ISO/IEC 27000:2026 — koniec słownika. Co teraz z terminologią ISMS?

Szóste wydanie ISO/IEC 27000 likwiduje słownik 77 terminów i na nowo definiuje rolę normy. Sprawdź, gdzie od lipca 2026 szukać definicji ISMS i jak czytać nową mapę dokumentów zbudowaną wokół ISO/IEC 27001.

Twoja dokumentacja ISMS powołuje się na „definicje wg ISO/IEC 27000"?

Od lipca 2026 r. to odwołanie przestało być precyzyjne. Szóste wydanie normy zredukowało słownik z 77 do 12 terminów i wprost deklaruje: to już nie jest dokument terminologiczny.

Wprowadzenie

W lipcu 2026 roku ISO i IEC opublikowały szóste wydanie normy ISO/IEC 27000, które zastępuje edycję z 2018 roku. Przez blisko dwie dekady dokument ten pełnił podwójną funkcję: był bramą wejściową do rodziny norm bezpieczeństwa informacji oraz oficjalnym słownikiem terminologicznym, z którego definicje czerpały dokumentacje ISMS, raporty z audytów i programy szkoleniowe na całym świecie. Nowe wydanie tę podwójną rolę kończy — i robi to w sposób, który każdy pełnomocnik SZBI, audytor wiodący i CISO powinien odnotować.

Zmiana jest widoczna już w tytule. Dotychczasowe „Information technology — Security techniques — Information security management systems — Overview and vocabulary” zastąpiono tytułem „Information security, cybersecurity and privacy protection — Information security management systems — Overview”. Zniknęło słowo „vocabulary” — i nie jest to zabieg kosmetyczny. Przedmowa nowego wydania stwierdza wprost, że ISO/IEC 27000 przestaje być dokumentem terminologicznym. Norma otrzymała jednocześnie status dokumentu horyzontalnego (horizontal document) w rozumieniu dyrektyw ISO/IEC — co oznacza, że jej koncepcje i pryncypia stanowią wspólny fundament dla dokumentów powiązanych z systemami zarządzania bezpieczeństwem informacji.

Warto podkreślić to, co się nie zmieniło: ISO/IEC 27000 nadal nie jest normą certyfikowalną i nie nakłada na organizacje żadnych wymagań. Certyfikacji podlega wyłącznie system zgodny z ISO/IEC 27001. Nowe wydanie niczego w tym zakresie nie modyfikuje — zmienia natomiast sposób, w jaki organizacje powinny korzystać z dokumentu i gdzie powinny szukać terminologii.

ISO 27000

Koniec słownika terminologicznego — najważniejsza zmiana

Z 77 terminów zostało 12

Edycja 2018 zawierała 77 zdefiniowanych terminów, wiele z rozbudowanymi notami wyjaśniającymi. Edycja 2026 pozostawia w klauzuli 3 jedynie 12 definicji — wyłącznie tych, które są niezbędne do objaśnienia koncepcji opisanych w samym dokumencie. Noty do definicji usunięto, pozostawiając zwięzłe brzmienia podstawowe.

Na liście pozostały: bezpieczeństwo informacji, poufność, integralność, dostępność, zdarzenie, prawdopodobieństwo, następstwo, ryzyko, postępowanie z ryzykiem, zabezpieczenie oraz — jako dwa nowe terminy zaczerpnięte z ISO/IEC 17000:2020 — wymaganie wyspecyfikowane i ocena zgodności. Rdzeń pojęciowy pozostał więc nienaruszony: triada poufność–integralność–dostępność oraz łańcuch ryzyka (zdarzenie → prawdopodobieństwo → następstwo → ryzyko → postępowanie z ryzykiem → zabezpieczenie) są zdefiniowane spójnie z ISO/IEC 27005:2022 i ISO/IEC 27002:2022.

Gdzie teraz szukać definicji?

