4crypto.eu
Bezpłatna konsultacja
Kompetencja · Dokumentacja · 2026

Polityka Bezpieczeństwa Informacji w 2026 r. - żyjący dokument, nie segregator

Autor: dr inż. Adam CzubakCzas czytania: 9 minAktualizacja: 2026-05-13

Polityka Bezpieczeństwa Informacji (PBI) to najwyższy poziom dokumentacji systemu zarządzania bezpieczeństwem informacji - formalne oświadczenie kierownictwa, jak organizacja podchodzi do ochrony informacji. Wymagana wprost przez KRI § 20 [1], ISO/IEC 27001:2022 klauzula 5.2 [2], RODO art. 24 i 32 [3] oraz NIS2 art. 21 [4].

W praktyce polskich JST i firm średnich PBI jest najczęściej dokumentem martwym - istnieje, jest podpisana, leży w segregatorze, nikt jej nie czyta i nie egzekwuje. Raport NIK [5] wprost zaznacza: "w 60% skontrolowanych jednostek polityka nie była aktualizowana ani znana personelowi". Artykuł pokazuje, jak zbudować PBI, która faktycznie działa - i jak ją audytować.

PBI - czym jest i czym nie jest

PBI jest:

  • najwyższym dokumentem w hierarchii bezpieczeństwa informacji,
  • formalnym oświadczeniem kierownictwa o celach, zasadach i zaangażowaniu,
  • fundamentem, na którym opierają się procedury, instrukcje i rejestry,
  • żyjącym dokumentem - przegląd minimum raz w roku, aktualizacja po zmianach organizacji.

PBI nie jest:

  • katalogiem konkretnych konfiguracji (to są procedury / instrukcje techniczne),
  • listą zakazów dla pracowników (regulamin / instrukcja użytkowania),
  • planem działania (to plan operacyjny),
  • dokumentem prawnym (RODO art. 13/14 informacje to oddzielny dokument).

Hierarchia dokumentów w dojrzałym SZBI (zob. SZBI):

  1. PBI - najwyżej, ~5-15 stron, deklaratywna.
  2. Polityki tematyczne - 10-30 polityk dla obszarów (kontrola dostępu, kryptografia, backup, zarządzanie incydentami, awareness, dostawcy, mobilne, monitoring).
  3. Procedury operacyjne - "jak to dokładnie robimy" (np. Procedura nadawania uprawnień).
  4. Instrukcje - "krok po kroku" (np. Instrukcja konfiguracji LAPS).
  5. Rejestry i ślady - dowody wykonania (rejestr uprawnień, rejestr incydentów, log).

Co powinno być w PBI

ISO/IEC 27001:2022 klauzula 5.2 [2] wymaga, by polityka:

  • była odpowiednia do celu organizacji,
  • zawierała cele bezpieczeństwa informacji lub stanowiła ramy do ich ustalania,
  • zawierała zobowiązanie do spełniania mających zastosowanie wymagań,
  • zawierała zobowiązanie do ciągłego doskonalenia SZBI,
  • była udostępniona osobom zainteresowanym jako udokumentowana informacja,
  • była zakomunikowana w obrębie organizacji,
  • była dostępna dla zainteresowanych stron (gdy stosowne).

Typowa struktura PBI w 4crypto (5-15 stron):

  1. Wstęp i cel - kontekst organizacji, cel polityki, do kogo adresowana.
  2. Zakres - co PBI obejmuje (jednostki, lokalizacje, systemy, kategorie informacji).
  3. Pojęcia - krótki słowniczek (najczęściej mylone).
  4. Zaangażowanie kierownictwa - podpis kierownika jednostki, formalne zobowiązanie.
  5. Zasady ogólne - least privilege, segregation of duties, defense in depth, need to know, privacy by design.
  6. Klasyfikacja informacji - jawne / wewnętrzne / poufne / tajne lub odpowiednik. Mapowanie do ustawy o ochronie informacji niejawnych (jeśli stosujemy).
  7. Role i odpowiedzialności - kierownik jednostki, IOD, kierownik SZBI/CISO, administratorzy systemów, użytkownicy. Krytyczne dla audytu - bez jasnych ról PBI jest deklaracją bez egzekwowania.
  8. Obszary tematyczne - wskazanie politik dziedzinowych (kontrola dostępu, backup, awareness…).
  9. Zarządzanie incydentami - wskazanie procedury, terminy raportowania (24h CSIRT, 72h PUODO).
  10. Audyt i przegląd - minimum raz w roku, ślad rewizji.
  11. Dyscyplina - konsekwencje naruszeń (regulamin pracy, kodeks etyki, kary umowne dla dostawców).
  12. Zatwierdzenie i wersjonowanie - data, wersja, podpis.

