Przejdź do treści 
Certyfikacja SZBI wg ISO/IEC 27001.
Jeżeli osiągnąłeś już sprawność organizacyjną, masz zdefiniowane, wydajne i zinformatyzowane procesy, przychodzi czas na ochronę tego co stanowi twój know-how. Często są to wiedza, informacje, dane, doświadczenie i inne aktywa. Warto wtedy zastanowić się nad uszczelnieniem firmy od strony teleinformatycznej, organizacyjnej i fizycznej. ISO/IEC 27001 to w dużej części standard, który pomoże Ci to osiągnąć poprzez wdrożenie jego do codziennej praktyki biznesowej. A Certyfikacja ISO 27001 jest zwieńczeniem tych prac, jednakże bardzo ważnym, bo pozwala utrzymywać kondycję systemu i legitymizować się nim w relacjach biznesowych. Patrzenie przez pryzmat bezpieczeństwa aktywów informacyjnych w Twoim biznesie oraz Twojego klienta pokazuje każdej ze stron i interesariuszom dojrzałość biznesową.
Rodzina norm serii ISO/IEC 27000.
Nie trzeba szukać wielu rozwiązań organizacyjnych aby przekonać się o wartości standardu ISO 27001. Spójrz na rodzinę norm tej serii (opis uproszczony):
- ISO/IEC 27000 – Terminologia,
- ISO/IEC 27001 – Wymagania,
- ISO/IEC 27002 – Praktyczne zasady zabezpieczania informacji,
- ISO/IEC 27003 – Przewodnik wdrożenia,
- ISO/IEC 27004 – Monitorowanie, pomiary, analiza i ocena,
- ISO/IEC 27005 – Analiza ryzyka,
- ISO/IEC 27006 – Certyfikacja,
- ISO/IEC 27007 – Przewodnik audytowania SZBI,
- ISO/IEC 27008 – Ocena zabezpieczeń,
- ISO/IEC 27017 – Cloud computing,
- ISO/IEC 27018 – Bezpieczeństwo danych osobowych w chmurze,
- ISO/IEC 27035 – Zarządzanie incydentami,
- ISO/IEC 27036 – Relacje z dostawcami, itd.
To największa rodzina norm ISO. Naprawdę możesz na bazie tych standardów i swojej wiedzy zbudować efektywny SZBI – System Zarządzania Bezpieczeństwem Informacji. Część z tych norm została przetłumaczona na język polski – niestety niewielka, ale warto pozyskać je aby oswoić się z ich specyficznym językiem – zobacz link sklep PKN1 na dole artykułu. Pozostałe normy można pozyskać u źródła – ISO.org2. Jeżeli szukasz oszczędności przy zakupie norm w wersji angielskiej, to około 10-20% taniej możesz je pozyskać w Estońskim Centrum Standaryzacji3.
Normy z tego zakresu znacznie szybciej reagują na zmiany w otoczeniu biznesowym niż legislacja, czego przykładem może być także wprowadzenie zmian dotyczących zarządzaniem informacją o prywatności ujętej w normie ISO/IEC 27701. Szerzej na temat prywatności mówią normy z rodziny ISO/IEC 29100, z których dwie zostały przetłumaczone przez PKN. Są to ISO/IEC 29134 – Ocena skutków dla prywatności, oraz ISO/IEC 29151 – Praktyczne zasady ochrony informacji o identyfikowalnych osobach. Warto je wykorzystać przy opracowywaniu rozwiązań z zakresu RODO.
Dlaczego warto wdrożyć SZBI?
Dlaczego potrzebna jest certyfikacja ISO 27001?
Certyfikacja ISO 27001 – Usługa jest akredytowana certyfikacja i realizowana zgodnie z wymaganiami ISO/IEC 27006. Nikt jej nie podważy i wyróżni Cię w otoczeniu biznesowym.
Audyty realizujemy zespołem audytorów posiadających unikalne kompetencje w obszarze IT i systemów zarządzania (w tym CISA, CISM, CISSP, itd.), co daje Ci poczucie należytej jakości.
Bardzo dobrze rozumiemy kwestie RODO, które możemy ocenić także w ramach usługi Audyt RODO – zobacz stronę z tym związaną. Jest to więc ocena Twoich rozwiązań w tym aspekcie.
Każde wymaganie poparte jest dowodem obiektywnym. Wszystko w ujęciu przyczynowo-skutkowym.
