Kapitola 7.3 vs. opatření A.6.3: kde ISO 27001 vyžaduje bezpečnostní povědomí
ISO/IEC 27001:2022 řeší bezpečnostní povědomí na dvou různých místech a tento rozdíl je u auditu podstatný. Kapitola 7.3 (v originále ISO 27001 clause 7.3) patří do závazného jádra normy (kapitoly 4 až 10) - nelze ji proto vyloučit z rozsahu: splnit ji musí každá organizace, která chce certifikát. Kapitola požaduje, aby si všechny osoby vykonávající práci pod kontrolou organizace byly vědomy tří věcí:
- politiky bezpečnosti informací - nejen toho, že existuje, ale co znamená pro jejich každodenní práci;
- svého příspěvku k efektivnosti ISMS, včetně přínosů, které zlepšená výkonnost bezpečnosti informací přináší;
- důsledků neplnění požadavků ISMS - tedy co se skutečně stane, když někdo pravidla obejde.
Opatření A.6.3 (povědomí o bezpečnosti informací, vzdělávání a školení; v originále control A.6.3) se nachází v příloze A. Opatření přílohy A se vybírají na základě hodnocení rizik a dokumentují v Prohlášení o aplikovatelnosti, takže A.6.3 je teoreticky volitelné. V praxi ovšem žádný auditor zdůvodnění jeho vyloučení nepřijme. Opatření požaduje, aby pracovníci a relevantní zainteresované strany absolvovali přiměřenou osvětu, vzdělávání a školení a dostávali pravidelné aktualizace politiky bezpečnosti informací i tematických politik podle toho, co je relevantní pro jejich pracovní pozici.
Nejjednodušší pomůcka pro rozlišení: kapitola 7.3 definuje výsledek (lidé si jsou vědomi), opatření A.6.3 mechanismus (program, který povědomí vytváří a udržuje). Výsledek auditoři testují rozhovory se zaměstnanci, mechanismus namátkovou kontrolou vašich záznamů. Uspět musíte v obojím.
Co musí školení bezpečnostního povědomí podle ISO 27001 pokrývat?
Minimální obsah určuje kapitola 7.3. Ať už má váš program jakoukoli formu - e-learning, prezenční školení, kampaně na intranetu - musí prokazatelně pokrývat politiku bezpečnosti informací, individuální roli každého člověka v ISMS a důsledky neshod. Právě třetí bod programy nejčastěji vynechávají: zaměstnanci by měli umět říct, co se stane, když bezpečnostní opatření obejdou - jak pro organizaci, tak pro ně samotné.
Opatření A.6.3 k tomu přidává relevanci podle role. Obecný roční e-learning pokryje základ, opatření však očekává obsah odpovídající konkrétní pracovní pozici. V praxi to znamená: finanční oddělení se školí na podvodné faktury a útoky typu „falešný šéf“, vývojáři na bezpečné programování, administrátoři na práci s privilegovanými přístupy - a všichni na rozpoznávání phishingu. Ten je největší plošnou hrozbou i v Česku: podle statistik Policie ČR tvořila v roce 2025 kriminalita v kyberprostoru 12,4 % veškeré registrované trestné činnosti (21 137 skutků, meziročně o 14,3 % více) a největší škody působí sériové útoky využívající sociální inženýrství a phishing. Do školení proto patří i lokální vzory útoků - například podvodné zprávy zneužívající značky České pošty nebo Zásilkovny, před kterými NÚKIB a Policie ČR opakovaně varují.
Test na chodbě: jak auditoři ověřují povědomí osobně
Auditoři ověřují pokrytí naživo, nejen na papíře. Standardní technikou je oslovit zaměstnance daleko od IT oddělení - recepční, koordinátora skladu - a zeptat se, co by udělali s podezřelým e-mailem nebo kde najdou bezpečnostní politiku. Pokud zní odpověď „netuším, zeptejte se IT“, vaše zdokumentované školení právě neprošlo zkouškou v terénu.
Jak často má školení podle ISO 27001 probíhat?
