4crypto.eu
Bezpłatna konsultacja
Compliance · Norma międzynarodowa · 2026

ISO 27001:2022 w 2026 r. - SZBI, 93 zabezpieczenia Annex A, certyfikacja

Autor: dr inż. Adam Czubak Czas czytania: 14 min Aktualizacja: 2026-05-15

Ratio essendi

ISO 27001 powstała z praktycznej obserwacji: w latach 90. każda duża korporacja miała własne, niespójne podejście do bezpieczeństwa informacji, co utrudniało współpracę między partnerami, ocenę dostawców i pozyskiwanie ubezpieczeń. Sens normy to jednolite ramy systemu zarządzania bezpieczeństwem informacji - oparte na cyklu PDCA i analizie ryzyka, z możliwością niezależnej certyfikacji potwierdzającej dojrzałość organizacji wobec rynku. Norma świadomie nie definiuje konkretnych zabezpieczeń (to robi towarzysząca ISO 27002), lecz proces ich systematycznego wybierania, wdrażania, monitorowania i doskonalenia - zostawiając swobodę dostosowania do kontekstu, ale wymagając udokumentowanej rozliczalności.

ISO/IEC 27001 [1] (polska wersja: PN-EN ISO/IEC 27001:2023-08 [2]) to najpopularniejsza międzynarodowa norma Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Choć dobrowolna (w przeciwieństwie do regulacji), de facto stała się standardem branżowym i jest często wymagana w przetargach, kontraktach B2B oraz jako element compliance dla regulacji jak KSC, NIS2, KRI i RODO.

Aktualne wydanie - ISO/IEC 27001:2022 - wprowadziło istotne zmiany: reorganizację Annex A z 114 zabezpieczeń w 14 kategoriach na 93 zabezpieczenia w 4 grupach (organizacyjne, personalne, fizyczne, technologiczne), wraz z 11 nowymi zabezpieczeniami (m.in. threat intelligence, secure coding, data leakage prevention, web filtering). Termin migracji z 27001:2013: certyfikaty starszej wersji wygasły 31 października 2025 r.

Artykuł porządkuje strukturę normy, opisuje 10 klauzul, omawia wszystkie 93 zabezpieczenia z Annex A, przedstawia proces certyfikacji 3-letni oraz mapping do regulacji prawnych.

Czym jest ISO 27001 - historia i status

Pełna nazwa: ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection - Information security management systems - Requirements [1]. Polska wersja zharmonizowana: PN-EN ISO/IEC 27001:2023-08.

Historia normy

Norma ewoluowała przez prawie 30 lat:

  • 1995 - BS 7799 (British Standard), pierwsza wersja brytyjska.
  • 2000 - BS 7799-1 przyjęta jako ISO/IEC 17799.
  • 2005 - ISO/IEC 27001:2005, pierwsze wydanie pod numerem 27001.
  • 2013 - ISO/IEC 27001:2013, znacząca aktualizacja - 114 zabezpieczeń w 14 kategoriach.
  • 2022 - ISO/IEC 27001:2022, aktualne wydanie - reorganizacja Annex A na 93 zabezpieczenia w 4 grupach.

Status normy

ISO 27001 jest:

  • Międzynarodowa - wspólnie opracowana przez International Organization for Standardization (ISO) i International Electrotechnical Commission (IEC).
  • Dobrowolna - nie jest regulacją prawną. Organizacja sama decyduje, czy chce certyfikować.
  • Certyfikowana - po wdrożeni[10]u SZBI organizacja może uzyskać certyfikat od akredytowanej jednostki.
  • Uniwersalna - stosuje się do organizacji każdej wielkości i sektora.
  • Compatible z innymi normami - struktura High-Level Structure (HLS / Annex SL) wspólna z ISO 9001, 14001, 22301, 42001.

Dlaczego ISO 27001

Korzyści biznesowe:

  • Wymóg przetargowy - wielu klientów korporacyjnych i sektorowych wymaga ISO 27001 lub jego brak dyskwalifikuje ofertę.
  • Domniemanie zgodności - KSC § 20 ust. 3, KRI dają domniemanie zgodności dla SZBI opartego na ISO 27001.
  • Redukcja składek ubezpieczenia - cyber insurance często niższe dla certyfikowanych firm.
  • Ułatwienia w audyt[17][12]ach - audyt KSC/NIS2/KRI/RODO znacznie łatwiejszy dla certyfikowanych.
  • Dowód dojrzałości - rynkowy sygnał dla klientów i partnerów.
  • Międzynarodowe uznanie - certyfikat akceptowany globalnie.

Zmiany w wydaniu 2022

ISO/IEC 27001:2022 wprowadziło najznaczniejsze zmiany od 2013 r.

Reorganizacja Annex A

W 27001:2013 było 114 zabezpieczeń w 14 kategoriach (A.5-A.18). W 27001:2022 jest 93 zabezpieczenia w 4 grupach:

  • A.5 Zabezpieczenia organizacyjne - 37 controls.
  • A.6 Zabezpieczenia personalne - 8 controls.
  • A.7 Zabezpieczenia fizyczne - 14 controls.
  • A.8 Zabezpieczenia technologiczne - 34 controls.

Reorganizacja nie oznacza redukcji - żaden poprzedni control nie został usunięty, niektóre zostały połączone lub przeredagowane.