Certyfikowany system ISO 27001 jest sprawdzeniem rozwiązań w obszarze bezpieczeństwa informacji w Twojej firmie. Jest jak kropka nad „i”, zwieńczeniem dokonanych zmian.
System ISO 27001 stanowi uwiarygodnienie Twoich usług, oraz ich bezpieczeństwa dla Klienta, itp.
Tą listę argumentów można by ciągnąć jeszcze długo. Ale najważniejszym jest aby motywacja do jego wdrożenia była Twoją potrzebą, nie narzuconą z góry. Dlatego wdrożenie jako projekt wewnętrzny powinno być realizowane przez kompetentnych konsultantów, fachowców w branży. Presja rynku prędzej czy później sprowadzi system do certyfikatu na ścianie jeśli nie wniknie on w kulturę organizacyjną, będzie tylko zewnętrzną koniecznością. Certyfikacja ISO 27001 to pierwszy krok do zgodności z RODO oraz z ustawą o KSC (Cyberbezpieczeństwo). Certyfikacja ISO 27001/ISO 22301 to także potwierdzenie Twoich umiejętności odtworzenia działalności, testowania różnych scenariuszy dla SOC’ów, CSIRT’ów w ramach ustawy o KSC. Najlepszy sposób uwiarygodnienia swoich usług w obszarze KSC, realizowany jest zawsze poprzez własną certyfikację, ale akredytowaną – pamiętaj o tym. Certyfikat ISO 27001 będzie wizualizacją tego procesu i zwieńczeniem sukcesu, ale to za mało w biznesie – system musi działać, służyć i pomagać organizacji – tak jak w przypadku RODO.
Trochę od kuchni. Na co zwrócić uwagę przy wdrożeniu. Nowelizacja normy z 2022 roku
Kluczowym elementem opisującym nasze zabezpieczenia jest załącznik A.1. w normie ISO/IEC 27001, na bazie którego tworzymy naszą deklarację stosowania. Przeanalizuj, przedyskutuj z Twoim działem IT zasadność jakichkolwiek wyłączeń, czyli wymagań nie mających zastosowania do Twojego biznesu. Dość często pojawiają się w tym temacie nieporozumienia skutkujące niezgodnościami już na 1 etapie certyfikacji. Innym elementem systemu, który warto odnieść do dobrych praktyk jest monitorowanie i pomiary. Tutaj zachęcamy Cię do sięgnięcia po normę ISO/IEC 27004 – Monitorowanie, pomiary, analiza i ocena. Już sama nazwa wskazuje przeznaczenie tego przewodnika.
Rok 2022 był okresem zmian w rodzinie norm bazowych serii ISO/IEC 270xx, czyli ISO/IEC 27001:2022 oraz ISO/IEC 27002:2022, która poprzedziła wydanie normy certyfikacyjnej, tej z wymaganiami. Więcej na ten temat można przeczytać na naszym blogu w kolejnych wpisach, jak również o normach posiłkowych, współbieżnych, które dostarczają wytycznych jak rozwiązać temat wymagań. Warto więc przeczytać kilka artykułów naszych audytorów:
- https://coe.biz.pl/iso-27557-privacy-risk/
- https://coe.biz.pl/iso-27001-2022-nowa-odslona/
- https://coe.biz.pl/common-criteria/
- https://coe.biz.pl/privacy-by-design-en-17529/
- https://coe.biz.pl/relacje-z-dostawcami/
- https://coe.biz.pl/iot-privacy/
- https://coe.biz.pl/dostawcy-iso-27036-3/
- https://coe.biz.pl/iso-27032-internet-security-czesc-2/
- https://coe.biz.pl/iso-38507-wykorzystanie-ai-w-zarzadzaniu/
- https://coe.biz.pl/iso-27032-internet-security/
- https://coe.biz.pl/cybersecurity-w-lancuchu-dostaw/
- https://coe.biz.pl/koordynacja-w-incydencie/
Warto też wspomnieć o analizie ryzyka i pewnym przekazie, który pozwala zrozumieć jej istotę. Czynniki ryzyka (ludzkie, losowe, techniczne, etc.) wykorzystując podatności aktywów tworzą zagrożenia. Najczęściej wykorzystywana metoda analizy ryzyka w ISMS’ie, oparta na ISO/IEC 27005 dla każdego Risk Managera ma jednak pewne niedoskonałości. Widać to bardziej, gdy zaczniemy myśleć w kierunku scenariuszy. Dlatego podejście to w naszych projektach wzmacniamy metodyką BowTie z wykorzystaniem narzędzi informatycznych Wolters Kluwer Enablon – BowTieXP – analiza ryzyka, wzmocniona o AuditXP – audyty zabezpieczeń wypełniają wszystko to co jest potrzebne w audytowaniu SZBI.
