Článok 7.3 vs. opatrenie A.6.3: kde ISO 27001 vyžaduje povedomie
Norma ISO/IEC 27001:2022 rieši bezpečnostné povedomie na dvoch rôznych miestach a pri audite na tomto rozdiele záleží. Článok 7.3 (v anglickom origináli Clause 7.3) patrí do záväznej hlavnej časti normy (články 4 až 10), takže sa z rozsahu nedá vylúčiť: splniť ho musí každá organizácia, ktorá sa uchádza o certifikát. Článok vyžaduje, aby si všetky osoby vykonávajúce prácu pod kontrolou organizácie uvedomovali tri veci:
- politiku informačnej bezpečnosti - nielen to, že existuje, ale čo znamená pre ich každodennú prácu;
- svoj príspevok k účinnosti systému riadenia informačnej bezpečnosti (ISMS) vrátane prínosov, ktoré organizácii prináša lepšia informačná bezpečnosť;
- dôsledky nedodržania požiadaviek ISMS - teda čo sa reálne stane, keď niekto pravidlá obíde.
Opatrenie A.6.3 (povedomie o informačnej bezpečnosti, vzdelávanie a školenia; v origináli control A.6.3) sa nachádza v prílohe A. Opatrenia prílohy A sa vyberajú na základe posúdenia rizík a dokumentujú vo vyhlásení o aplikovateľnosti (SoA), takže A.6.3 je teoreticky voliteľné. V praxi však žiadny audítor zdôvodnenie jeho vylúčenia neakceptuje. Opatrenie vyžaduje, aby personál a relevantné zainteresované strany absolvovali primerané školenia a vzdelávanie a dostávali pravidelné aktualizácie bezpečnostnej politiky aj tematických politík - podľa toho, čo je relevantné pre ich pracovnú funkciu.
Najjednoduchšie ich od seba odlíšite takto: článok 7.3 definuje výsledok (ľudia majú povedomie), opatrenie A.6.3 definuje mechanizmus (program, ktorý povedomie vytvára a udržiava). Audítor testuje výsledok rozhovormi so zamestnancami a mechanizmus vzorkovaním vašich záznamov. Uspieť musíte v oboch.
Čo musí školenie bezpečnostného povedomia podľa ISO 27001 pokrývať?
Minimálny obsah určuje článok 7.3. Nech má váš program akúkoľvek formu - e-learning, prezenčné školenia, kampane na intranete - musí preukázateľne pokrývať politiku informačnej bezpečnosti, individuálnu rolu každého človeka v ISMS a dôsledky nezhôd. Práve tretí bod programy najčastejšie vynechávajú: zamestnanci by mali vedieť povedať, čo sa stane, keď bezpečnostné kontroly obídu - pre organizáciu aj pre nich samých.
Opatrenie A.6.3 následne dopĺňa relevantnosť pre rolu. Všeobecný ročný e-learning pokryje základ, opatrenie však očakáva obsah šitý na pracovnú funkciu. V praxi to znamená, že finančné oddelenie sa školí na faktúrové podvody a CEO podvod, vývojári na bezpečné programovanie, administrátori na prácu s privilegovanými prístupmi - a všetci na rozpoznávanie phishingu. Dôvod vidno aj na domácich číslach: podľa spoločnosti Check Point čelili slovenské organizácie v druhom polroku 2025 v priemere 1 842 útokom týždenne (medziročne o 27 % viac) a SK-CERT opakovane varuje pred podvodnými kampaňami, ktoré zneužívajú značky ako Slovenská pošta či identitu bánk.
Test na chodbe: ako audítor overuje povedomie naživo
Audítor overuje pokrytie naživo, nielen na papieri. Štandardnou technikou je osloviť zamestnancov čo najďalej od IT oddelenia - recepčnú, koordinátora skladu - a opýtať sa, čo by urobili s podozrivým e-mailom alebo kde nájdu bezpečnostnú politiku. Ak znie odpoveď „netuším, spýtajte sa IT“, vaše zdokumentované školenie práve neprešlo skúškou v teréne.
Ako často má školenie podľa ISO 27001 prebiehať?
ISO 27001 žiadne číslo nestanovuje. Článok 7.3 o frekvencii mlčí a opatrenie A.6.3 vyžaduje iba to, aby školenia a aktualizácie politík boli pravidelné. Platí tu rovnaká logika „plánovaných intervalov“, akú norma používa pri interných auditoch a preskúmaní manažmentom: interval si definujete sami, zdôvodníte ho voči svojim rizikám, zdokumentujete a potom ho dodržiavate. Väčšina zistení nevzniká zlou voľbou frekvencie, ale tým, že organizácia nedodrží tú, ktorú si sama zvolila.