11 nowych zabezpieczeń

  1. A.5.7 Threat intelligence - gromadzenie i analiza informacji o zagrożeniach.
  2. A.5.23 Information security for use of cloud services - polityka i procedury cloud.
  3. A.5.30 ICT readiness for business continuity - przygotowanie IT do BCP.
  4. A.7.4 Physical security monitoring - monitoring fizyczny.
  5. A.8.9 Configuration management - zarządzanie konfiguracją.
  6. A.8.10 Information deletion - usuwanie informacji.
  7. A.8.11 Data masking - maskowanie danych.
  8. A.8.12 Data leakage prevention - DLP.
  9. A.8.16 Monitoring activities - monitoring działań.
  10. A.8.23 Web filtering - filtrowanie web.
  11. A.8.28 Secure coding - bezpieczne kodowanie.

Atrybuty zabezpieczeń

27001:2022 wprowadza atrybuty dla każdego control, ułatwiające klasyfikację i raportowanie:

  • Control type: Preventive / Detective / Corrective.
  • Information security properties: Confidentiality / Integrity / Availability.
  • Cybersecurity concepts: Identify / Protect / Detect / Respond / Recover (NIST CSF).
  • Operational capabilities: Governance / Asset management / Information protection / itd.
  • Security domains: Governance and ecosystem / Protection / Defence / Resilience.

Termin migracji

IAF (International Accreditation Forum) ustalił:

  • Od 31 października 2022 r. - możliwa certyfikacja na 27001:2022.
  • 31 października 2025 r. - wygaśnięcie certyfikatów 27001:2013.
  • Po tej dacie - wszystkie certyfikowane organizacje muszą być na 27001:2022.

Migracja - typowo wykonana podczas surveillance audit lub re-certification.

Struktura normy - 10 klauzul

ISO 27001:2022 ma standardową strukturę High-Level Structure (HLS) - 10 klauzul:

Klauzule informacyjne (1-3)

  • 1. Scope - zakres normy.
  • 2. Normative references - normy powiązane.
  • 3. Terms and definitions - definicj[9]e (odsyłają do ISO 27000).

Klauzule 1-3 są informacyjne - nie zawierają wymagań do audytu.

Klauzule normatywne (4-10) - obowiązkowe

4. Context of the organization (kontekst organizacji)

  • 4.1 Understanding the organization and its context.
  • 4.2 Understanding needs and expectations of interested parties.
  • 4.3 Determining the scope of the ISMS.
  • 4.4 Information security management system.

Organizacja musi rozumieć swój kontekst (wewnętrzny, zewnętrzny), interesariuszy (klienci, regulatorzy, pracownicy), zdefiniować zakres SZBI.

5. Leadership (przywództwo)

  • 5.1 Leadership and commitment.
  • 5.2 Policy - polityka bezpieczeństwa informacji zatwierdzona przez zarząd.
  • 5.3 Organizational roles, responsibilities and authorities.

Zarząd musi formalnie zatwierdzić SZBI, wyznaczyć odpowiedzialności.

6. Planning (planowanie)

  • 6.1 Actions to address risks and opportunities - analiza ryzyka.
  • 6.1.2 Information security risk assessme[19]nt.
  • 6.1.3 Information security risk treatment - plan postępowania z ryzykiem.
  • 6.2 Information security objectives.
  • 6.3 Planning of changes.

Centralne klauzule SZBI. SoA jest tu wymagana (6.1.3 lit. d).

7. Support (wsparcie)

  • 7.1 Resources.
  • 7.2 Competence.
  • 7.3 Awareness.
  • 7.4 Communication.
  • 7.5 Documented information.

8. Operation (działanie)

  • 8.1 Operational planning and control.
  • 8.2 Information security risk assessment - okresowa.
  • 8.3 Information security risk treatment - wdrożenie planu.

9. Performance evaluation (ocena działania)

  • 9.1 Monitoring, measurement[11], analysis and evaluation.
  • 9.2 Internal audit - audyt wewnętrzny min. raz na rok.
  • 9.3 Management review - przegląd zarządu min. raz na rok.

10. Improvement (doskonalenie)

  • 10.1 Continual improvement.
  • 10.2 Nonconformity and corrective action.

Cykl PDCA w SZBI

ISO 27001 implementuje cykl PDCA (Plan-Do-Check-Act) - klasyczne podejście do ciągłego doskonalenia (Deming cycle).

P - Plan (Planowanie)

  • Określenie zakresu SZBI (klauzula 4).
  • Polityka bezpieczeństwa (5.2).
  • Analiza ryzyka (6.1.2).
  • Plan postępowania z ryzykiem (6.1.3).
  • Cele bezpieczeństwa informacji (6.2).
  • Zasoby, kompetencje (7.1-7.2).

D - Do (Wykonanie)

  • Wdrożenie planu postępowania z ryzykiem (8.3).
  • Operacyjne procedury bezpieczeństwa.
  • Wdrożenie zabezpieczeń z Annex A.
  • Szkolenia personelu (7.3).

C - Check (Sprawdzanie)

  • Monitoring, pomiary, analiza, ocena (9.1).
  • Audyty wewnętrzne (9.2) - min. raz na rok.
  • Przegląd zarządu (9.3) - min. raz na rok.

A - Act (Działanie)

  • Ciągłe doskonalenie (10.1).
  • Działania korygujące w razie niezgodności (10.2).

Iteracja

Cykl powtarza się ciągle - SZBI nie jest projektem o końcu, to żywy system. Każde działanie korygujące wraca do planowania - aktualizacja analizy ryzyka, polityk, zabezpieczeń.

