Wdrożenie ISO 27001:2022 dla firm | certyfikacja

CERTYFIKACJE

Posiadane certyfikaty

Czym jest ISO/IEC 27001?

ISO/IEC 27001 to międzynarodowa norma określająca wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Opracowana wspólnie przez ISO i IEC, chroni trzy atrybuty informacji — poufność, integralność i dostępność — w oparciu o systematyczne zarządzanie ryzykiem. Jest jedyną normą z rodziny ISO 27000, którą można certyfikować, a aktualnie obowiązująca edycja to ISO/IEC 27001:2022 (w Polsce: PN-EN ISO/IEC 27001:2022).

Poufność, integralność i dostępność informacji
Podejście oparte na analizie ryzyka (cykl PDCA)
Wsparcie zgodności z NIS2, DORA i RODO
Międzynarodowe uznanie i przewaga w przetargach

Załącznik A · ISO/IEC 27001:2022

93 zabezpieczenia w 4 grupach

Organizacyjne (A.5)37

Technologiczne (A.8)34

Fizyczne (A.7)14

Dotyczące ludzi (A.6)8

3 lataważności certyfikatu

Etap I + IIaudyt certyfikacyjny

C · I · Apoufność, integralność, dostępność

PROCES WDROŻENIA

Wdrożenie ISO 27001 krok po kroku

Prowadzimy firmę przez cały proces budowy SZBI — od analizy luk, przez dokumentację i SoA, aż po gotowość do audytu certyfikacyjnego. Sześć konkretnych etapów, bez niespodzianek.

Ocena gotowości organizacji do ISO 27001

Audyt zerowy i analiza luk (Gap Analysis)

Rozpoczynamy od audytu zerowego, który porównuje aktualny stan bezpieczeństwa informacji z wymaganiami normy ISO/IEC 27001:2022. Identyfikujemy luki, szacujemy nakład pracy i budujemy realny harmonogram wdrożenia dopasowany do wielkości i ryzyka firmy.

Inwentaryzacja aktywów informacyjnych i procesów
Porównanie z wymaganiami normy i Załącznika A
Mapa luk (gap) z priorytetami i szacunkiem nakładu
Harmonogram wdrożenia i rekomendacja zakresu SZBI

Gap Analysis Audyt zerowy ISO 27001:2022 Readiness

Określenie granic systemu

Kontekst organizacji i zakres SZBI

Definiujemy kontekst organizacji, strony zainteresowane oraz precyzyjny zakres (scope) Systemu Zarządzania Bezpieczeństwem Informacji. Dobrze wyznaczony zakres ogranicza koszt i czas wdrożenia, jednocześnie spełniając oczekiwania klientów i regulatorów.

Analiza kontekstu wewnętrznego i zewnętrznego
Identyfikacja stron zainteresowanych i ich wymagań
Wyznaczenie zakresu SZBI (lokalizacje, procesy, systemy)
Zaangażowanie najwyższego kierownictwa i polityka SZBI

Zakres SZBI Kontekst organizacji Polityka Kierownictwo

Podejście oparte na ryzyku

Analiza i ocena ryzyka

Sercem ISO 27001 jest zarządzanie ryzykiem. Opracowujemy metodykę szacowania ryzyka, przeprowadzamy identyfikację i ocenę ryzyk dla aktywów informacyjnych oraz przygotowujemy plan postępowania z ryzykiem, dobierając adekwatne zabezpieczenia.

Metodyka i kryteria akceptacji ryzyka
Identyfikacja zagrożeń, podatności i skutków
Ocena ryzyka i rejestr ryzyka
Plan postępowania z ryzykiem i dobór zabezpieczeń

Analiza ryzyka Rejestr ryzyka Plan postępowania Aktywa

Dokumenty wymagane przez normę

Dokumentacja SZBI i Deklaracja Stosowania (SoA)

Tworzymy kompletną, ale praktyczną dokumentację SZBI — skrojoną pod Państwa procesy biznesowe, bez zbędnej biurokracji. Kluczowym dokumentem jest Deklaracja Stosowania (SoA): wspólnie ustalamy, które z 93 zabezpieczeń Załącznika A Państwo stosujecie, a my ujmujemy to w SoA wraz z uzasadnieniem każdej decyzji.