Kadencia, ktorá pri certifikačných auditoch obstojí, vyzerá takto:
- Nástup: školenie bezpečnostného povedomia ešte pred pridelením prístupov do systémov, doložené za každú osobu;
- Ročné opakovacie školenie: všetci zamestnanci, aktualizovaný obsah, evidované absolvovanie;
- Priebežné posilňovanie: krátke mesačné alebo štvrťročné aktivity ako phishingové simulácie, mikrolekcie či bezpečnostné bulletiny;
- Mimoriadne aktualizácie: po zmene politiky, relevantnom incidente alebo významnej zmene pracovnej roly.
Ak vaša organizácia spadá aj pod zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti v znení novely č. 366/2024 Z. z. (slovenská transpozícia NIS2), voľbu za vás čiastočne urobil regulátor: vyhláška NBÚ č. 227/2025 Z. z. vyžaduje plán rozvoja bezpečnostného povedomia, vstupné školenie pred pridelením prístupu, pravidelné opakované školenia aj dokumentované vyhodnocovanie ich účinnosti. Požiadavky na NIS2 školenie zamestnancov sa s ISO 27001 výrazne prekrývajú, takže jeden dobre navrhnutý program môže slúžiť obom rámcom.
Aké dôkazy si certifikačný audítor vyžiada?
Od uplynutia prechodného obdobia IAF 31. októbra 2025 beží každý platný certifikát na revízii 2022 - všetky certifikáty podľa ISO 27001:2013 stratili platnosť. Každý dozorový aj recertifikačný audit teda dnes testuje článok 7.3 a opatrenie A.6.3 v ich aktuálnej podobe. A audítori sa pri politikách dlho nezdržia; vzorkujú záznamy.
Kontrolný zoznam dôkazov o školeniach pre audit ISO 27001
- Zdokumentovaný plán školení a budovania povedomia: témy, cieľové skupiny, harmonogram, vlastník;
- Evidencia absolvovania s menami, dátumami, témami a verziou doručeného obsahu;
- Potvrdenia o oboznámení sa s politikou - podpísané alebo digitálne potvrdené, naviazané na aktuálnu verziu politiky;
- Dôkazy o vstupnom školení nedávnych nástupov vrátane dodávateľov a brigádnikov;
- Merania účinnosti: výsledky vedomostných testov, metriky phishingových simulácií, trendové reporty;
- Zápisy z preskúmania manažmentom, ktoré preukazujú, že výsledky budovania povedomia boli vyhodnotené a premietli sa do opatrení (články 9.1 a 9.3).
Vzorkovanie je cielené, nie náhodné. Typický audítor si vypýta zoznam zamestnancov z HR, vyberie dvoch ľudí prijatých za posledných šesť mesiacov, jedného dodávateľa a jedného odchádzajúceho zamestnanca a chce vidieť ich kompletnú školiacu stopu. Práve pri týchto okrajových prípadoch - nie pri dlhoročných kmeňových zamestnancoch - sa začína väčšina zistení o chýbajúcich dôkazoch.
Ako phishingové simulácie preukazujú účinnosť školení
Článok 9.1 vyžaduje, aby organizácia vyhodnocovala výkonnosť a účinnosť ISMS - budovanie povedomia nevynímajúc. Tu narážajú e-learningové certifikáty na svoj štrukturálny limit: certifikát o absolvovaní dokazuje, že školenie prebehlo, nie že sa ľudia potom správajú inak. Audítori si čoraz častejšie kladú logickú doplňujúcu otázku: ako viete, že školenie funguje?
Phishingové simulácie sú najpriamejšou odpoveďou, pretože merajú správanie, nie účasť. Východisková kampaň pred školením a štvrťročné kampane po ňom produkujú presne tie metriky, ktoré vyhodnotenie účinnosti potrebuje: mieru kliknutí, mieru zadania prihlasovacích údajov, mieru nahlásenia a skupinu používateľov, ktorí klikajú opakovane. Klesajúca miera kliknutí a rastúca miera nahlásenia naprieč kvartálmi je dôkaz účinnosti v jedinom grafe - reálne východiskové hodnoty nájdete v našich phishingových štatistikách a postup čistej realizácie kampaní v návode na phishingovú simuláciu krok za krokom.