Annex A - 93 zabezpieczenia

Annex A jest najszerzej dyskutowaną częścią ISO 27001. Zawiera 93 zabezpieczenia podzielone na 4 grupy. Szczegóły każdego zabezpieczenia są w ISO/IEC 27002:2022 [3] - zob. artykuł o ISO 27002.

A.5 Zabezpieczenia organizacyjne (37 controls)

Najobszerniejsza grupa. Obejmuje:

  • A.5.1-A.5.6 - polityki, role, obowiązki.
  • A.5.7 - threat intelligence (nowy w 2022).
  • A.5.8 - bezpieczeństwo w zarządzaniu projektami.
  • A.5.9-A.5.11 - klasyfikacja informacji, oznaczanie, zarządzanie aktywami.
  • A.5.12-A.5.14 - klasyfikacja, oznaczanie, transfer informacji.
  • A.5.15-A.5.18 - kontrola dostępu, zarządzanie tożsamością, uprawnienia, prawa dostępu.
  • A.5.19-A.5.22 - zarządzanie ryzykiem łańcucha dostaw, klauzule cybersec w umowach, monitoring dostawców, zarządzanie zmianami u dostawców.
  • A.5.23 - information security for cloud services (nowy).
  • A.5.24-A.5.28 - zarządzanie incydent[13]ami, ocena, raportowanie, lessons learned, zbieranie dowodów.
  • A.5.29-A.5.30 - ciągłość działania, ICT readiness for BCP (nowy).
  • A.5.31-A.5.37 - zgodność z prawem, prawa własności intelektualnej, prywatnoś[14]ć, przegląd niezależny, ochrona przed pożarami, formalne procedury, polityki specyficzne.

A.6 Zabezpieczenia personalne (8 controls)

  • A.6.1 - screening kandydatów.
  • A.6.2 - warunki zatrudnienia obejmujące bezpieczeństwo.
  • A.6.3 - security awareness, education and training - obowiązkowe szkolenia.
  • A.6.4 - postępowanie po naruszeniu (disciplinary process).
  • A.6.5 - odpowiedzialność po zakończeniu zatrudnienia.
  • A.6.6 - NDA - umowy poufności.
  • A.6.7 - remote working - praca zdalna.
  • A.6.8 - raportowanie zdarzeń bezpieczeństwa.

A.7 Zabezpieczenia fizyczne (14 controls)

  • A.7.1-A.7.4 - perimetry, kontrola wejść, bezpieczne biura, physical security monitoring (nowy).
  • A.7.5-A.7.6 - ochrona przed zagrożeniami fizycznymi i środowiskowymi, praca w bezpiecznych obszarach.
  • A.7.7-A.7.8 - czyste biurko / czyste ekran, lokowanie i ochrona urządzeń.
  • A.7.9-A.7.10 - bezpieczeństwo aktywów poza siedzibą, nośniki danych.
  • A.7.11-A.7.12 - urządzenia użytkownika, ochrona kabli.
  • A.7.13-A.7.14 - konserwacja urządzeń, bezpieczne pozbywanie się sprzętu.

A.8 Zabezpieczenia technologiczne (34 controls)

Druga co do wielkości grupa. Pełen zakres bezpieczeństwa technicznego:

  • A.8.1-A.8.2 - urządzenia użytkownika, uprzywilejowane prawa dostępu.
  • A.8.3-A.8.5 - ograniczenie dostępu, bezpieczne uwierzytelnianie (MFA, FIDO2), bezpieczna autoryzacja.
  • A.8.6-A.8.8 - capacity management, ochrona przed malware, zarządzanie podatnościami technicznymi.
  • A.8.9-A.8.12 - configuration management, information deletion, data masking, data leakage prevention (wszystkie nowe).
  • A.8.13-A.8.14 - information backup, redundancja przetwarzania.
  • A.8.15-A.8.16 - logging, monitoring activities (nowy).
  • A.8.17-A.8.19 - synchronizacja czasu, użycie programów uprzywilejowanych, instalacja oprogramowania.
  • A.8.20-A.8.22 - bezpieczeństwo sieci, security of network services, segmentacja sieci.
  • A.8.23 - web filtering (nowy).
  • A.8.24-A.8.25 - use of cryptography, secure development lifecycle.
  • A.8.26-A.8.28 - application security requirements, secure system architecture, secure coding (nowy).
  • A.8.29-A.8.32 - security testing, outsourced development, separation of development/test/production, change management.
  • A.8.33-A.8.34 - test information, protection of information systems during audit testing.

Wybór zabezpieczeń

Organizacja nie musi implementować wszystkich 93 zabezpieczeń - wybór zależy od analizy ryzyka. Wyłączenie wymaga uzasadnienia w SoA.

Typowe organizacje implementują 75-90 z 93 zabezpieczeń. Mniej znaczy zazwyczaj, że organizacja nie zajmuje się określoną aktywnością (np. brak rozwoju oprogramowania - można wyłączyć A.8.25-A.8.30).

SoA - Statement of Applicability

Statement of Applicability (Deklaracja Stosowania) to kluczowy dokument SZBI wymagany klauzulą 6.1.3 lit. d.

