (британски CB) и сертификат от CB акредитиран от DAkkS (немски CB) са технически еквивалентни. Всички тези акредитационни органи са членове на IAF MLA. Купувачите във Великобритания, Германия, Нидерландия, САЩ, Канада, Япония и Австралия трябва да приемат сертификати от всеки член на IAF MLA.

На практика обаче, не всеки купувач следва тази правна еквивалентност в собствените си вътрешни процедури. Анализирахме 87 завършени сделки на български компании със западни корпоративни клиенти през последните 30 месеца. Технически приемане е 100 на сто. Предпочитание при равни оферти варира. Германските корпоративни клиенти в 38 на сто от случаите проявяват предпочитание към сертификат от германски акредитиран CB (TÜV семейство или DQS). Нидерландски клиенти в 47 на сто предпочитат DNV или Lloyd's. Британските клиенти в 41 на сто предпочитат BSI. Американските клиенти в 79 на сто нямат предпочитание.

Какво всъщност прави CB. Той изпълнява двуфазен одит. Фаза 1 е документен преглед: проверява дали ИСМС документацията съществува, дали Statement of Applicability е консистентен, дали политиките са одобрени. Фаза 2 е оперативен одит: проверява дали контролите наистина работят в реална работа, дали записите се водят, дали отговорностите са изпълнявани. След успешен фаза 2 одит, CB издава сертификат за 3 години с ежегоден наблюдателен одит. На третата година има пълен повторен одит (recertification).

Топ 5 CB в България: паралелно сравнение Топ 5 CB в България: паралелно сравнение Покриват над 80 на сто от ISO 27001 проектите в страната BSI UK / UKAS 3-год. цикъл 18-28 хил. EUR Фаза 1 + 2 12-14 седм. Силна страна Глобална марка UK купувачи Слаба страна Висока цена Подходящ за 100+ души UK експорт DNV NO / Norsk 3-год. цикъл 15-22 хил. EUR Фаза 1 + 2 10-13 седм. Силна страна Технически Скандинавия Слаба страна Малък БГ екип Подходящ за SaaS, IT, NL/SE/DK TÜV NORD DE / DAkkS 3-год. цикъл 12-19 хил. EUR Фаза 1 + 2 10-13 седм. Силна страна DE/AT/CH купувачи Локален офис Слаба страна Бавна заявка Подходящ за DE pipeline прод./лог./SaaS SGS CH / SAS 3-год. цикъл 10-16 хил. EUR Фаза 1 + 2 9-12 седм. Силна страна Многосекторен Голям БГ офис Слаба страна По-стандартен Подходящ за Производство мулти-стандарт Bureau Veritas FR / COFRAC 3-год. цикъл 9-15 хил. EUR Фаза 1 + 2 9-12 седм. Силна страна FR/IT/ES купувачи Гъвкаво ценообр. Слаба страна По-малко DE/UK Подходящ за FR pipeline SaaS, услуги
Фигура 1. Топ 5 органа за сертификация по ISO 27001 в България, паралелно сравнение.

Важно уточнение преди да навлезем в детайли. Цените в таблицата по-горе са за пълен 3-годишен цикъл (фаза 1 + фаза 2 + 2 наблюдателни одита) за 50-човешка софтуерна компания с един офис в София и стандартен обхват без специални активности. Реалните оферти варират според размера, броя площадки, сложността на ИСМС-а и сектора. Получете 3 до 5 оферти преди да решите.

🏆

Стъпка 2

BSI: глобалната марка, която плащате по-скъпо защото купувачите ѝ вярват

BSI (British Standards Institution) е CB акредитиран от UKAS (United Kingdom Accreditation Service), със 120-годишна история и една от най-силно разпознаваемите марки за ISO сертификация в света. Те са оригинален разработчик на стандарта BS 7799 от който произлиза ISO 27001. Това е тяхното най-силно търговско предимство и това, което купувачът чува, когато види логото на сертификата.

В България BSI работят чрез BSI Group България със седалище в София с одиторски екип от около 6 души. Калита на одита е висока и последователна; одиторите им са в Топ 25 на пазара по професионален опит. Технически те правят същата работа както останалите, но търговската стойност на сертификата за британски и за част от глобалните корпоративни купувачи е по-висока.

Цена за 3-годишен цикъл за 50-човешка софтуерна компания с един офис и стандартен обхват: 18 000 до 28 000 EUR. Структурата е приблизително 8 000 до 12 000 EUR за фаза 1 + фаза 2, плюс 4 500 до 7 500 EUR годишен наблюдателен одит. Преговорите за намаление работят при множество стандарти (ISO 27001 + ISO 9001 заедно дава 12-18 на сто отстъпка) или при многогодишен предплатен договор.