ISO 27001 žádné číslo nestanoví. Kapitola 7.3 o frekvenci mlčí a opatření A.6.3 požaduje pouze, aby školení a aktualizace politik byly pravidelné. Platí tu stejná logika „plánovaných intervalů“, kterou norma používá u interních auditů a přezkoumání vedením: interval si určíte sami, zdůvodníte ho vůči svým rizikům, zdokumentujete a pak ho dodržujete. Většina zjištění nevzniká špatně zvolenou kadencí, ale nedodržením té, kterou jste si zvolili.
Kadence, která u certifikačních auditů obstojí, vypadá takto:
- Nástup: školení bezpečnostního povědomí dříve, než nový kolega dostane přístup do systémů, doloženo za každou osobu;
- Roční opakovací školení: všichni zaměstnanci, aktualizovaný obsah, evidované dokončení;
- Průběžné posilování: krátké měsíční nebo čtvrtletní aktivity - phishingové simulace, mikrolekce, bezpečnostní zpravodaje;
- Aktualizace podle událostí: po změně politiky, relevantním incidentu nebo výrazné změně role.
Pokud vaše organizace spadá i pod nový zákon o kybernetické bezpečnosti (zákon č. 264/2025 Sb., dále nZKB, účinný od 1. listopadu 2025), volbu za vás zčásti udělaly prováděcí vyhlášky: vyhláška č. 409/2025 Sb. pro režim vyšších povinností vyžaduje plán rozvoje bezpečnostního povědomí s tématy podle přílohy č. 6, dokumentovaná školení i vyhodnocování jejich účinnosti; vyhláška č. 410/2025 Sb. pro nižší režim předepisuje pravidla bezpečného chování uživatelů, osvětu včetně vrcholného vedení a záznamy o školeních. Bezpečnostní opatření přitom musíte zavést do jednoho roku od registrace na Portálu NÚKIB. Požadavky na NIS2 školení zaměstnanců se s ISO 27001 do velké míry překrývají, takže jeden dobře navržený program obslouží oba rámce.
Jaké důkazy si certifikační auditor vyžádá?
Od uplynutí přechodného období IAF 31. října 2025 běží každý platný certifikát na revizi 2022 - všechny certifikáty ISO 27001:2013 pozbyly platnosti. Každý dozorový i recertifikační audit tedy nyní prověřuje kapitolu 7.3 a opatření A.6.3 v aktuálním znění. A auditoři se nezdržují u dokumentů politik - namátkově vybírají záznamy.
Kontrolní seznam důkazů o školení pro audit ISO 27001
- Dokumentovaný plán školení a osvěty: témata, cílové skupiny, harmonogram, vlastník - pod nZKB ho vykážete zároveň jako plán rozvoje bezpečnostního povědomí;
- Záznamy o absolvování se jmény, daty, tématy a verzí doručeného obsahu;
- Potvrzení o seznámení s politikami - podepsaná nebo digitálně potvrzená, vázaná na aktuální verzi politiky;
- Doklady o vstupním školení nově nastoupivších, včetně dodavatelů a brigádníků;
- Měření účinnosti: výsledky kvízů, metriky phishingových simulací, trendové reporty;
- Zápisy z přezkoumání vedením dokládající, že výsledky povědomí byly vyhodnoceny a promítnuty do opatření (kapitoly 9.1 a 9.3).
Vzorkování je cílené, ne náhodné. Typický auditor si vyžádá seznam z HR, vybere dva lidi nastoupivší v posledních šesti měsících, jednoho dodavatele a jednoho odcházejícího zaměstnance a chce vidět jejich kompletní stopu povědomí. Mezery právě u těchto okrajových případů - nikoli u dlouholetých kmenových zaměstnanců - jsou místem, kde většina zjištění ohledně důkazů začíná.
Jak phishingové simulace prokazují účinnost školení
Kapitola 9.1 vyžaduje, aby organizace vyhodnocovala výkonnost a účinnost ISMS - povědomí nevyjímaje. Tady narážejí e-learningové certifikáty na svůj strukturální strop: certifikát o dokončení dokazuje, že školení proběhlo, nikoli že se po něm někdo chová jinak. Auditoři si stále častěji pokládají logickou doplňující otázku: jak víte, že školení funguje?