Struktura SoA

Tabela / dokument zawierający dla każdego z 93 controls Annex A:

  1. Status - Applicable (zastosowane) / Not Applicable (nie dotyczy).
  2. Uzasadnienie wyłączenia, jeśli Not Applicable.
  3. Status implementacji - Implemented / Planned / Partially Implemented / Not Implemented.
  4. Sposób implementacji - referencje do polityk, procedur, narzędzi.
  5. Referencje do innych standardów - NIST CSF, KSC, ISO 27017, ISO 27018.
  6. Właściciel zabezpieczenia.
  7. Data ostatniego przeglądu.

Rola SoA w audycie

Audytor certyfikujący zaczyna audyt od SoA - to mapa całej zgodności organizacji. SoA wskazuje, czego oczekiwać w audycie:

  • Implemented - audytor weryfikuje rzeczywiste wdrożenie.
  • Planned - audytor weryfikuje harmonogram i postęp.
  • Not Applicable - audytor weryfikuje uzasadnienie.

Aktualizacja SoA

SoA jest dokumentem żywym - aktualizowanym przy każdej istotnej zmianie:

  • Nowe procesy lub systemy.
  • Zmiana skali organizacji.
  • Nowe regulacje wpływające na zabezpieczenia.
  • Wyniki analizy ryzyka.
  • Wyniki audytów.

Udostępnianie SoA

SoA może być udostępniana partnerom biznesowym (klientom, audytorom RODO/KSC) na żądanie. Większość organizacji ma skróconą wersję bezpieczną do udostępniania (bez szczegółów technicznych) i pełną wersję wewnętrzną.

Proces certyfikacji 3-letni

Certyfikacja ISO 27001 ma cykl 3-letni.

Audyt certyfikujący - dwa etapy

Stage 1 (audyt dokumentacyjny)

  • 1-2 dni.
  • Przegląd kluczowej dokumentacji (polityka, SoA, analiza ryzyka, plan postępowania, raport audytu wewnętrznego, raport przeglądu zarządu).
  • Stwierdzenie, czy organizacja jest gotowa do Stage 2.
  • Identyfikacja potencjalnych problemów do rozwiązania przed Stage 2.

Stage 2 (audyt implementacyjny)

  • 2-5 dni dla średniej organizacji.
  • Weryfikacja rzeczywistego wdrożenia.
  • Wywiady z personelem.
  • Próbkowanie dowodów - logi, dokumenty, screeny konfiguracji.
  • Sprawdzenie wszystkich klauzul 4-10 i zabezpieczeń z SoA.

Stage 1 i Stage 2 dzieli 1-3 miesiące (czas na korekty po Stage 1).

Audyty nadzorcze (Surveillance audits)

Po wydaniu certyfikatu - dwa audyty nadzorcze, na koniec roku 1 i 2:

  • 1-2 dni.
  • Próbkowanie - audytor sprawdza wybraną część klauzul i zabezpieczeń.
  • Weryfikacja: utrzymanie SZBI, doskonalenie, realizacja planu działań korygujących z poprzedniego audytu.
  • Skutek: utrzymanie certyfikatu lub niezgodności do usunięcia.

Audyt recertyfikujący (Re-certification)

Po 3 latach - pełny audyt jak certyfikujący, ale w jednym etapie (zwykle):

  • 2-5 dni.
  • Weryfikacja całego SZBI.
  • Wydanie nowego certyfikatu na kolejne 3 lata.

Klasyfikacja niezgodności

  • Major (duża) - poważne odstępstwo. Wymaga ponownego audytu (re-audit). Wstrzymuje wydanie certyfikatu.
  • Minor (mała) - drobne odstępstwo. Plan działań korygujących z terminem do 90 dni. Certyfikat może być wydany z monitorowaniem.
  • OFI / Observation (Opportunity for Improvement) - sugestia. Nie wpływa na certyfikat.

Jednostki certyfikujące w Polsce

Certyfikaty ISO 27001 wydają akredytowane jednostki certyfikujące spełniające PN-EN ISO/IEC 17021-1 [7].

Akredytacja

Akredytację w Polsce nadaje Polskie Centrum Akredytacji (PCA) [8]. Akredytacja PCA jest uznawana w UE i globalnie poprzez umowy międzynarodowe (EA, IAF).

Główne polskie jednostki

  • TUV NORD Polska - jedna z najpopularniejszych.
  • TUV Rheinland Polska - silna pozycja w sektorze produkcyjnym i medycznym.
  • TUV SUD Polska.
  • DEKRA Certification Sp. z o.o..
  • DNV Business Assurance Poland - mocny w sektorze morskim, energetycznym.
  • BSI Group Polska - brytyjski standard, prestiżowy w sektorze finansowym.
  • Bureau Veritas Certification Polska.
  • Lloyd's Register Polska.
  • Polski Rejestr Statków (PRS).

Wybór jednostki

Kryteria wyboru:

  • Międzynarodowe uznanie - dla działalności globalnej preferowane TUV, BSI, DNV.
  • Specjalizacja sektorowa - niektóre jednostki mocniejsze w określonych sektorach.
  • Styl audytu - jedne bardziej formalne (prestige), inne bardziej praktyczne (pragmatic).
  • Cena - różnice 20-50% między jednostkami.
  • Dostępność audytorów - mówiących po polsku, dostępnych w terminie.

Koszty wdrożenia i certyfikacji

Trzy kategorie kosztów

1. Wdrożenie (konsulting + dokumentacja)

  • Mała firma (do 50 osób): 30-80 tys. zł.
  • Średnia (50-200 osób): 80-250 tys. zł.
  • Duża (200+ osób): 250 tys. zł - 1 mln zł.