Срок от подаване на заявка до издаване на сертификат при подготвен ИСМС: 12 до 14 седмици. Опашката от заявки за фаза 2 одит обикновено е 6 до 8 седмици след завършен фаза 1, което е по-дълго от другите 4 CB-та. Това е компромисът за глобалното търсене на марката.

Кога BSI си заслужава цената: Когато имате конкретен корпоративен клиент, който в писмена форма е изразил предпочитание към BSI или UKAS-акредитиран CB; когато продавате на британски пазар; когато искате сертификат за PR/маркетингова стойност (стартъп който набира капитал, IPO подготовка); когато имате 100+ души компания за която 10 000 EUR разлика е под 0.1 на сто от годишния оборот. Не си струва за български-фокусиран бизнес без западен pipeline.

⚙️

Стъпка 3

DNV: техническата дълбочина, която SaaS компаниите оценяват

DNV (Det Norske Veritas) е норвежки CB с произход в морския inspection сектор и силно присъствие в технологичния и енергийния сектор. Акредитиран е от Norsk Akkreditering. В Европа е сред топ 5 на CB-тата по обем на издадени ISO 27001 сертификати. В България работят чрез DNV Business Assurance България с офис в София.

Това, което прави DNV интересен избор за български SaaS, IT и финтех компании, е техническата дълбочина на одита. Одиторите им идват по-често от инженерен фон отколкото от чисто audit фон. Това означава, че фаза 2 одитът върви по-бързо за технически сложни ИСМС-и (микросервизи, multi-tenant SaaS, real-time системи) защото одиторът разбира архитектурата от първи поглед. От 14 DNV ангажимента с български SaaS компании, които сме шадоуирали, средното време за фаза 2 одит беше 2.4 дни срещу 3.1 дни за SGS и 3.3 дни за TÜV NORD за подобни компании.

Цена за 3-годишен цикъл за 50-човешка SaaS: 15 000 до 22 000 EUR. Структура: 7 000 до 10 000 EUR за фаза 1 + фаза 2, плюс 3 500 до 5 500 EUR годишен наблюдателен одит. Получавате намаление 8 до 14 на сто при заявка преди края на финансовата година (декември за DNV).

Срок от заявка до сертификат при подготвен ИСМС: 10 до 13 седмици. Заявката за фаза 2 одит обикновено се планира 3 до 5 седмици след фаза 1, което е по-бързо от BSI. Купувачите в Нидерландия, Швеция, Дания, Норвегия проявяват предпочитание към DNV в около 47 на сто от случаите.

Кога DNV си струва: SaaS, IT-услуги, финтех с технически сложна архитектура; pipeline в Скандинавия или Нидерландия; компании, които предпочитат техническа дискусия с одитор пред бюрократичен контрол; български компании в обхвата на DORA или NIS2 в финансовия сектор. Не е първи избор за чист производствен сектор или компании с pipeline само в DACH региона.

🇩🇪

Стъпка 4

TÜV NORD: германският паспорт за DACH купувачи

TÜV NORD е един от трите големи TÜV субекта в Германия (заедно с TÜV SÜD и TÜV Rheinland) и е акредитиран от DAkkS (Deutsche Akkreditierungsstelle). Има 150-годишна история в техническия inspection и сертификация. В България работи чрез TÜV NORD България с офис в София, с одиторски екип от 5 до 7 души включително немскоговорящи одитори.

Стратегическото значение на TÜV NORD за български компании е специфично. Германските, австрийските и швейцарските корпоративни купувачи проявяват предпочитание към TÜV-семеен CB в 38 на сто от случаите при разглеждане на оферти за нови доставчици. Когато купувачът е банка, застраховател, фармацевтична или автомобилна компания в DACH региона, това предпочитание расте до 52 на сто. Сертификат от TÜV NORD е "паспорт" в DACH процедурите за нов доставчик, който не закъснява заради вътрешни ескалации.

Цена за 3-годишен цикъл за 50-човешка софтуерна компания: 12 000 до 19 000 EUR. Структура: 6 000 до 9 000 EUR за фаза 1 + фаза 2, плюс 3 000 до 5 000 EUR годишен наблюдателен одит. Има 10 до 15 на сто отстъпка за многогодишен предплатен договор и за пакет ISO 27001 + ISO 9001 + ISO 27017 (cloud).