Phishingové simulace jsou nejpřímější odpovědí, protože měří chování, ne docházku. Výchozí kampaň před školením a čtvrtletní kampaně po něm vyprodukují přesně ty metriky, které vyhodnocení účinnosti potřebuje: míru prokliků, míru zadání přihlašovacích údajů, míru nahlášení a skupinu opakovaně klikajících. Klesající míra prokliků a rostoucí míra nahlášení napříč kvartály je důkaz účinnosti v jediném grafu - realistické srovnávací hodnoty najdete v našich phishingových statistikách a postup čisté realizace kampaně v návodu, jak vytvořit phishingovou simulaci.
Přesně tuto mezeru má PhishGun zacelit: realistické kampaně s lokalizovanými šablonami v češtině, slovenštině a angličtině, mikroškolení v okamžiku, kdy zaměstnanec klikne, a přehledy lidského rizika, které vyexportujete jako důkazy připravené pro audit podle ISO 27001, nZKB i DORA.
Časté neshody u opatření A.6.3 a jak se jim vyhnout
Většina zjištění souvisejících s povědomím jsou méně závažné neshody - jenže neshoda při auditu ISO 27001, která se opakuje napříč dozorovými audity, se eskaluje a slabé důkazy o povědomí podkopávají důvěru auditora ve zbytek ISMS. Opakující se zjištění:
- Chybí záznamy nových kolegů nebo dodavatelů. Náprava: udělejte z bezpečnostního vstupního školení blokující krok nástupního procesu, vlastněný HR, nikoli dobrou vůlí.
- Zaměstnanci neumějí popsat své povinnosti (test na chodbě). Náprava: kratší a častější komunikace porazí jedno roční maratonské školení, které si nikdo nepamatuje.
- Jednorázové školení bez opakovacího cyklu. Náprava: kadenci zapište do plánu školení a termíny do kalendáře.
- Žádné měření účinnosti. Náprava: minimálně výsledky kvízů; ideálně pravidelný phishingový test zaměstnanců s reportováním trendů.
- Důsledky neshod nebyly nikdy komunikovány. Náprava: uveďte je v politice i ve školení a nechte si od lidí potvrdit obojí.
- Obsah školení zastaral po změnách politik. Náprava: verzujte obsah a navažte aktualizace na cyklus revizí politik.
Jeden program, tři rámce: ISO 27001, NIS2 a DORA
Pokud je ISO 27001 vaším prvním rámcem, navrhněte program povědomí tak, aby jeho záznamy uspokojily i regulace, které přijdou po něm. Směrnici NIS2 (2022/2555) v Česku provádí zákon č. 264/2025 Sb. s požadavky na základní kybernetickou hygienu a školení a nařízení DORA (2022/2554) dělá z programů povědomí o bezpečnosti ICT povinné školicí moduly pro finanční subjekty pod dohledem ČNB. Stejný plán školení, záznamy o absolvování a metriky simulací mohou sloužit všem třem.
| Požadavek | ISO 27001:2022 | NIS2 / nZKB | DORA |
|---|---|---|---|
| Školení povědomí pro všechny zaměstnance | Kapitola 7.3 + opatření A.6.3 | Čl. 21 odst. 2 písm. g) směrnice; vyhlášky č. 409/2025 a 410/2025 Sb. | Čl. 13 odst. 6 - povinné školicí moduly |
| Školení vedení | Kapitola 7.3 platí pro všechny; kapitola 5.1 - vůdčí role | Čl. 20 odst. 2 - školení členů vedoucích orgánů; osvěta vrcholného vedení dle vyhlášky č. 410/2025 Sb. | Čl. 13 odst. 6 zahrnuje vrcholné vedení |
| Hloubka podle role | A.6.3 - relevantní pro pracovní funkci | Rizikový přístup; témata dle přílohy č. 6 vyhlášky č. 409/2025 Sb. | Čl. 13 odst. 6 - náročnost odpovídá roli |
| Dodavatelé a třetí strany | Kapitola 7.3 - osoby pracující pod kontrolou organizace | Bezpečnost dodavatelského řetězce, čl. 21 odst. 2 písm. d) | Čl. 30 odst. 2 písm. i) - zapojení poskytovatelů ICT, je-li to vhodné |
| Důkazy účinnosti | Kapitola 9.1 - monitorování a vyhodnocování | Vyhláška č. 409/2025 Sb. - dokumentované vyhodnocování účinnosti | Průběžný rozvoj znalostí podle čl. 13 |
Jeden program, jedna sada záznamů, několik adresátů reportingu - velmi podobné otázky klade princip odpovědnosti podle GDPR i upisovatelé kybernetického pojištění. Strukturu záznamů postavte jednou a každý artefakt označte rámci, kterým slouží.