2. Wdrożenia techniczne

Jeśli organizacja nie ma jeszcze SOC[20], EDR, SIEM, MFA - dodatkowo 100-500 tys. zł.

3. Audyt certyfikacyjny

  • Audyt stage 1+2: 15-50 tys. zł.
  • Audyty nadzorcze co rok: 10-30 tys. zł.
  • Recertyfikacja co 3 lata: 15-40 tys. zł.

Łączny budżet

Średnia organizacja (50-200 osób), bez wcześniejszych wdrożeń:

  • Pierwszy rok: 200-500 tys. zł.
  • Utrzymanie rocznie: 50-100 tys. zł.
  • 3-letni cykl: ~350-700 tys. zł.

ROI

Korzyści biznesowe:

  • Dostęp do przetargów wymagających ISO 27001 - wartość rocznych kontraktów może wielokrotnie przewyższać koszt certyfikacji.
  • Redukcja składek ubezpieczenia cyber - 10-30%.
  • Ułatwienia w due diligence - sprzedaż firmy, fuzje.
  • Redukcja ryzyka incydentów - mniejsze straty z naruszeń.

Normy poboczne: 27002, 27005, 27017, 27018

ISO/IEC 27002:2022 - kodeks praktyk

Szczegóły zabezpieczeń z Annex A ISO 27001. Nie certyfikuje się - to przewodnik implementacyjny. Zob. artykuł o ISO 27002.

ISO/IEC 27005:2022 - zarządzanie ryzykiem

Metodologia zarządzania ryzykiem bezpieczeństwa informacji [4]. Praktyczne wytyczne dla analizy ryzyka wymaganej klauzulą 6.1.2.

ISO/IEC 27017:2015 - chmura (kontroler)

Kodeks praktyk dla usług chmurowych [5]. Rozszerza Annex A o specyficzne dla chmury zabezpieczenia. Stosowany przez dostawców (AWS, Azure, GCP) i klientów chmurowych.

ISO/IEC 27018:2019 - chmura (processor PII)

Kodeks praktyk dla ochrony PII (Personally Identifiable Information) w chmurach publicznych [6]. Skierowany do dostawców chmury jako processor danych osobowych. Silne powiązanie z RODO.

Inne normy serii 27000

  • ISO 27003 - przewodnik wdrożenia SZBI.
  • ISO 27004 - mierniki bezpieczeństwa.
  • ISO 27007 - audyt SZBI.
  • ISO 27014 - governance.
  • ISO 27035 - zarządzanie incydentami.
  • ISO 27040 - bezpieczeństwo pamięci masowych.
  • ISO 27701 - zarządzanie informacjami o prywatności (extension dla RODO).

Mapping do KSC, NIS2, KRI, RODO

ISO 27001 vs KSC

KSC [1] art. 8 ust. 5 wymaga SZBI zgodnego z PN-ISO/IEC 27001 dla OUK. Certyfikat ISO 27001 daje domniemanie zgodności z KSC w obszarze SZBI. Zob. artykuł o KSC.

ISO 27001 vs NIS2

NIS2 wymaga 11 środków z art. 21. ISO 27001:2022 z Annex A pokrywa wszystkie 11 środków:

  • NIS2 (a) polityki i analiza ryzyka -> ISO 5.2, 6.1.2, A.5.1.
  • NIS2 (b) incydenty -> A.5.24-A.5.28.
  • NIS2 (c) ciągłość -> A.5.29-A.5.30.
  • NIS2 (d) łańcuch dostaw -> A.5.19-A.5.22.
  • NIS2 (e) nabywanie systemów -> A.8.25-A.8.30.

Praktycznie - certyfikat ISO 27001 pokrywa 70-80% obowiązków NIS2. Zob. artykuł o NIS2.

ISO 27001 vs KRI

KRI § 20 ust. 3 daje domniemanie zgodności dla SZBI opartego na PN-ISO/IEC 27001. Certyfikat = pełna zgodność z KRI w obszarze SZBI. Zob. artykuł o KRI.

ISO 27001 vs RODO

Komplementarne. RODO chroni dane osobowe, ISO 27001 - całość informacji organizacji (w tym dane osobowe). Środki techniczne i organizacyjne RODO art. 32 są w pełni pokryte przez Annex A. Dodatkowo - ISO 27701 jest extension dla zarządzania prywatnością, mapping bezpośredni do RODO. Zob. artykuł o RODO.

ISO 27001 vs DORA

DORA wymaga ICT Risk Management Framework[15] - ISO 27001 jest doskonałą bazą. Większość obowiązków DORA jest pokryta przez ISO 27001 + dodatki sektorowe (TLPT, klauzule umowne art. 30). Zob. artykuł o DORA.

Frameworki kompatybilne

  • NIST CSF - mapping do ISO 27001 jest publicznie dostępny. Większość zabezpieczeń A.5-A.8 ma równoważnik w NIST CSF.
  • NIST SP 800-53 - katalog amerykańskich kontroli federalnych. Mapping istnieje.
  • SOC 2 - AICPA, popularny w USA. ISO 27001 i SOC 2 typ II - często certyfikowane łącznie.
  • CIS Controls - praktyczny zestaw 18 kontroli.