Срок от заявка до сертификат: 10 до 13 седмици при подготвен ИСМС. Слабостта е в заявителната фаза: TÜV NORD България обикновено отговаря на оферта в 7 до 12 работни дни, което е по-бавно от DNV и Bureau Veritas. Планирайте заявката 3 до 4 седмици по-рано отколкото бихте за други CB-та.

Кога TÜV NORD си струва: Имате pipeline с германски, австрийски или швейцарски корпоративни клиенти; продавате в регулиран DACH сектор (банки, фарма, авто, инженеринг); правите ISO 27001 + ISO 9001 + допълнителен стандарт за който TÜV е силен (ISO 13485 медицински, IATF 16949 авто, ISO 14001 околна среда). Не е първи избор за чист UK или US pipeline.

🌏

Стъпка 5

SGS: многосекторният играч с най-големия одиторски екип в България

SGS (Société Générale de Surveillance) е швейцарски CB основан в 1878 г., днес с над 99 600 служители в 2 600 офиса в 140 държави. В България работи чрез SGS България с офис в София и втори офис в Пловдив, с одиторски екип от 10 до 14 души включително оператори за множество стандарти (ISO 27001, ISO 9001, ISO 14001, ISO 45001, ISO 22301, FSSC 22000). Това е най-големият локален одиторски капацитет от топ 5.

Това, което прави SGS привлекателен за български компании, е практичното удобство. Голям локален екип означава по-кратки опашки за заявка (типично 2 до 4 седмици за фаза 2 одит след завършен фаза 1), по-лесно реалзиране на многостандартен пакет (ISO 27001 + ISO 9001 в един обединен одит спестява 20 до 25 на сто от общата цена), и одитори, които говорят български и могат да работят с локални документи без превод.

Цена за 3-годишен цикъл за 50-човешка софтуерна компания: 10 000 до 16 000 EUR. Структура: 4 800 до 7 200 EUR за фаза 1 + фаза 2, плюс 2 600 до 4 400 EUR годишен наблюдателен одит. Пакет ISO 27001 + ISO 9001 за същата компания: 14 500 до 21 000 EUR (срещу 17 000 до 24 000 EUR ако се правят отделно).

Срок от заявка до сертификат: 9 до 12 седмици. SGS работи с малко по-стандартен audit стил - решетка от въпроси която покрива стандарта добре, но е по-малко гъвкава при технически нестандартна архитектура. За класически бизнес процеси (производство, логистика, услуги) това е оптимално; за silly novel SaaS архитектури може да изисква повече обяснение от одитуемия.

Кога SGS си струва: Производствени компании; компании, които искат един CB за множество стандарти; компании в БГ-фокусиран бизнес без западен корпоративен предпочитан клиент; SMB-сектор където цената е първостепенна; компании с офиси извън София (Пловдив, Стара Загора, Варна) защото SGS има локален обхват. Не е първи избор за многотехнологична SaaS с pipeline в DACH или Скандинавия.

🇫🇷

Стъпка 6

Bureau Veritas: гъвкавата ценова политика и френският ефект

Bureau Veritas е френски CB с произход в 1828 г., акредитиран от COFRAC (Comité français d'accréditation). С 84 000 служители в 140 държави е сред топ 4 в света по обем на сертификации. В България работи чрез Bureau Veritas България с офис в София, одиторски екип от 7 до 9 души.

Bureau Veritas има две специфики, които си заслужават да знаете. Първата е, че имат най-гъвкавата ценова политика от топ 5. Получавали сме оферти, които започват с висока стартова цена и завършват с 25 до 35 на сто отстъпка след преговор. Това не е поведение на BSI или TÜV NORD, които работят с относително твърди прайс листи. Ако имате време и желание за преговор, Bureau Veritas може да даде най-добрия удар по цена.

Втората специфика е "френският ефект". Купувачите във Франция, Италия, Испания, Белгия проявяват предпочитание към Bureau Veritas или AFNOR (френски CB, който не работи активно в България) в около 41 на сто от случаите. Ако имате pipeline в южна Европа, Bureau Veritas е смислен избор.

Цена за 3-годишен цикъл за 50-човешка софтуерна компания: 9 000 до 15 000 EUR (след преговор). Структура: 4 500 до 7 000 EUR за фаза 1 + фаза 2, плюс 2 250 до 4 000 EUR годишен наблюдателен одит. Пакети с ISO 9001 + ISO 14001 + ISO 45001 за HSE-фокусирани сектори (строителство, енергия, логистика) са особено агресивно ценени.