Presne túto medzeru má PhishGun zatvárať: realistické kampane s lokalizovanými šablónami v slovenčine, češtine a angličtine, mikroškolenie v okamihu, keď zamestnanec klikne, a prehľady ľudského rizika, ktoré vyexportujete ako dôkazy pripravené na audit podľa ISO 27001, zákona č. 69/2018 Z. z. (NIS2) aj nariadenia DORA.
Najčastejšie nezhody pri A.6.3 a ako sa im vyhnúť
Väčšina zistení súvisiacich s povedomím sú menej závažné nezhody. Lenže aj menšia nezhoda (minor nonconformity), ktorá sa opakuje naprieč dozorovými auditmi, sa eskaluje - a slabé dôkazy o školeniach podkopávajú dôveru audítora aj vo zvyšok ISMS. Opakujúce sa zistenia:
- Chýbajú záznamy nových nástupov a dodávateľov. Riešenie: urobte z bezpečnostného školenia blokujúci krok nástupného procesu vo vlastníctve HR, nie otázku dobrej vôle.
- Zamestnanci nevedia opísať svoje povinnosti (test na chodbe). Riešenie: kratšia a častejšia komunikácia porazí jedno ročné maratónske školenie, ktoré si nikto nepamätá.
- Jednorazové školenie bez cyklu obnovy. Riešenie: kadenciu zapíšte do plánu školení a termíny rovno do kalendára.
- Žiadne meranie účinnosti. Riešenie: minimálne výsledky vedomostných testov; ideálne pravidelný phishingový test zamestnancov s vyhodnocovaním trendu.
- Dôsledky nezhôd nikdy nezazneli. Riešenie: uveďte ich v politike aj v školení a nechajte si potvrdiť oboznámenie s oboma.
- Obsah školení zastaral po zmene politík. Riešenie: verziujte obsah a naviažte jeho aktualizácie na cyklus revízie politík.
Jeden program, tri rámce: ISO 27001, NIS2 a DORA
Ak je ISO 27001 vaším prvým rámcom, navrhnite program povedomia tak, aby jeho záznamy uspokojili aj regulácie, ktoré prídu na rad ďalšie. Európska smernica NIS2 (2022/2555) - na Slovensku transponovaná zákonom č. 69/2018 Z. z. - vyžaduje základné postupy kybernetickej hygieny a školenia v oblasti kybernetickej bezpečnosti a nariadenie DORA (2022/2554), na ktoré od 17. januára 2025 dohliada Národná banka Slovenska, robí z programov budovania povedomia o bezpečnosti IKT povinné školiace moduly pre finančné subjekty. Ten istý plán školení, evidencia absolvovania a metriky simulácií môžu slúžiť všetkým trom.
| Požiadavka | ISO 27001:2022 | NIS2 / zákon č. 69/2018 Z. z. | DORA |
|---|---|---|---|
| Školenie povedomia pre všetkých zamestnancov | Článok 7.3 + opatrenie A.6.3 | Čl. 21 ods. 2 písm. g) - kybernetická hygiena a školenia | Čl. 13 ods. 6 - povinné školiace moduly |
| Školenie manažmentu | Článok 7.3 platí pre všetkých; čl. 5.1 - vodcovstvo | Čl. 20 ods. 2 - školenie členov riadiacich orgánov | Čl. 13 ods. 6 zahŕňa aj vrcholový manažment |
| Hĺbka podľa roly | A.6.3 - relevantné pre pracovnú funkciu | Na základe rizík podľa čl. 21 | Čl. 13 ods. 6 - náročnosť zodpovedá role |
| Dodávatelia a tretie strany | Článok 7.3 - osoby pracujúce pod kontrolou organizácie | Opatrenia v dodávateľskom reťazci, čl. 21 ods. 2 písm. d) | Čl. 30 ods. 2 písm. i) - poskytovatelia IKT služieb tam, kde je to vhodné |
| Dôkazy o účinnosti | Článok 9.1 - monitorovanie a vyhodnocovanie | Vyhláška NBÚ č. 227/2025 Z. z. - dokumentované vyhodnocovanie účinnosti | Priebežné vzdelávanie podľa čl. 13 |
Jeden program, jedna sústava záznamov, viacero adresátov reportingu - veľmi podobné otázky kladie aj princíp zodpovednosti podľa GDPR a upisovatelia kybernetického poistenia. Štruktúru záznamov postavte raz a každý artefakt označte rámcami, ktorým slúži.