Najczęstsze błędy w certyfikacji

Po audytach klientów obserwujemy powtarzające się problemy:

  1. Polityka jako templatka. Skopiowana z internetu, nieodzwierciedlająca organizacji. Audytor widzi natychmiast.
  2. Analiza ryzyka raz na zawsze. Dokument sprzed 2 lat, nieaktualizowany. Klauzula 8.2 wymaga okresowych analiz.
  3. SoA niezsynchronizowana z rzeczywistością. Mówi 'implemented', a w praktyce dopiero planowane.
  4. Brak dowodów. Polityki są, ale brak dowodów ich realizacji - listy szkoleń, raporty audytów, logi.
  5. Audyt wewnętrzny formalny. Obowiązek z klauzuli 9.2, ale audyt 'na papierze', bez prawdziwej analizy.
  6. Brak zaangażowania zarządu. Klauzula 5.1 wymaga commitment - przegląd zarządu (9.3) jest często formalnością.
  7. Lekceważenie A.5.19-A.5.22 (łańcuch dostaw). Brak rejestru dostawców, klauzul cybersec w umowach.
  8. Brak procedur dla nowych zabezpieczeń 2022. Threat intelligence, secure coding, DLP - często pominięte w SoA.
  9. Niezgodność dokumentacji z praktyką. Procedura mówi co innego niż rzeczywiste działanie.
  10. Brak metryk bezpieczeństwa. Klauzula 9.1 wymaga pomiarów - ile incydentów, jaki MTTR, kto przeszedł szkolenia.
  11. Reaktywna kultura. Wdrożenia tylko po incydencie, brak proaktywnego zarządzania ryzykiem.
  12. Migracja z 27001:2013 odłożona. Po 31 października 2025 r. - certyfikat wygasł.

Checklist: 10 punktów gotowości do certyfikacji ISO 27001

Lista high-impact przed pierwszym audytem certyfikacyjnym. Brak któregokolwiek z elementów może oznaczać niezgodności w audycie.

  1. Polityka bezpieczeństwa zatwierdzona przez zarząd, znana personelowi, dopasowana do organizacji.
  2. Zakres SZBI (klauzula 4.3) - jasno określony, udokumentowany, z mapą procesów.
  3. Analiza ryzyka (6.1.2) - aktualna (nie starsza niż 12 miesięcy), z metodologią, listą zagrożeń, oceną.
  4. Plan postępowania z ryzykiem (6.1.3) - z konkretnymi działaniami, terminami, odpowiedzialnymi.
  5. SoA - kompletna, aktualna, z uzasadnieniem wyłączeń.
  6. Dokumentacja procedur dla każdego zaimplementowanego zabezpieczenia z A.5-A.8.
  7. Dowody operacyjne - rejestry incydentów, listy szkoleń, raporty z testów backupu, logi.
  8. Audyt wewnętrzny (9.2) - przeprowadzony min. raz w cyklu, z raportem i planem działań korygujących.
  9. Przegląd zarządu (9.3) - udokumentowany, z protokołem decyzji.
  10. Doskonalenie (10.1, 10.2) - dowody działań korygujących z poprzednich audytów wewnętrznych.

Najczęściej zadawane pytania

Co to ISO 27001?

ISO/IEC 27001 to międzynarodowa norma określająca wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Aktualne wydanie: ISO/IEC 27001:2022 (polski odpowiednik PN-EN ISO/IEC 27001:2023-08).

ISO 27001 nie jest regulacją prawną - to standard dobrowolny, ale powszechnie uznawany jako de facto standard. Norma stosuje cykl PDCA i wymaga wdrożenia SZBI obejmującego: politykę, analizę ryzyka, plan postępowania z ryzykiem, zabezpieczenia, monitorowanie, audyty wewnętrzne, doskonalenie.

Certyfikat ISO 27001 jest często wymagany w przetargach, kontraktach B2B, jako element compliance dla KSC/NIS2/RODO.

Czym różni się ISO 27001:2013 od 27001:2022?

Najważniejsze zmiany w 27001:2022:

  1. Reorganizacja Annex A - z 114 zabezpieczeń w 14 kategoriach na 93 zabezpieczenia w 4 grupach: A.5 Organizacyjne (37), A.6 Personalne (8), A.7 Fizyczne (14), A.8 Technologiczne (34).
  2. 11 nowych zabezpieczeń: threat intelligence, cloud security, ICT readiness, physical monitoring, configuration management, information deletion, data masking, DLP, monitoring activities, web filtering, secure coding.
  3. Aktualizacja klauzul 4-10 - drobne zmiany.
  4. Atrybuty zabezpieczeń - typy, właściwości CIA, koncepcje cybersec.

Termin migracji: certyfikaty 27001:2013 wygasły 31 października 2025 r.

Jakie są 93 zabezpieczenia z Annex A?

Annex A ISO/IEC 27001:2022 dzieli 93 zabezpieczenia na 4 grupy:

  • A.5 ORGANIZACYJNE (37 controls) - polityki, role, threat intelligence, klasyfikacja, kontrola dostępu, łańcuch dostaw, cloud, ciągłość działania, zarządzanie incydentami.
  • A.6 PERSONALNE (8 controls) - screening, NDA, security awareness, postępowanie po naruszeniu, remote work.
  • A.7 FIZYCZNE (14 controls) - perimetry, kontrola wejścia, monitoring fizyczny, ochrona kabli, konserwacja.
  • A.8 TECHNOLOGICZNE (34 controls) - urządzenia, MFA, kryptografia, segmentacja, malware, backup, logging, secure coding, vulnerability management, DLP.