Mapping PBI do regulacji

Profesjonalna PBI ma macierz mapowania każdej zasady do konkretnego punktu regulacji:

  • KRI § 20 [1] - 14 obszarów § 20 ust. 2 → odpowiadające polityki tematyczne.
  • ISO/IEC 27001:2022 [2] - klauzule 4-10 + 93 kontrolki Annex A → mapowanie.
  • ISO/IEC 27002:2022 [6] - przewodnik do kontrolek (jak wdrożyć).
  • RODO art. 24, 25, 30, 32 [3] - privacy by design, środki techniczne i organizacyjne.
  • NIS2 art. 21 [4] - 10 obszarów zarządzania ryzykiem.
  • NIST CSF 2.0 [7] (jeśli stosujemy) - 6 funkcji.

Mapping jest jednorazową pracą (1-2 dni), która drastycznie ułatwia każdy następny audyt: audytor pyta o art. X - odpowiedź to "§ 4.2 PBI + Polityka Kontroli Dostępu § 3".

Najczęstsze błędy w PBI

  1. Templatka z internetu. Słowo "Organizacja" zamiast nazwy konkretnej jednostki, daty z 2015 r., referencje do nieistniejących aktów. NIK tę kategorię nazywa "imitacja polityki".
  2. Polityka 60-stronicowa. Próba zawarcia wszystkiego w jednym dokumencie. Nikt jej nie czyta. Złota zasada: PBI 5-15 stron, reszta w politykach tematycznych.
  3. Brak właścicieli zasad. "Organizacja zapewnia…" - kto konkretnie? Polityka bez przypisania odpowiedzialności = polityka nieegzekwowalna.
  4. PBI dla audytora, nie dla pracownika. Język techniczno-prawny. Pracownik, który ma się stosować, nie rozumie. Praktyka: dwie wersje - PBI "pełna" (audyt) + Skrót dla pracownika (1-2 strony, prostym językiem).
  5. Brak procesu aktualizacji. Dokument z 2018 r. po RODO, bez wzmianki o NIS2, AI Act, KSC. Przegląd minimum raz w roku i po każdej istotnej zmianie.
  6. Brak komunikacji wewnętrznej. Polityka istnieje, ale personel nie wie. Audyt sprawdza losowych pracowników - czy znają zasady, gdzie znajdują dokument, kogo pytać.
  7. Brak konsekwencji. Polityka mówi "nie udostępniamy hasła", pracownik udostępnia, brak działań dyscyplinarnych. PBI nieegzekwowana traci moc.

Audyt PBI

Audyt samej PBI (nie całego SZBI) jest stosunkowo szybki - 1-3 osobodni dla małej JST, 4-8 dla średniej organizacji. Obejmuje:

  1. Istnienie i kompletność - wszystkie obowiązkowe elementy ISO 27001 klauzuli 5.2.
  2. Aktualność - data ostatniego przeglądu < 12 miesięcy.
  3. Mapping do regulacji - kompletny, aktualny.
  4. Spójność wewnętrzna - czy zasady są wzajemnie spójne (np. czy least privilege nie kłóci się z "otwarte konta gościnne").
  5. Spójność z politykami niższego rzędu - czy polityki tematyczne realizują PBI.
  6. Komunikacja - czy PBI jest dostępna, znana (próbka pracowników), publikowana w intranecie.
  7. Świadomość kierownictwa - czy zarząd zna treść i swoją rolę.

Szerszy Audyt IT obejmuje audyt PBI + całego SZBI.

Checklist: 10 punktów dobrej PBI

Lista "czy PBI jest żyjącym dokumentem czy fikcją".