To pytanie, które w praktyce zada sobie każdy, kto pisze politykę bezpieczeństwa, przygotowuje raport z audytu wewnętrznego albo tworzy materiały szkoleniowe. Odpowiedź jest dwutorowa. Po pierwsze, każda norma rodziny — z ISO/IEC 27001 na czele — zawiera własną klauzulę „Terms and definitions” i to ona jest wiążąca dla danego dokumentu. Po drugie, ISO i IEC utrzymują ogólnodostępne bazy terminologiczne: ISO Online Browsing Platform (OBP) oraz IEC Electropedia, do których nowe wydanie wprost odsyła.

W praktyce oznacza to jedną korektę nawyków: odwołanie „definicje wg ISO/IEC 27000″ w dokumentacji ISMS przestaje być precyzyjne. Bezpieczniejszym wzorcem jest odwołanie do klauzuli 3 normy ISO/IEC 27001:2022 (dla systemów certyfikowanych) lub bezpośrednio do ISO OBP — z podaniem daty dostępu, jeśli organizacja przywiązuje wagę do audytowalności źródeł.

ISO 27000

Nowa struktura: koncepcje i pryncypia zamiast opisu isms

Dokument skrócił się z 27 do 11 stron merytorycznych, a jego trzon przebudowano. W miejsce dawnej klauzuli 4 („Information security management systems”) i klauzuli 5 („ISMS family of standards”) edycja 2026 wprowadza klauzulę 4 „Concepts and principles” oraz klauzulę 5 „Documents related to ISMS including ISO/IEC 27001″.

Koncepcje: od potrzeby ochrony informacji do zakresu ISMS

Podklauzula 4.1 prowadzi czytelnika przez logikę bezpieczeństwa informacji w dziewięciu krokach: od uzasadnienia potrzeby ochrony informacji, przez pojęcie informacji jako aktywa, definicję bezpieczeństwa informacji, zmienność ryzyk w czasie, plan postępowania z ryzykiem, cel i znaczenie ISMS, podejście procesowe, aż po zakres systemu. Co istotne, norma podkreśla, że ryzyka nie są statyczne — zmiany w organizacji, otoczeniu oraz w intencjach i możliwościach atakujących wpływają zarówno na prawdopodobieństwo zdarzeń, jak i na dotkliwość następstw. Stąd wymóg cyklicznego monitorowania skuteczności zabezpieczeń, okresowej ponownej oceny ryzyk i utrzymywania aktualnych planów postępowania z ryzykiem — czyli dokładnie to, co w ISO/IEC 27001 realizują wymagania klauzul 8–10.

Zabezpieczenia: cztery kategorie, trzy funkcje

Nowością względem edycji 2018 jest jednoznaczne osadzenie klasyfikacji zabezpieczeń w logice ISO/IEC 27002:2022. Zabezpieczenia dzielą się na organizacyjne, osobowe, fizyczne i technologiczne, a funkcjonalnie — na prewencyjne, detekcyjne i korekcyjne. Norma formułuje przy tym praktyczną tezę: odpowiednio dobrany miks zabezpieczeń prewencyjnych, detekcyjnych i korekcyjnych sprawia, że plan postępowania z ryzykiem pozostaje odporny na zawodność pojedynczych zabezpieczeń. To sygnał dla organizacji, które koncentrują budżety wyłącznie na prewencji: dojrzały ISMS zakłada, że część zabezpieczeń zawiedzie, i projektuje warstwy wykrywania oraz reagowania z wyprzedzeniem.

Dziewięć pryncypiów skutecznego ISMS

Podklauzula 4.2 porządkuje fundamentalne zasady skutecznego wdrożenia ISMS. Katalog dziewięciu pryncypiów został doprecyzowany względem 2018 roku — m.in. zasada dotycząca ryzyka mówi teraz wprost o wykorzystaniu szacowania i postępowania z ryzykiem do określenia niezbędnych zabezpieczeń, a nowa redakcja zasady integracji wymaga wbudowania ISMS w procesy biznesowe organizacji, nie tylko „uwzględnienia bezpieczeństwa w systemach”. Doszło również wyraźne odwołanie do odpowiedzialności środowiskowej i społecznej. Kierunek jest czytelny: bezpieczeństwo informacji ma być elementem zarządzania organizacją, a nie równoległym silosem dokumentacyjnym.