Szczegóły są w ISO/IEC 27002:2022.

Co to SoA (Statement of Applicability)?

Statement of Applicability (Deklaracja Stosowania) to kluczowy dokument SZBI wymagany klauzulą 6.1.3. Zawiera listę wszystkich 93 zabezpieczeń z Annex A z informacją:

  1. Czy są zastosowane (Applicable / Not Applicable) z uzasadnieniem.
  2. Status implementacji (Implemented / Planned / Not Implemented).
  3. Sposób implementacji.
  4. Referencje do innych standardów.

SoA jest dokumentem żywym - aktualizowanym przy każdej istotnej zmianie. Audytor certyfikujący zaczyna audyt od SoA. Wyłączenie zabezpieczenia zawsze wymaga uzasadnienia.

Jak długo trwa certyfikacja ISO 27001?

Wdrożenie ISO 27001 od zera dla średniej organizacji (50-200 pracowników) - typowo 9-18 miesięcy:

  • Miesiące 1-3 - gap analysis, decyzja zarządu, alokacja zasobów.
  • Miesiące 3-9 - polityki i procedury, analiza ryzyka, wdrożenia techniczne, szkolenia.
  • Miesiące 9-12 - testy, audyty wewnętrzne, doskonalenie.
  • Miesiące 12-15 - audyt zewnętrzny (stage 1 + stage 2).
  • Miesiąc 15-18 - usunięcie niezgodności, wystawienie certyfikatu.

Certyfikat jest ważny 3 lata - z audytami nadzorczymi co rok i recertyfikacją po 3 latach.

Ile kosztuje certyfikacja ISO 27001?

Trzy kategorie kosztów:

  1. Wdrożenie (konsulting) - mała firma 30-80 tys. zł, średnia 80-250 tys. zł, duża 250 tys. - 1 mln zł.
  2. Wdrożenia techniczne - dodatkowo 100-500 tys. zł, jeśli organizacja nie ma SOC, EDR, SIEM, MFA.
  3. Audyt - certyfikacyjny 15-50 tys. zł, audyt nadzorczy 10-30 tys. zł rocznie, recertyfikacja 15-40 tys. zł.

Łącznie pierwszy rok dla średniej organizacji: 200-500 tys. zł. Utrzymanie rocznie: 50-100 tys. zł.

Kto wydaje certyfikaty ISO 27001 w Polsce?

Certyfikaty wydają akredytowane jednostki certyfikujące spełniające PN-EN ISO/IEC 17021-1. Akredytację nadaje Polskie Centrum Akredytacji (PCA).

Główne polskie jednostki: TUV NORD, TUV Rheinland, TUV SUD, DEKRA, DNV, BSI Group, Bureau Veritas, Lloyd's Register, PRS.

Wybór: dla działalności międzynarodowej preferowane międzynarodowe brandy (TUV, BSI, DNV). Dla krajowej - krajowe jednostki dają równoważny certyfikat.

Czy ISO 27001 wystarczy dla KSC/NIS2?

ISO 27001 to bardzo dobra baza, ale nie wystarcza w pełni. Pokrywa: SZBI, polityki, analizę ryzyka, środki techniczne i organizacyjne, audyt.

Co dodatkowe w KSC/NIS2:

  • Zgłaszanie incydentów do CSIRT (24h / 72h / 1 miesiąc).
  • Współpraca z organem właściwym.
  • Łańcuch dostaw w NIS2 - rygorystyczne.
  • Odpowiedzialność zarządu - NIS2 art. 20.

Praktyka: organizacja z ISO 27001 ma 70-80% obowiązków KSC/NIS2 spełnionych. Pozostałe 20-30% to dodatkowe procedury specyficzne dla regulacji.

Co to ISO 27017 i 27018?

Normy poboczne ISO 27001 specyficzne dla chmury:

  • ISO/IEC 27017:2015 - kodeks praktyk dla usług chmurowych. Rozszerza Annex A o zabezpieczenia chmurowe.
  • ISO/IEC 27018:2019 - kodeks praktyk dla ochrony PII (danych osobowych) w chmurach publicznych. Silne powiązanie z RODO.

AWS, Azure, GCP - wszystkie certyfikowane w 27001, 27017, 27018. Organizacja może uzyskać certyfikat 27001 z dodatkowym 27017 lub 27018 typowo w jednym audycie.

Czy małe firmy mogą uzyskać ISO 27001?

Tak. ISO 27001 nie ma wymagania minimalnej wielkości. Małe firmy (10-50 osób) mogą i regularnie uzyskują certyfikat.

Zalety: zasada proporcjonalności - SZBI dostosowany do skali, mniejsza dokumentacja, krótszy audyt.

Wyzwania: koszt względny może być wysoki (40-80 tys. zł wdrożenia + audyt), wymaga zaangażowania.

Dla mikrofirm (do 10 osób) - rzadziej, chyba że klient B2B wymaga. Pomocne: konsultanci zewnętrzni, narzędzia automatyzujące (Vanta, Drata).

Co jeśli wykryto niezgodność w audycie?

Niezgodności dzielą się na trzy poziomy:

  1. Major (duża) - poważne odstępstwo. Wymaga natychmiastowych działań i ponownego audytu przed wydaniem certyfikatu.
  2. Minor (mała) - drobne odstępstwo. Plan działań korygujących z terminem do 90 dni. Certyfikat może być wydany z monitorowaniem.
  3. OFI (Opportunity for Improvement) - sugestia, nie obowiązek.