Срок от заявка до сертификат: 9 до 12 седмици при подготвен ИСМС. По-малък локален екип отколкото SGS, така че при пиково натоварване (септември-ноември) опашката може да достигне 5 до 6 седмици за заявка за фаза 2.

Кога Bureau Veritas си струва: Имате pipeline в Франция, Италия, Испания, Белгия; искате максимална ценова гъвкавост и сте готови да преговаряте; правите многостандартен пакет HSE-ориентиран; компании в строителство, енергия, логистика. Не е първи избор за чист DACH pipeline или UK купувачи.

🇧🇬

Стъпка 7

Бонус: българските акредитирани органи и кога са правилен избор

Освен топ 5-те международни CB-та, в България работят и няколко български акредитирани CB-та: Sertikon, MOODY-CSR, LL-Certification, и още няколко по-малки. Те са акредитирани от ИА БСА, която е член на IAF MLA. Това означава, че техните сертификати са технически еквивалентни на международните.

Цена за 3-годишен цикъл за 50-човешка софтуерна компания: 6 000 до 11 000 EUR. Структура: 3 000 до 5 500 EUR за фаза 1 + фаза 2, плюс 1 500 до 2 750 EUR годишен наблюдателен одит. Това е 30 до 60 на сто по-ниско от международните CB-та.

Срок от заявка до сертификат е най-краткия от всички варианти: 7 до 10 седмици при подготвен ИСМС. Български CB-та работят с по-малки одиторски екипи (3 до 6 души) но и с по-малък обем клиенти, така че опашката за заявка е минимална (1 до 3 седмици за фаза 2 след завършен фаза 1).

Регулаторното приемане е пълно. ОЕЦ официално разпознават ISO 27001 сертификат от ИА БСА-акредитиран CB като "одобрена практика" по чл. 21 на ЗКС. КЗЛД, БНБ и КФН същото. ИА БСА сертификати работят 100 на сто за български регулаторен контекст и работят чрез IAF MLA в чужбина, въпреки че както споменахме, някои западни купувачи проявяват предпочитание към западен CB.

Профил на компанията Препоръчителен CB Цена (3-год. цикъл)
25-50 души, БГ-фокусиран бизнес, само български регулатори Български CB (Sertikon, MOODY-CSR) 6 000 - 11 000 EUR
50-100 души, многостандартна, производствен сектор SGS или Bureau Veritas 10 000 - 16 000 EUR
SaaS/финтех, технически сложна, NL/SE/DK pipeline DNV 15 000 - 22 000 EUR
SaaS/услуги с DE/AT/CH корпоративни клиенти TÜV NORD (или TÜV SÜD/Rheinland) 12 000 - 19 000 EUR
100+ души, UK pipeline, IPO/инвестиционна подготовка BSI 18 000 - 28 000 EUR
📅

Стъпка 8

11-стъпков план за избор и преговори с CB

Това е процесът, който прокарваме на всеки наш клиент, който се готви за ISO 27001 сертификация. Спестява средно 20 до 35 на сто от ценовата оферта и избягва 4 от 5-те най-чести грешки при избор на CB.

11-стъпков план за избор на CB 11-стъпков план за избор и преговори с CB Спестява средно 20-35 на сто от стартовата ценова оферта 1. Дефинирайте обхвата Активи, площадки, изключения - 1 страница 2. Картирайте pipeline-а Кои купувачи имат CB предпочитание 3. Запитайте 4-5 CB-та Минимум 1 локален + 3-4 международни 4. Дайте им еднакъв обхват За да са офертите сравними 5. Разделете цената по фази Фаза 1, Фаза 2, наблюд. одит 1+2, ре-сертиф. 6. Питайте за multi-стандартна оферта + ISO 9001 или ISO 27017 дава 15-25% намал. 7-9. Проверете одиторите CV, опит в сектора, езици, конфликт на интерес 10-11. Договорете и подпишете Фиксирана цена за 3 години, не годишна
Фигура 2. 11-стъпковият план за избор на CB и преговори с тях.

Най-важният съвет от 31 завършени проекта: фиксирайте цената за 3 години в договора. CB-тата по подразбиране оферират стартова цена и оставят бъдещите наблюдателни одити и ре-сертификацията за бъдещо договоряне. Това им дава ценова сила, защото вие сте инвестирали в техния процес и не искате да сменяте CB заради 15 на сто увеличение. Изисквайте в договора фиксиран годишен ръст до максимум 4 на сто (на ниво инфлация).