Polityka bezpieczeństwa informacji i polityki szczegółowe
Deklaracja Stosowania (SoA / Statement of Applicability)
Procedury operacyjne i zapisy SZBI
Klasyfikacja informacji i kontrola dokumentów

SoA Dokumentacja Polityki Załącznik A

Czynnik ludzki

Szkolenia i budowanie świadomości

Najlepsze zabezpieczenia techniczne nie zadziałają bez świadomych pracowników. Prowadzimy szkolenia z polityk SZBI, zasad bezpiecznej pracy i reagowania na incydenty, budując kulturę bezpieczeństwa wymaganą przez normę.

Szkolenia z polityk i procedur SZBI
Budowanie świadomości (security awareness)
Zasady reagowania na incydenty i zgłaszania zdarzeń
Testy socjotechniczne weryfikujące skuteczność szkoleń

Security Awareness Szkolenia Incydenty Kultura bezpieczeństwa

Gotowość do certyfikacji

Audyt wewnętrzny i przegląd zarządzania

Przed audytem certyfikacyjnym przeprowadzamy audyt wewnętrzny SZBI oraz przegląd zarządzania, wykrywając niezgodności i wdrażając działania korygujące. Dzięki temu firma podchodzi do audytu certyfikacyjnego maksymalnie przygotowana.

Audyt wewnętrzny SZBI względem normy
Identyfikacja niezgodności i działania korygujące
Przegląd zarządzania i mierniki skuteczności
Próbny audyt (mock audit) przed Etapem I i II

Audyt wewnętrzny Przegląd zarządzania Działania korygujące Mock audit

CERTYFIKACJA

Jak przebiega certyfikacja ISO 27001

Certyfikat wydaje niezależna, akredytowana jednostka certyfikująca — nie konsultant. My doprowadzamy SZBI do pełnej gotowości i towarzyszymy Wam na każdym etapie dwuetapowego audytu oraz w cyklu nadzoru.

Etap I

📋

Przegląd dokumentacji

Audytor jednostki certyfikującej weryfikuje dokumentację SZBI, zakres, analizę ryzyka i Deklarację Stosowania (SoA) oraz ocenia gotowość organizacji do Etapu II.

Zwykle 1–2 dni

Etap II

✅

Audyt wdrożenia

Audyt na miejscu weryfikuje, czy zabezpieczenia działają w praktyce i są skuteczne. Po pozytywnym wyniku (po zamknięciu ewentualnych niezgodności) jednostka wydaje certyfikat.

Zwykle 2–5 dni

Po certyfikacji

🔄

Nadzór i recertyfikacja

Certyfikat jest ważny 3 lata. W 2. i 3. roku odbywają się audyty nadzoru, a po trzech latach audyt recertyfikacyjny odnawia certyfikat. Wspieramy utrzymanie SZBI przez cały cykl.

Cykl 3-letni

DLA KOGO

Dla kogo jest ISO 27001

Certyfikacja jest dobrowolna, ale w wielu branżach stała się de facto warunkiem współpracy B2B i udziału w przetargach. ISO 27001 jest skalowalne — sprawdza się zarówno w startupach, jak i dużych organizacjach.

Firmy IT i software house

Dostawcy oprogramowania i usług IT, dla których bezpieczeństwo danych klienta jest argumentem sprzedażowym i wymogiem kontraktowym.

SaaS i firmy technologiczne

Producenci aplikacji SaaS, którzy muszą udowodnić bezpieczeństwo danych przed klientami enterprise (często zamiast lub obok SOC 2).