W razie wielu poważnych niezgodności jednostka może zawiesić certyfikat - to publiczna informacja, mająca konsekwencje reputacyjne.

Jak wygląda audyt nadzorczy?

Po wydaniu certyfikatu jednostka przeprowadza dwa audyty nadzorcze - na koniec roku 1 i 2 cyklu.

Cele:

  • Weryfikacja utrzymania i doskonalenia SZBI.
  • Sprawdzenie realizacji planu działań korygujących.
  • Audyt wybranej próbki (nie wszystkich klauzul).

Czas trwania: 1-2 dni. Po 3 latach - audyt recertyfikujący, pełny zakres, wydanie nowego certyfikatu.

Potrzebujesz konsultacji w zakresie ISO 27001?

Bezpłatna 30-60 minutowa konsultacja. Bez zobowiązań. Sprawdzamy stan SZBI, mapujemy luki, omawiamy roadmap do certyfikacji.

Zadzwoń: +48 691 122 312 office@4crypto.eu

Powiązane treści

Normy i regulacje

Usługi związane

Bibliografia i źródła

Wszystkie cytowane źródła są publicznie dostępne. Normy ISO/IEC są płatne, ale dostępne przez krajowe komitety normalizacyjne.

  1. [1]standardISO/IEC (2022). ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection - Information security management systems - Requirements · https://www.iso.org/standard/27001
  2. [2]standardPolski Komitet Normalizacyjny (2023). PN-EN ISO/IEC 27001:2023-08 - polska wersja zharmonizowana · https://www.pkn.pl
  3. [3]standardISO/IEC (2022). ISO/IEC 27002:2022 - Information security controls · https://www.iso.org/standard/75652
  4. [4]standardISO/IEC (2022). ISO/IEC 27005:2022 - Information security risk management · https://www.iso.org/standard/80585.html
  5. [5]standardISO/IEC (2015). ISO/IEC 27017:2015 - Code of practice for information security controls based on ISO/IEC 27002 for cloud services · https://www.iso.org/standard/43757.html
  6. [6]standardISO/IEC (2019). ISO/IEC 27018:2019 - Code of practice for protection of PII in public clouds acting as PII processors · https://www.iso.org/standard/76559.html
  7. [7]standardISO/IEC (2015). PN-EN ISO/IEC 17021-1:2015 - Wymagania dla jednostek prowadzących audit i certyfikację systemów zarządzania · https://www.iso.org/standard/61651.html
  8. [8]guidelinePolskie Centrum Akredytacji (PCA). Akredytacja jednostek certyfikujących systemy zarządzania · https://www.pca.gov.pl/
  9. [9]standardInternational Organization for Standardization (2018). ISO/IEC 27000:2018 - Information security management systems - Overview and vocabulary. ISO/IEC · https://www.iso.org/standard/73906.html
  10. [10]standardInternational Organization for Standardization (2017). ISO/IEC 27003:2017 - Information security management systems - Guidance. ISO/IEC · https://www.iso.org/standard/63417.html
  11. [11]standardInternational Organization for Standardization (2016). ISO/IEC 27004:2016 - Information security management - Monitoring, measurement, analysis and evaluation. ISO/IEC · https://www.iso.org/standard/64120.html
  12. [12]standardInternational Organization for Standardization (2020). ISO/IEC 27007:2020 - Guidelines for information security management systems auditing. ISO/IEC · https://www.iso.org/standard/77802.html
  13. [13]standardInternational Organization for Standardization (2023). ISO/IEC 27035-1:2023 - Information security incident management - Part 1: Principles and process. ISO/IEC · https://www.iso.org/standard/78973.html
  14. [14]standardInternational Organization for Standardization (2019). ISO/IEC 27701:2019 - Privacy Information Management System (PIMS) - Requirements and guidelines. ISO/IEC · https://www.iso.org/standard/71670.html
  15. [15]standardNational Institute of Standards and Technology (NIST) (2024). NIST Cybersecurity Framework (CSF) 2.0. NIST CSWP 29, February 2024. DOI: 10.6028/NIST.CSWP.29 · https://doi.org/10.6028/NIST.CSWP.29
  16. [16]standardJoint Task Force (2020). NIST SP 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations. NIST. DOI: 10.6028/NIST.SP.800-53r5 · https://doi.org/10.6028/NIST.SP.800-53r5
  17. [17]standardInternational Organization for Standardization (2018). ISO 19011:2018 - Guidelines for auditing management systems. ISO · https://www.iso.org/standard/70017.html
  18. [18]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). ENISA Threat Landscape 2024. ENISA, Heraklion. DOI: 10.2824/0710888 · https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
  19. [19]reportEuropean Union Agency for Cybersecurity (ENISA) (2023). Cybersecurity guide for SMEs - 12 steps to securing your business. ENISA · https://www.enisa.europa.eu/topics/cybersecurity-for-smes
  20. [20]peer-reviewedVielberth, M., B�hm, F., Fichtinger, I., Pernul, G. (2020). Security Operations Center: A Systematic Study and Open Challenges. IEEE Access, vol. 8, pp. 227756-227779. DOI: 10.1109/ACCESS.2020.3045514 · https://doi.org/10.1109/ACCESS.2020.3045514