Další kroky: postavte důkazy dřív, než přijde audit
V Česku bývá certifikace ISO 27001 prvním rámcem, který si menší a střední firma osvojí - typicky proto, že ji vyžadují zákaznické smlouvy a zadávací dokumentace tendrů. Berte proto program bezpečnostního povědomí jako obchodní aktivum, ne odškrtnuté políčko: dokumentovaný plán, úplné záznamy a behaviorální metriky, které prokazují, že školení skutečně mění chování lidí.
Praktická 90denní sekvence před auditem: potvrďte aktuálnost plánu školení, doplňte chybějící záznamy u nových kolegů a dodavatelů, spusťte výchozí phishingovou kampaň, proveďte opakovací školení a poté druhou kampaní doložte trend. První phishingová kampaň s PhishGunem je zdarma - bez platební karty - a ceník za zaměstnance je veřejný, takže můžete auditorovi předložit skutečné důkazy účinnosti ještě před začátkem certifikačního cyklu.
Časté otázky
Musí školením podle ISO 27001 projít i dodavatelé a externisté?
Ano. Kapitola 7.3 se vztahuje na osoby vykonávající práci pod kontrolou organizace, tedy i na dodavatele, agenturní pracovníky a stážisty působící v rozsahu ISMS. Auditoři záznamy externistů vzorkují záměrně, protože právě tam se mezery skrývají nejčastěji. Pokryjte je stejným vstupním školením, potvrzením politik a tam, kde to dává smysl, i stejnými phishingovými simulacemi jako zaměstnance.
Stačí jako důkaz pro kapitolu 7.3 podepsaná prezenční listina?
Ne. Prezenční listina dokládá účast, nikoli povědomí. Auditor záznamy ověřuje rozhovory se zaměstnanci a kontroluje, zda byla vyhodnocena účinnost, jak vyžaduje kapitola 9.1. Podpisy si nechte, ale zaznamenávejte i téma, datum a verzi obsahu školení a doplňte je alespoň jedním měřením účinnosti - výsledky kvízů nebo phishingových simulací - aby záznamy ukazovaly výsledky, nejen přítomnost.
Co dělat se zaměstnanci, kteří ve phishingových simulacích opakovaně klikají?
Definujte dokumentovaný, odstupňovaný postup: okamžité mikroškolení ve chvíli kliknutí, cílené opakovací školení po druhém selhání a poté rozhovor za účasti nadřízeného. Vyhněte se tvrdým postihům - odrazují od hlášení incidentů, které auditoři rovněž prověřují. Dokumentovaný proces práce s opakovaně klikajícími je silným důkazem, že vaše smyčka zlepšování podle kapitoly 10 skutečně funguje.
Vyžaduje ISO 27001 phishingové simulace?
Výslovně ne - norma je nikde nejmenuje. Kapitola 9.1 ale vyžaduje vyhodnocování účinnosti bezpečnostních opatření včetně povědomí a simulace jsou nejpřímějším dostupným měřením skutečného chování. V praxi proto řada certifikačních auditorů považuje pravidelné phishingové simulace s reportováním trendů za nejsilnější důkaz účinnosti, jaký může program bezpečnostního povědomí předložit.
Platí ještě můj starší certifikát ISO 27001:2013?
Ne. Podle přechodných pravidel IAF skončila platnost všech certifikátů ISO 27001:2013 dnem 31. října 2025 bez ohledu na datum uvedené na certifikátu. Organizace, které přechod nestihly, jsou posuzovány jako noví žadatelé a musí projít úplným počátečním certifikačním auditem podle ISO 27001:2022 - včetně požadavků na povědomí v kapitole 7.3 a opatření A.6.3.