FinTech i sektor finansowy

Podmioty objęte DORA i nadzorem KNF, dla których ISO 27001 porządkuje zarządzanie ryzykiem ICT i nadzór nad dostawcami.

Ochrona zdrowia i dane osobowe

Organizacje przetwarzające dane wrażliwe i osobowe, wspierające zgodność z RODO (art. 32) i wymaganiami sektorowymi.

Podmioty objęte NIS2 / KSC

Firmy w łańcuchach dostaw infrastruktury krytycznej, dla których SZBI pokrywa znaczną część obowiązków NIS2 i ustawy o KSC.

Firmy startujące w przetargach

Organizacje, od których kontrahenci i zamawiający publiczni wymagają certyfikatu ISO 27001 jako warunku współpracy.

REGULACJE

ISO 27001 a NIS2, DORA, KSC i RODO

Wdrożenie SZBI zgodnego z ISO 27001 pokrywa znaczną część wymagań kluczowych regulacji UE i krajowych — nie zastępuje ich w całości, ale daje solidny fundament i znacząco upraszcza dochodzenie do zgodności.

Dyrektywa NIS2

ISO 27001 pokrywa większość środków zarządzania ryzykiem z art. 21 NIS2. Uzupełniamy je o wymogi unikalne dla NIS2: zgłaszanie incydentów (24 h / 72 h) i odpowiedzialność zarządu.

DORA

Dla sektora finansowego SZBI porządkuje zarządzanie ryzykiem ICT, testowanie odporności i nadzór nad dostawcami zewnętrznymi wymagane przez rozporządzenie DORA.

Ustawa o KSC (NIS2 w PL)

Krajowa implementacja NIS2. ISO 27001 stanowi praktyczny fundament wykazania należytej staranności wobec wymagań Krajowego Systemu Cyberbezpieczeństwa.

RODO / GDPR

Wdrożenie SZBI wspiera zgodność z art. 32 RODO (bezpieczeństwo przetwarzania) i dokumentuje techniczne oraz organizacyjne środki ochrony danych osobowych.

ISO 27701 / 27017 / 27018

Rozszerzenia ISO 27001: 27701 dodaje zarządzanie prywatnością (PIMS), a 27017/27018 — bezpieczeństwo i prywatność w chmurze.

SOC 2 i wymogi klientów

Dla firm SaaS ISO 27001 jest uznawanym międzynarodowo odpowiednikiem SOC 2, często akceptowanym przez klientów enterprise w procesie due diligence.

CZAS I KOSZT

Ile trwa i ile kosztuje wdrożenie ISO 27001

Wdrożenie i certyfikacja trwa zwykle od 1 do 18 miesięcy. Koszt składa się z doradztwa wdrożeniowego oraz niezależnych opłat akredytowanej jednostki certyfikującej. Poniżej orientacyjne widełki rynkowe — finalną wycenę przygotowujemy indywidualnie po bezpłatnym audycie zerowym.

	Mała firma do ~20 osób	Średnia firma MŚP	Duża organizacja enterprise
Czas wdrożenia	1–3 miesiące	2–4 miesiące	6–18 miesięcy
Model wyceny	od kilkunastu tys. zł	wycena indywidualna	wycena indywidualna
Charakterystyka	Wąski, dobrze wyznaczony zakres SZBI. Sam trzyletni cykl certyfikacji jednostki to rynkowo ok. 15–24 tys. zł netto (audyt I+II oraz audyty nadzoru).	Więcej procesów, lokalizacji i systemów. Koszt doradztwa i opłat certyfikacyjnych rośnie wraz z zakresem i liczbą zabezpieczeń.	Złożona infrastruktura, wiele lokalizacji i wymagań regulacyjnych (NIS2/DORA). Wdrożenie etapowe z dedykowanym zespołem.

Od czego zależy koszt wdrożenia ISO 27001?