ISO 27000

Nowa mapa dokumentów isms wokół iso/iec 27001

Od „rodziny norm” do dokumentów powiązanych z ISO/IEC 27001

Edycja 2018 porządkowała rodzinę 27000 według typu dokumentu: normy wymagań, wytyczne ogólne, wytyczne sektorowe. Edycja 2026 rezygnuje z pojęcia „ISMS family of standards” i wprowadza kategoryzację funkcjonalną — według roli, jaką dany dokument pełni względem ISO/IEC 27001. Powstało sześć kategorii:

Specyfikacja ISMS — ISO/IEC 27001 jako jedyna norma określająca wymagania i jedyna podstawa certyfikacji.

Kandydackie niezbędne zabezpieczenia (candidate necessary information security controls) — ISO/IEC 27002 (93 zabezpieczenia w czterech kategoriach) oraz normy sektorowe: 27010 (wymiana informacji między organizacjami i sektorami), 27011 (telekomunikacja), 27017 (usługi chmurowe), 27019 (energetyka).

Spełnienie wymagań ISMS — ISO/IEC 27003 (wytyczne wdrożeniowe), 27004 (monitorowanie, pomiary, analiza i ocena), 27005 (zarządzanie ryzykiem bezpieczeństwa informacji), 27007 (audytowanie ISMS).

Wykorzystanie ISMS — ISO/IEC 27013 (zintegrowane wdrożenie z ISO/IEC 20000-1), 27014 (nadzór nad bezpieczeństwem informacji), TR 27016 (ekonomika organizacyjna).

Ocena zabezpieczeń, atrybuty, procesy i kompetencje — ISO/IEC TS 27008 (ocena zabezpieczeń), 27021 (wymagania kompetencyjne dla profesjonalistów ISMS), TS 27022 (procesy ISMS), 27028 (atrybuty zabezpieczeń z ISO/IEC 27002 — w chwili publikacji na etapie FDIS).

Ocena zgodności — ISO/IEC 27006-1, określająca wymagania akredytacyjne dla jednostek certyfikujących ISMS.

Kto wypadł z mapy

Względem edycji 2018 z przeglądu zniknęły trzy pozycje: ISO/IEC 27009 (zasady tworzenia norm sektorowych — wycofana), ISO/IEC 27018 (ochrona danych osobowych w chmurze publicznej) oraz ISO 27799 (bezpieczeństwo informacji w ochronie zdrowia). Ich nieobecność w przeglądzie nie oznacza wycofania samych dokumentów z katalogu ISO — oznacza natomiast, że nowa mapa koncentruje się ściśle na dokumentach bezpośrednio wspierających cykl życia ISMS zgodnego z ISO/IEC 27001. Dla organizacji przetwarzających dane osobowe naturalnym uzupełnieniem mapy pozostaje ISO/IEC 27701, rozwijana obecnie jako samodzielna norma systemu zarządzania ochroną prywatności.

ISO 27000

Annex a potwierdzony jako weryfikator, nie katalog

Nazwa drugiej kategorii — „kandydackie niezbędne zabezpieczenia” — nie jest przypadkowa. Podklauzula 5.2 opisuje sekwencję postępowania dokładnie tak, jak wynika ona z ISO/IEC 27001:2022: organizacja określa zabezpieczenia, które uznaje za niezbędne do realizacji swojego planu postępowania z ryzykiem. Zabezpieczenia te mogą być zaprojektowane samodzielnie lub zaczerpnięte z dowolnego źródła — z ISO/IEC 27002, z norm sektorowych, z frameworków branżowych. Dopiero na końcu następuje porównanie z referencyjnym zestawem załącznika A do ISO/IEC 27001:2022 — w celu zweryfikowania, że żadne niezbędne zabezpieczenie nie zostało pominięte.