FAQ – Certyfikacja ISO/IEC 27001
1. Co realnie daje mojej firmie certyfikacja ISO/IEC 27001?
Certyfikacja potwierdza, że organizacja wdrożyła System Zarządzania Bezpieczeństwem Informacji (ISMS), który systemowo zarządza ryzykami dotyczącymi danych, usług i technologii.
Najważniejsze korzyści to:
wzrost zaufania klientów i kontrahentów — szczególnie w branżach B2B, finansowej, IT i outsourcingu procesów;
spełnienie wymagań kontraktowych/regulacyjnych (np. NIS2, DORA, wymagania banków i instytucji płatniczych);
lepsza kontrola nad procesami IT i przetwarzaniem danych, co zmniejsza liczbę incydentów i ich koszt;
udokumentowane podejście do bezpieczeństwa, które wzmacnia pozycję firmy w przetargach i negocjacjach.
ISO 27001 nie jest „produktem”, lecz inwestycją w stabilność operacyjną, przejrzystość oraz odporność biznesu.
2. Co dokładnie obejmuje certyfikacja? Czy dotyczy tylko IT?
Nie. ISO/IEC 27001 obejmuje całą organizację w zakresie przetwarzania informacji, zarówno:
systemy IT i środowiska chmurowe,
procesy operacyjne,
działy biznesowe (sprzedaż, HR, marketing, kadry, księgowość),
ludzi (szkolenia, świadomość, dostęp do informacji),
podwykonawców i usługi zewnętrzne,
fizyczne bezpieczeństwo biur i zasobów.
To system zarządzania, a nie tylko konfiguracja technologii.
Organizacja decyduje, jaki obszar obejmuje zakresem certyfikacji — od pojedynczego procesu po cały biznes.
3. Jak wygląda pełny proces uzyskania certyfikatu?
Typowy cykl obejmuje:
Analizę luk (gap assessment) – oceniamy stan obecny vs. wymagania normy.
Analizę ryzyka i identyfikację aktywów krytycznych.
Wdrożenie środków kontrolnych z załącznika A (zarządzanie dostępem, kryptografia, ochrona fizyczna, supplier management itd.).
Przygotowanie dokumentacji systemu (polityki, procedury, rejestry, plany postępowania z ryzykiem).
Szkolenia i podniesienie świadomości pracowników.
Audyt wewnętrzny i przegląd zarządzania.
Audyt zewnętrzny (etap 1 i 2).
Wydanie certyfikatu i audyty nadzoru.
Średni czas: 8–16 tygodni przy sprawnym zarządzaniu projektem.
4. Ile kosztuje certyfikacja? Czy da się to oszacować?
Koszt zależy od:
wielkości organizacji i liczby pracowników,
liczby lokalizacji,
złożoności procesów i usług,
zakresu certyfikacji ISMS.
Zwykle łączy się dwa komponenty:
koszt audytu zewnętrznego (QSCert) – zależny od czasu audytora (manday);
koszty wdrożenia – jeśli organizacja potrzebuje wsparcia konsultanta.
Dla MŚP ceny zaczynają się od kilku–kilkunastu tysięcy złotych za certyfikację oraz podobnej wartości za wsparcie wdrożeniowe.
Dla organizacji regulowanych koszty mogą być wyższe.
5. Czy ISO 27001 zapewni zgodność z RODO / NIS2 / DORA?
ISO/IEC 27001 wspiera spełnianie wymogów regulacyjnych, ale ich nie zastępuje.
W przypadku RODO — zapewnia fundamenty (zasada rozliczalności, ocena ryzyka, bezpieczeństwo techniczne i organizacyjne).
W przypadku NIS2 — pokrywa dużą część wymagań dot. bezpieczeństwa operatorów usług kluczowych i ważnych.
W przypadku DORA — wspiera ład ICT, zarządzanie dostawcami, incydentami i ryzykiem ICT.
W praktyce, firmy posiadające ISO 27001 osiągają zgodność regulacyjną szybciej i taniej.
6. Czy certyfikat gwarantuje, że nie wystąpi incydent bezpieczeństwa?
Nie. ISO 27001 minimalizuje prawdopodobieństwo i skalę incydentów, ale nie eliminuje ich całkowicie.