  1. Długość rozsądna. 5-15 stron. Jeśli ma 50+ - to nie PBI, to polityki tematyczne wrzucone razem.
  2. Wersjonowanie. Każda wersja: numer, data, autor zmian, podpis kierownictwa. Historia zmian dostępna.
  3. Mapping do regulacji. Macierz: zasada PBI → KRI § / ISO 27001 / RODO art. / NIS2 art.
  4. Role i odpowiedzialności wprost wymienione (nie "organizacja zapewnia" - kto konkretnie?).
  5. Klasyfikacja informacji istnieje i jest stosowana (etykiety w dokumentach, w mailach).
  6. Polityki tematyczne wymienione + linki/referencje. PBI nie próbuje opisywać szczegółów.
  7. Procedura przeglądu - minimum roczna, po istotnych zmianach (nowa regulacja, nowy system, fuzja).
  8. Komunikacja personelowi. Dostęp w intranecie, e-mailing, podpis pracownika przy onboardingu, szkolenie roczne.
  9. Zobowiązanie kierownictwa w formie podpisu (klauzula 5.1 ISO 27001 - Leadership).
  10. Spójność z politykami tematycznymi - żadnych sprzeczności. Sprawdzane przy każdym przeglądzie.

Najczęściej zadawane pytania

Ile PBI powinna mieć stron?

5-15 stron dla typowej organizacji. Więcej = polityki tematyczne wrzucone do PBI (zła praktyka). Mniej (1-3 strony) = zbyt ogólne, brak konkretnych zasad i ról.

Kto powinien podpisać PBI?

Najwyższe kierownictwo - w JST: wójt/burmistrz/prezydent/starosta/marszałek. W firmie: zarząd (członek odpowiedzialny za bezpieczeństwo). ISO 27001 klauzula 5.1 wprost wymaga "leadership" - czyli formalnego zaangażowania szczytu organizacji.

Czy mogę kupić templatkę PBI?

Możesz - i często to dobry start. Ale templatkę trzeba przeczytać, zrozumieć i dostosować do realnej organizacji. PBI "z półki" bez dostosowania jest niezgodnością audytową ISO 27001 (klauzula 5.2 - "appropriate to purpose of the organization").

Co się dzieje, gdy zmienia się szef organizacji?

PBI przegląda nowy szef i podpisuje (potwierdzając kontynuację lub wprowadzając zmiany). To moment dobry do rocznego przeglądu - często odbywa się przy zmianach kierownictwa.

Czy PBI musi być znana wszystkim pracownikom?

Tak - minimum poprzez podpis przy onboardingu (pracownik potwierdza zapoznanie) i dostęp w intranecie. Test audytowy: losowi pracownicy są zapytani, czy wiedzą, gdzie jest PBI i co to znaczy. Brak wiedzy = brak realnego wdrożenia.

Jak często aktualizować PBI?

Minimum raz w roku (klauzula 9.3 ISO 27001 - management review). Dodatkowo: po istotnych zmianach (nowa regulacja jak NIS2, nowy system kluczowy, fuzja, znaczący incydent).

Czy PBI wymaga zatwierdzenia rady nadzorczej / komisji?

W JST - zatwierdza kierownik jednostki, ewentualnie po opiniowaniu przez radę. W firmach prywatnych - zwykle zarząd. Dla podmiotów z NIS2 i odpowiedzialnością zarządu (art. 20) [4] - wprost wymagane zatwierdzenie zarządu, udokumentowane protokołem.

PBI vs Polityka Ochrony Danych Osobowych - to to samo?

Nie. To dwa różne dokumenty z różnym zakresem:

  • PBI (Polityka Bezpieczeństwa Informacji) - dotyczy wszystkich informacji organizacji (jawne, wewnętrzne, poufne, dane biznesowe, własność intelektualna, dane osobowe jako podzbiór). Wymóg KRI § 20 [1], ISO 27001:2022 klauzula 5.2 [2], NIS2 art. 21 [4].
  • Polityka Ochrony Danych Osobowych - podzbiór PBI, dotyczy wyłącznie danych osobowych. Wymóg RODO art. 24 ust. 2 i art. 32 [3].

Praktyka: w średniej JST/firmie istnieją zwykle oba dokumenty, z mapowaniem krzyżowym - PBI odsyła do Polityki ODO dla obszaru danych osobowych, ta z kolei realizuje zasady PBI w specyficznym kontekście RODO. Można je zintegrować (ang. ISO/IEC 27701 - Privacy Information Management System).