Kolejność ma znaczenie: najpierw ryzyka, potem zabezpieczenia, na końcu załącznik A. Załącznik A nie jest więc katalogiem, z którego „wybiera się” zabezpieczenia do wdrożenia — jest siatką bezpieczeństwa służącą weryfikacji kompletności. Dla praktyki audytowej to istotne potwierdzenie: Deklaracja Stosowania zbudowana jako mechaniczna kopia załącznika A z kolumną „stosowane / niestosowane”, bez powiązania z wynikami szacowania ryzyka, odwraca logikę normy. Nowe wydanie ISO/IEC 27000 formułuje tę logikę w dokumencie przeglądowym — czyli tam, gdzie sięgają również osoby spoza wąskiego grona ekspertów. To dobra okazja, aby zweryfikować, czy własna SoA opowiada historię ryzyk organizacji, czy jedynie odtwarza spis treści załącznika.

SO 27000

Co zmiana oznacza w praktyce — działania dla organizacji

Najważniejsza wiadomość dla organizacji utrzymujących certyfikowany ISMS brzmi: nowe wydanie ISO/IEC 27000 nie wymaga żadnych zmian w systemie zarządzania. Norma nie jest podstawą certyfikacji, nie modyfikuje wymagań ISO/IEC 27001:2022 ani zestawu zabezpieczeń. Audyty certyfikacyjne i nadzorcze przebiegają bez zmian.

Jest natomiast krótka lista działań porządkowych, którą warto zrealizować w horyzoncie najbliższego przeglądu dokumentacji — dla większości organizacji to praca na kilka godzin, nie tygodni:

Po pierwsze, aktualizacja rejestru norm i wymagań (jeśli organizacja go prowadzi) — odnotowanie zastąpienia edycji 2018 przez 2026. Po drugie, przegląd dokumentacji ISMS pod kątem odwołań do ISO/IEC 27000 jako źródła definicji: tam, gdzie dokumenty powołują się na słownik z edycji 2018, należy skorygować odwołanie na klauzulę 3 ISO/IEC 27001:2022 lub ISO OBP. Po trzecie, aktualizacja materiałów szkoleniowych i onboardingowych, które często cytują definicje „wg ISO 27000″. Po czwarte — nieobowiązkowo, ale wartościowo — wykorzystanie nowej klauzuli 5 jako ściągi nawigacyjnej przy planowaniu rozwoju systemu: sześć kategorii dokumentów tworzy czytelną odpowiedź na pytanie, po którą normę sięgnąć na danym etapie dojrzałości ISMS.

Dla organizacji, które dopiero rozważają certyfikację ISO/IEC 27001, nowe wydanie ISO/IEC 27000 jest lepszym punktem startu niż kiedykolwiek: 11 stron zwięzłego wykładu koncepcji, pryncypiów i mapy dokumentów — bez balastu terminologicznego, który w edycji 2018 zniechęcał czytelników biznesowych. Lektura klauzuli 4 przed spotkaniem z konsultantem lub jednostką certyfikującą pozwala kadrze zarządzającej prowadzić rozmowę o ISMS na poziomie decyzji biznesowych, a nie definicji.

ISO 27000

Podsumowanie

ISO/IEC 27000:2026 to zmiana tożsamości dokumentu: ze słownika terminologicznego z dodatkiem przeglądu norma stała się zwięzłym, horyzontalnym wprowadzeniem do koncepcji, pryncypiów i architektury dokumentów zbudowanej wokół ISO/IEC 27001. Redukcja z 77 do 12 terminów przenosi ciężar terminologii do poszczególnych norm i platformy ISO OBP, a nowa, funkcjonalna kategoryzacja dokumentów porządkuje nawigację po całym ekosystemie ISMS. Dla certyfikowanych organizacji zmiana oznacza wyłącznie drobne prace porządkowe w dokumentacji — dla wszystkich pozostałych jest zaproszeniem do lektury najbardziej przystępnej edycji tej normy w jej historii.

Jeśli Twoja organizacja planuje certyfikację ISO/IEC 27001, przygotowuje się do audytu nadzoru lub chce zweryfikować logikę swojej Deklaracji Stosowania — zapraszamy do kontaktu z naszym zespołem audytorów.