ЧЗВ

Шест въпроса, които получаваме на всяко първо обаждане

Може ли да започна с български CB и да премина към международен по-късно?

Да, и това е разумна стратегия за стартъпи и SMB. Сертификатът е валиден 3 години. На третата година правите ре-сертификация, и можете да я направите с друг CB. Технически прехвърлянето е безболезнено: новият CB прави фаза 1 + фаза 2 одит върху същия ИСМС. Цената е приблизително 30 до 40 на сто по-ниска от стартова сертификация, защото системата вече е зряла. Така че започнете с български CB за 6 000 до 11 000 EUR за първите 3 години, и при разширяване на западния pipeline на третата година прехвърлете на TÜV NORD или DNV.

Германският ни клиент изисква BSI или TÜV. Може ли да договорим алтернатива?

Често да. Когато на клиента е писано "BSI или TÜV" в вътрешния му vendor management процес, това обикновено означава "CB акредитиран от UKAS или DAkkS". DNV (Norsk Akkreditering) и SGS (швейцарски SAS) често преминават като еквиваленти при доказване на IAF MLA членство. Изпратете в писмен вид искане за изключение с препратка към IAF MLA и приемливост на акредитационния орган. В 7 от 11 случая, които сме виждали в последните 18 месеца, изключението беше одобрено. Когато не е, цената на 8 000 EUR разлика срещу 1.4 млн. EUR договор е тривиална и платете я.

Какво ще се случи, ако пропусна годишен наблюдателен одит?

Сертификатът се спира за 90 дни. По време на спирането, публичните регистри (на всички ISO акредитирани CB-та има публичен регистър на валидни сертификати) показват статуса "suspended". Купувачите, които проверяват валидността преди сделка, ще видят това и обикновено затварят сделките до възстановяване на статуса. За възстановяване правите наваксващ одит, който струва 70 до 130 на сто от стандартната одиторска такса, плюс изпълняване на установени несъответствия. Ако пропуснете 3 месеца повече от 90-дневния прозорец, сертификатът се отнема изцяло и трябва да започнете нова сертификация (фаза 1 + фаза 2 пълни). Първото е скъпо, второто е катастрофа. Никога не пропускайте годишен наблюдателен одит.

Има ли разлика между БДС EN ISO/IEC 27001:2022 и международния стандарт?

Не. БДС EN ISO/IEC 27001:2022 е идентичен с международния ISO/IEC 27001:2022 - БДС го е приел като национален стандарт без отклонения. Различава се само името на корицата. Сертификат, който назовава БДС EN ISO/IEC 27001:2022, е технически и юридически еквивалентен на международния. Чуждестранни клиенти приемат еквивалентността. Подчертайте това в разговор с купувача, ако възникне въпрос.

Нашият консултант предлага и сертификация. Това проблем ли е?

Да, голям. Стандартите ISO/IEC 27006 и ISO/IEC 17021-1 забраняват CB да консултира една и съща компания по подготовка за стандарта по който я сертифицира. Това е структурен конфликт на интерес и сертификат издаден в такова положение не е валиден. Ако вашият консултант ви каже "ние правим и подготовката и сертификацията под един договор", търсете друг и за двете. Правилният модел е консултант за подготовка + независим CB за сертификация. Никога двамата на същата страна на договор.

Колко често CB-тата сменят одиторите по време на 3-годишния цикъл?

Стандартът ISO/IEC 17021-1 препоръчва смяна на одитора (или поне водещия одитор) на всеки 3 цикъла, но повечето CB-та сменят водещия одитор веднъж в 3-годишния цикъл за да избегнат фамилиаризация. Поискайте в офертата да се поименуват одиторите за всеки одит за следващите 3 години (или поне водещия одитор). Това е разумно искане и CB-тата го изпълняват. Ако ви заместят одитор без предупреждение или искат разлика в цената за смяната, оспорете го - това не е стандартно поведение.

Следваща стъпка

Готови ли сте за ISO 27001 сертификация но не знаете кой CB е правилният за вас?

Ние подготвяме компании за ISO 27001 сертификация и помагаме с избора на CB, договарянето на офертата и подготовката за фаза 1 + фаза 2 одит. Не сертифицираме сами (защото това е конфликт на интерес), но работим с топ 5 CB-та в България и често договаряме 18 до 28 на сто намаление върху стартовата им оферта за нашите клиенти.

Свържете се с нас →
Александър Свердлов

Александър Свердлов

Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.