Czy PBI obowiązuje pracowników kontraktowych B2B i wolontariuszy?

Tak - w zakresie wykonywania usług dla organizacji. ISO 27001:2022 A.5.20 [2] (ang. Information security in supplier relationships) i A.6.6 (ang. Confidentiality or non-disclosure agreements) wymagają, by wszystkie osoby z dostępem do informacji organizacji podlegały zasadom bezpieczeństwa - niezależnie od formy zatrudnienia. Praktycznie:

  • Pracownicy etatowi - zapoznanie się z PBI przy onboardingu (podpis).
  • B2B/kontraktorzy/freelancerzy - załącznik do umowy zlecenia/B2B z odniesieniem do PBI.
  • Wolontariusze - krótka klauzula w porozumieniu wolontariackim + skrócona wersja PBI.
  • Dostawcy zewnętrzni (np. firma sprzątająca z dostępem do biura) - klauzula NDA + krótki security briefing.
Aktualizacja PBI - musi być w formie zarządzenia/decyzji kierownika?

W JST: tak - PBI w jednostce publicznej jest zwykle wprowadzana zarządzeniem kierownika (wójt, burmistrz, prezydent, starosta, dyrektor SP ZOZ-u itp.) z numerem ewidencyjnym, datą wejścia w życie i podpisem. Każda aktualizacja = kolejne zarządzenie uchylające poprzednie lub zmieniające konkretne paragrafy.

W firmach prywatnych: bardziej elastycznie - zwykle uchwała zarządu z protokołem lub decyzja CEO z podpisem. ISO 27001:2022 [2] wymaga jedynie "dokumentacji" faktu zatwierdzenia, nie konkretnej formy.

Czy mogę publikować PBI publicznie (np. w intranecie zewnętrznym, na stronie WWW)?

Zazwyczaj nie w całości - PBI zawiera wewnętrzne procedury, klasyfikacje, role i odpowiedzialności, które dla atakującego są informacją wywiadowczą. Praktyka:

  • Wewnętrznie - pełna PBI dostępna w intranecie / SharePoint dla pracowników.
  • Zewnętrznie - streszczenie publiczne (1-2 strony) na stronie WWW: zobowiązanie do bezpieczeństwa, ogólne zasady, kontakt do działu bezpieczeństwa. Niektóre organizacje publikują Trust Center (np. AWS, Microsoft, Google) z agregowanymi informacjami.
  • Dla klientów B2B i organów nadzorczych - pełna PBI udostępniana pod NDA na żądanie.

Klasyfikacja PBI: zwykle "wewnętrzna" lub "poufna" - nie "tajna" (PBI nie zawiera tajemnic państwowych) ale też nie "jawna" (z powyższych powodów).

Co w PBI dla małej organizacji (do 10 osób)?

Skala upraszcza, nie eliminuje wymogu. PBI dla mikrofirmy ma typowo 3-5 stron, zawiera:

  1. Cel - krótkie zobowiązanie do ochrony informacji.
  2. Klasyfikacja - uproszczona (jawne / wewnętrzne / poufne - zwykle 3 kategorie wystarczają).
  3. Role - właściciel firmy / CEO jako odpowiedzialny za bezpieczeństwo (w mniejszych organizacjach łączenie ról jest dopuszczalne, klauzula 5.3 ISO 27001:2022 [2]).
  4. Zasady - least privilege, klauzule NDA, polityka haseł, MFA, backup, antywirus, polityka mobilna.
  5. Procedura incydentu - kto dzwoni, jak eskaluje (uproszczone).
  6. Audyt - corocznie, zewnętrzny audytor / konsultant (rotacja).
  7. Podpis CEO + data + wersja.

ISO 27001:2022 klauzula 4.4 zaznacza, że SZBI ma być "proporcjonalny do złożoności i wielkości organizacji". Mikrofirma nie potrzebuje 60-stronicowej PBI.

Potrzebujesz konsultacji w tym obszarze?

Bezpłatna 30-60 minutowa konsultacja. Bez zobowiązań. Omawiamy potrzeby, skalę i ramowy harmonogram.