To standard systemowego zarządzania, który:
wykrywa słabości wcześniej,
zmniejsza skutki incydentów,
wymusza reagowanie na nie i działania korygujące,
poprawia zdolność organizacji do powrotu do działania.
To podejście „risk-based”, nie „zero-risk”.
7. Czy wdrożenie ISO 27001 jest trudne i obciąży pracowników?
Dobrze przeprowadzone wdrożenie powinno:
uporządkować procesy,
zmniejszyć liczbę ręcznych czynności,
wprowadzić jasne zasady dostępu, pracy z danymi, reagowania na incydenty,
poprawić współpracę IT – biznes – zarząd.
Wdrożenie nie „dodaje biurokracji”, jeśli jest zaprojektowane przez praktyków.
Dodaje natomiast przewidywalność i kontrolę w obszarze informacji.
8. Jak wygląda utrzymanie certyfikatu? Czy wymaga dużego nakładu pracy?
Po uzyskaniu certyfikatu:
raz w roku odbywa się audyt nadzoru,
raz na 3 lata — audyt recertyfikacyjny,
organizacja prowadzi bieżące zarządzanie ryzykiem, szkolenia, incydenty, przegląd zarządzania.
W praktyce, utrzymanie systemu jest łatwiejsze niż jego wdrażanie — to kwestia powtarzalnych działań i jasnych ról.
9. Czy mogę połączyć certyfikację ISO 27001 z ISO 9001, ISO 22301 lub ISO 42001?
Tak. Systemy oparte są na High-Level Structure (HLS), więc można:
prowadzić wspólne audyty,
łączyć przeglądy zarządzania,
utrzymywać wspólną dokumentację tam, gdzie to logiczne,
zmniejszyć koszty audytów.
Integracja systemów zarządzania redukuje powtarzalność, uspójnia procesy i obniża koszty utrzymania systemu.
.
Akredytacja i kompetencje. Certyfikacja ISO 27001 w QSCert.
WAŻNE: Informacja o akredytacji QSCert w zakresie standardu ISO/IEC 27001 dostępna jest na stronie firmowej: https://www.qscert.com . Znajdą tam Państwo informacje co do zakresu akredytacji, daty ważności oraz certyfikat akredytacyjny. Wszystkie te dane można pobrać w formie dokumentu. Certyfikacja tego standardu ma charakter akredytowany.
Dodatkowe informacje: Certyfikacja prowadzona jest ona przez audytorów posiadających unikalne kompetencje potwierdzone certyfikatami CISA, CISM, CISSP, DRM Manager, LA ISO 27001/22301, Risk Manager ISO 31000, i innymi. Stawiamy na jakość, stawiamy na wiedzę – to Twoje poczucie komfortu podczas wywiadu audytowego.
Dlatego w takich przypadkach zachęcamy Cię do dedykowanego standardu – np. CSA Star (Cloud Computing), który stosuje cywilizowany świat. Nie chodź na skróty, każdy znawca w przedmiocie rozumie para certyfikację, szkoda utracić potencjalne korzyści, zlecenia, dobre imię. Dodatkowym argumentem wyróżniającym naszą usługę jest akredytacja w zakresie eIDAS – wg Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym. Bezpieczeństwo informacji, ciągłość działania, RODO, Privacy, Cloud Computing to nasza domena.
Certyfikacja ISO 27001, to certyfikacja na miarę XXI wieku. A gdy rozwinie się ją o ISO 22301 – o ciągłość działania dajesz znak rynkowi o wiarygodności i wadze Twojego biznesu. Spróbuj i daj feedback rynkowi, że Twój certyfikat ISO 27001 stanowi gwarancję rzetelności i wiarygodności biznesowej. Myślenie tylko poprzez standardy obsługi i jakość dzisiaj już nie wystarcza aby funkcjonować na rynku. Trzeba chronić swój biznes, swoje aktywa.
Pobierz nasz flyer o certyfikacji ISO 27001.
Odnośniki:
- 1 https://sklep.pkn.pl/
- 2 https://iso.org/
- 3 https://www.evs.ee/
- ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection. Information security management systems. Requirements – https://www.iso.org/standard/27001
Zapraszamy do współpracy, do kontaktu.
Zespół Centre of Excellence & QSCert
“Jedyną stałą rzeczą w życiu jest zmiana”
Peter F. Drucker