Bibliografia:

  1. ISO/IEC 27000:2026. Information security, cybersecurity and privacy protection — Information security management systems — Overview. ISO/IEC, Geneva, 2026. [ISO.org]
  2. ISO/IEC 27000:2018. Information technology — Security techniques — Information security management systems — Overview and vocabulary (wydanie zastąpione). ISO/IEC, Geneva, 2018. [ISO.org]
  3. ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements. ISO/IEC, Geneva, 2022. [ISO.org]
  4. ISO/IEC 27002:2022. Information security, cybersecurity and privacy protection — Information security controls. ISO/IEC, Geneva, 2022. [ISO.org]
  5. ISO Online Browsing Platform (OBP) — baza terminologiczna ISO. [iso.org/obp]

FAQ: ISO/IEC 27000

ISO/IEC 27000:2026 to szóste wydanie normy przeglądowej opublikowane w lipcu 2026 roku, które zastępuje edycję z 2018 roku. Dokument objaśnia koncepcje i pryncypia bezpieczeństwa informacji oraz systemów zarządzania bezpieczeństwem informacji (ISMS), a także mapuje relacje między dokumentami powiązanymi z ISO/IEC 27001. Norma ma status dokumentu horyzontalnego i nie zawiera wymagań — pełni rolę wprowadzenia do całego ekosystemu ISMS.

Nie. ISO/IEC 27000 nie zawiera wymagań i nie stanowi podstawy certyfikacji. Jedyną normą certyfikowalną w obszarze ISMS jest ISO/IEC 27001, która określa wymagania dla systemu zarządzania bezpieczeństwem informacji. ISO/IEC 27000 pełni funkcję przewodnika koncepcyjnego i nawigacyjnego po dokumentach wspierających wdrożenie, utrzymanie i audytowanie ISMS.

Najważniejsze zmiany to: usunięcie słowa „vocabulary" z tytułu i rezygnacja z roli dokumentu terminologicznego, redukcja klauzuli 3 z 77 do 12 terminów, nowa klauzula 4 porządkująca koncepcje i pryncypia ISMS oraz nowa klauzula 5 z funkcjonalną kategoryzacją dokumentów w sześciu kategoriach. Z przeglądu zniknęły normy ISO/IEC 27009, 27018 i ISO 27799, a dołączyła ISO/IEC 27028 dotycząca atrybutów zabezpieczeń. Objętość dokumentu zmniejszyła się z 27 do 11 stron.

Wiążące definicje znajdują się w klauzuli 3 każdej normy rodziny — dla systemów certyfikowanych punktem odniesienia jest klauzula 3 normy ISO/IEC 27001:2022. Dodatkowo ISO i IEC utrzymują ogólnodostępne bazy terminologiczne: ISO Online Browsing Platform (OBP) oraz IEC Electropedia, do których nowe wydanie wprost odsyła. W dokumentacji ISMS warto skorygować odwołania typu „definicje wg ISO/IEC 27000" na precyzyjne wskazanie źródła.

Nie — norma nie modyfikuje wymagań ISO/IEC 27001:2022 ani zestawu zabezpieczeń, a audyty certyfikacyjne i nadzorcze przebiegają bez zmian. Warto natomiast wykonać drobne prace porządkowe: zaktualizować rejestr norm o zastąpienie edycji 2018 przez 2026, przejrzeć dokumentację pod kątem odwołań do dawnego słownika oraz zaktualizować materiały szkoleniowe cytujące definicje z poprzedniego wydania. Dla większości organizacji to praca na kilka godzin.

W nowym przeglądzie nie występują ISO/IEC 27009 (norma wycofana), ISO/IEC 27018 (dane osobowe w chmurze publicznej) oraz ISO 27799 (ochrona zdrowia). Ich nieobecność nie oznacza wycofania samych dokumentów z katalogu ISO — nowa mapa koncentruje się ściśle na dokumentach bezpośrednio wspierających cykl życia ISMS zgodnego z ISO/IEC 27001. Dla organizacji przetwarzających dane osobowe naturalnym uzupełnieniem pozostaje ISO/IEC 27701.

Dariusz Rycek
Dariusz Rycek
MBA, CEO & Lead Auditor — Centre of Excellence & QSCert
Ekspert w zakresie systemów zarządzania ISO, cyberbezpieczeństwa, compliance i AI governance. Audytor, konsultant, trener.
Profil LinkedIn
Przewijanie do góry