Ďalšie kroky: pripravte dôkazy skôr, než príde audítor
ISO 27001 certifikácia je na Slovensku zvyčajne prvým rámcom, po ktorom malá či stredná firma siahne - vyžadujú ju zákaznícke zmluvy a verejné obstarávania. A keďže subjektom podľa zákona č. 69/2018 Z. z. zároveň plynie dvojročný cyklus auditov kybernetickej bezpečnosti podľa § 29 a prechodný režim sa končí 31. decembra 2026, audítorská sezóna 2026/2027 bude mimoriadne náročná. Pristupujte preto k programu povedomia ako k obchodnému aktívu, nie k odškrtávaciemu políčku: zdokumentovaný plán, úplné záznamy a behaviorálne metriky, ktoré dokazujú, že školenie skutočne mení správanie ľudí.
Praktická 90-dňová postupnosť pred auditom: overte aktuálnosť plánu školení, doplňte chýbajúce záznamy nástupov a dodávateľov, spustite východiskovú phishingovú kampaň, zrealizujte opakovacie školenie a následne druhou kampaňou ukážte trend. Prvá phishingová kampaň s PhishGunom je zadarmo - bez platobnej karty - a cenník za zamestnanca je verejný, takže audítorovi môžete predložiť reálne dôkazy účinnosti ešte pred začiatkom certifikačného cyklu.
Časté otázky
Musia školenie podľa ISO 27001 absolvovať aj externí dodávatelia?
Áno. Článok 7.3 sa vzťahuje na všetky osoby vykonávajúce prácu pod kontrolou organizácie - teda aj na dodávateľov, agentúrnych pracovníkov a stážistov pôsobiacich v rozsahu ISMS. Audítori vzorkujú záznamy externistov zámerne, pretože práve tam medzery vznikajú najčastejšie. Pokryte ich rovnakým vstupným školením, potvrdením oboznámenia s politikou a tam, kde je to praktické, aj rovnakými phishingovými simuláciami ako kmeňových zamestnancov.
Stačí ako dôkaz pre článok 7.3 podpísaná prezenčná listina?
Nie. Prezenčná listina dokazuje účasť, nie povedomie. Audítor si záznamy overuje rozhovormi so zamestnancami a kontroluje, či ste vyhodnotili účinnosť školenia, ako to vyžaduje článok 9.1. Podpisy si ponechajte, ale zaznamenávajte aj tému, dátum a verziu obsahu a doplňte ich aspoň jedným meraním účinnosti - výsledkami testov alebo phishingových simulácií - aby záznamy ukazovali výsledky, nielen prítomnosť.
Čo robiť so zamestnancami, ktorí v phishingových simuláciách klikajú opakovane?
Zaveďte zdokumentovaný, odstupňovaný postup: okamžitú mikrolekciu hneď po kliknutí, cielené doškolenie po druhom zlyhaní a následne rozhovor za účasti nadriadeného. Vyhnite sa tvrdým postihom - odrádzajú od nahlasovania incidentov, ktoré audítor tiež preveruje. Zdokumentovaný proces práce s opakovane klikajúcimi zamestnancami je naopak silným dôkazom, že váš cyklus zlepšovania podľa článku 10 reálne funguje.
Vyžaduje ISO 27001 phishingové simulácie?
Výslovne nie - norma ich nikde nemenuje. Článok 9.1 však vyžaduje vyhodnocovať účinnosť bezpečnostných opatrení vrátane budovania povedomia a simulácie sú najpriamejším dostupným meraním správania. V praxi mnohí certifikační audítori považujú pravidelné phishingové simulácie s vyhodnotením trendu za najsilnejší dôkaz účinnosti, aký program bezpečnostného povedomia dokáže predložiť.
Platí ešte môj starší certifikát podľa ISO 27001:2013?
Nie. Podľa prechodných pravidiel IAF stratili všetky certifikáty podľa ISO 27001:2013 platnosť 31. októbra 2025 bez ohľadu na dátum, ktorý je na nich vytlačený. Organizácie, ktoré prechod nestihli, sa posudzujú ako noví žiadatelia a musia absolvovať úplný vstupný certifikačný audit podľa ISO/IEC 27001:2022 - vrátane požiadaviek na povedomie v článku 7.3 a opatrení A.6.3.