Zadzwoń: +48 691 122 312office@4crypto.eu

Powiązane treści

Pozostałe obszary kompetencyjne

Bibliografia i źródła

Wszystkie cytowane źródła są publicznie dostępne. Standardy ISO/IEC, RFC IETF, dyrektywy UE i akty krajowe odsyłają do oryginalnych dokumentów.

  1. [1]regulationRada Ministrów RP (2012). Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (KRI). Dz.U. 2012 poz. 526 (z późn. zm.) · https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20120000526
  2. [2]standardInternational Organization for Standardization (2022). ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection - Information security management systems - Requirements. ISO/IEC · https://www.iso.org/standard/27001
  3. [3]regulationParlament Europejski, Rada UE (2016). Rozporządzenie (UE) 2016/679 (RODO) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Dziennik Urzędowy UE, L 119, 4.5.2016 · https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32016R0679
  4. [4]regulationParlament Europejski, Rada UE (2022). Dyrektywa (UE) 2022/2555 (NIS2) w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa. Dziennik Urzędowy UE, L 333, 27.12.2022 · https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022L2555
  5. [5]reportNajwyższa Izba Kontroli (NIK) (2022). Informacja o wynikach kontroli: Realizacja zadań w obszarze cyberbezpieczeństwa przez podmioty publiczne (P/21/006). NIK, Warszawa · https://www.nik.gov.pl/kontrole/P/21/006/
  6. [6]standardInternational Organization for Standardization (2022). ISO/IEC 27002:2022 - Information security controls. ISO/IEC · https://www.iso.org/standard/75652.html
  7. [7]standardNational Institute of Standards and Technology (2024). NIST Cybersecurity Framework (CSF) 2.0. NIST CSWP 29, February 2024 · DOI: 10.6028/NIST.CSWP.29
  8. [8]standardInternational Organization for Standardization (2022). ISO/IEC 27001:2022 - Information security management systems - Requirements. ISO/IEC · https://www.iso.org/standard/27001
  9. [9]standardInternational Organization for Standardization (2022). ISO/IEC 27002:2022 - Information security controls. ISO/IEC · https://www.iso.org/standard/75652.html
  10. [10]standardInternational Organization for Standardization (2017). ISO/IEC 27003:2017 - Information security management systems - Guidance. ISO/IEC · https://www.iso.org/standard/63417.html
  11. [11]standardInternational Organization for Standardization (2022). ISO/IEC 27005:2022 - Guidance on managing information security risks. ISO/IEC · https://www.iso.org/standard/80585.html
  12. [12]standardJoint Task Force (2020). NIST SP 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations. NIST. DOI: 10.6028/NIST.SP.800-53r5 · https://doi.org/10.6028/NIST.SP.800-53r5
  13. [13]standardNational Institute of Standards and Technology (NIST) (2024). NIST Cybersecurity Framework (CSF) 2.0. NIST CSWP 29, February 2024. DOI: 10.6028/NIST.CSWP.29 · https://doi.org/10.6028/NIST.CSWP.29
  14. [14]standardInternational Organization for Standardization (2018). ISO 19011:2018 - Guidelines for auditing management systems. ISO · https://www.iso.org/standard/70017.html
  15. [15]reportEuropean Union Agency for Cybersecurity (ENISA) (2024). ENISA Threat Landscape 2024. ENISA, Heraklion. DOI: 10.2824/0710888 · https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
  16. [16]reportEuropean Union Agency for Cybersecurity (ENISA) (2023). Cybersecurity guide for SMEs - 12 steps to securing your business. ENISA · https://www.enisa.europa.eu/topics/cybersecurity-for-smes
  17. [17]standardCenter for Internet Security (2024). CIS Critical Security Controls Version 8.1. CIS · https://www.cisecurity.org/controls
  18. [18]peer-reviewedVielberth, M., Böhm, F., Fichtinger, I., Pernul, G. (2020). Security Operations Center: A Systematic Study and Open Challenges. IEEE Access, vol. 8, pp. 227756-227779. DOI: 10.1109/ACCESS.2020.3045514 · https://doi.org/10.1109/ACCESS.2020.3045514
  19. [19]reportMandiant (Google Cloud) (2024). M-Trends 2024 Special Report. Mandiant · https://services.google.com/fh/files/misc/m-trends-2024.pdf