Wielkość firmy, liczba lokalizacji i pracowników
Zakres SZBI i liczba zabezpieczeń wymagających wdrożenia
Dojrzałość obecnych procesów bezpieczeństwa (wynik audytu zerowego)
Wybór jednostki certyfikującej i akredytacji (PCA / IAF)

Pamiętaj o kosztach utrzymania: coroczne audyty nadzoru w 2. i 3. roku oraz audyt recertyfikacyjny po 3 latach. Dobrze zaplanowane wdrożenie ogranicza zarówno koszt początkowy, jak i nakład pracy Twojego zespołu.

CO NAS ODRÓŻNIA

Co nas odróżnia od innych firm

Nie sprzedajemy gotowych pakietów ani uniwersalnych szablonów. Dostają Państwo doświadczonego, certyfikowanego wdrożeniowca i realne wsparcie — aż do uzyskania certyfikatu.

	Gotowe pakiety 500–2000 zł / szablony	VIPentest wdrożenie z ekspertem
Dopasowanie do Twoich procesów	✕ Uniwersalne szablony, które nijak mają się do Państwa procesów biznesowych	✓ Dokumentacja SZBI/ISMS skrojona pod Państwa procesy i wymagania
Kto prowadzi wdrożenie	✕ Pliki do samodzielnego wypełnienia, bez realnego wsparcia	✓ Doświadczony, certyfikowany wdrożeniowiec przechodzi z Państwem przez wszystkie procesy
Jednostka certyfikująca	✕ Sami szukają Państwo jednostki i negocjują cenę	✓ Współpracujemy z jednostkami i mamy wynegocjowane stawki dla naszych klientów
Wsparcie podczas audytu	✕ Na audycie certyfikującym zostają Państwo sami	✓ Nasz audytor jest pod ręką — gwarancja spokoju i przejścia audytu zgodnie z planem
Cena i ryzyko	Niska cena, ale realne ryzyko nieudanego audytu i straconego czasu	Wycena indywidualna i realne doprowadzenie do certyfikatu

DLACZEGO MY

Dlaczego VIPentest wdraża ISO 27001 inaczej

Jesteśmy firmą pentestową — bezpieczeństwo techniczne to nasza codzienność. Łączymy kompetencje audytorów wiodących ISO 27001 z praktyczną wiedzą ofensywną, której nie ma żadna typowa firma doradcza.

Akredytowani audytorzy wiodący

Wdrożenie prowadzą certyfikowani audytorzy wiodący i implementerzy ISO 27001 — znamy wymagania normy i oczekiwania jednostek certyfikujących.

Realna wiedza techniczna

Jako praktycy bezpieczeństwa doradzamy w doborze adekwatnych zabezpieczeń Załącznika A i rzetelnie opisujemy je w Deklaracji Stosowania — rozumiemy technologię, nie tylko papierologię.

Wdrożenie pod klucz

Bierzemy na siebie ciężar projektu — od analizy luk, przez dokumentację i SoA, po gotowość do audytu. Twój zespół oszczędza czas, a Ty masz jeden punkt kontaktu.

Wsparcie aż do certyfikatu

Towarzyszymy Wam podczas Etapu I i II audytu certyfikacyjnego oraz w cyklu audytów nadzoru — aż do uzyskania i utrzymania certyfikatu.

Zgodność szyta na 2026

Łączymy ISO 27001 z wymaganiami NIS2, DORA i ustawy o KSC, dzięki czemu jeden projekt porządkuje wiele obowiązków regulacyjnych jednocześnie.

Pentest, który wzmacnia certyfikat

Testy penetracyjne i testy socjotechniczne dostarczają twardych dowodów skuteczności zabezpieczeń — cenionych zarówno przez audytora, jak i Twoich klientów.

FAQ

Często zadawane pytania o ISO 27001

Najczęstsze pytania o wdrożenie, koszt, czas i certyfikację ISO/IEC 27001:2022.

Ile trwa wdrożenie ISO 27001?

Wdrożenie i certyfikacja ISO/IEC 27001 trwa zwykle od 1 do 18 miesięcy. Małe firmy zamykają proces w 1–3 miesiące, średnie organizacje (MŚP) w 2–4 miesiące, a duże podmioty o złożonej infrastrukturze potrzebują 6–18 miesięcy. Po audycie zerowym przygotowujemy realny harmonogram dopasowany do Twojej firmy.

Ile kosztuje wdrożenie i certyfikacja ISO 27001?

Koszt dzieli się na dwie części: doradztwo wdrożeniowe (zależne od wielkości firmy i zakresu SZBI) oraz niezależne opłaty akredytowanej jednostki certyfikującej. Rynkowy koszt samego trzyletniego cyklu certyfikacji dla małej firmy usługowej to ok. 15 000–24 000 zł netto (audyt etapu I i II oraz dwa audyty nadzoru). Pełne wdrożenie z doradztwem wyceniamy indywidualnie po bezpłatnym audycie zerowym.

Kto wydaje certyfikat ISO 27001?

Certyfikat ISO 27001 wydaje niezależna, akredytowana jednostka certyfikująca — w Polsce akredytacji udziela Polskie Centrum Akredytacji (PCA). Firma doradcza taka jak VIPentest wdraża SZBI i przygotowuje organizację do audytu, ale nie może wydać certyfikatu. Rozdział ról gwarantuje bezstronność i uznawalność certyfikatu.

Czy certyfikat ISO 27001 jest obowiązkowy?

Certyfikacja ISO 27001 jest dobrowolna i nie wynika wprost z przepisów prawa. W branży IT, finansowej, ubezpieczeniowej i w ochronie zdrowia jest jednak de facto warunkiem udziału w przetargach i współpracy B2B, a wdrożenie SZBI pokrywa znaczną część wymagań dyrektywy NIS2 i rozporządzenia DORA.

Jak długo ważny jest certyfikat ISO 27001?

Certyfikat ISO 27001 jest ważny 3 lata, pod warunkiem pozytywnego przejścia corocznych audytów nadzoru w 2. i 3. roku cyklu. Po trzech latach przeprowadzany jest audyt recertyfikacyjny, który odnawia certyfikat na kolejne 3 lata.

Na czym polega dwuetapowy audyt certyfikacyjny?

Audyt certyfikacyjny jest dwuetapowy. Etap I to przegląd dokumentacji SZBI i ocena gotowości (zwykle 1–2 dni). Etap II to weryfikacja praktycznego wdrożenia i skuteczności zabezpieczeń na miejscu (zwykle 2–5 dni). Po pozytywnym Etapie II i zamknięciu ewentualnych niezgodności jednostka wydaje certyfikat.

Ile zabezpieczeń ma ISO 27001:2022?

Załącznik A normy ISO/IEC 27001:2022 zawiera 93 zabezpieczenia pogrupowane w 4 obszary: organizacyjne (37), dotyczące ludzi (8), fizyczne (14) i technologiczne (34). To zmiana względem wersji 2013, która liczyła 114 zabezpieczeń w 14 kategoriach.

Czym różni się ISO 27001:2022 od ISO 27001:2013?

W wersji 2022 liczbę zabezpieczeń zmniejszono ze 114 (w 14 kategoriach) do 93 (w 4 grupach), dodając 11 nowych kontroli, m.in. threat intelligence, bezpieczeństwo usług chmurowych, monitorowanie aktywności i bezpieczne kodowanie. Zmieniła się też struktura Załącznika A. Organizacje z certyfikatem w wersji 2013 musiały przejść na wersję 2022.

Czym jest Deklaracja Stosowania (SoA)?

Deklaracja Stosowania (Statement of Applicability, SoA) to obowiązkowy dokument SZBI, który dla każdego z 93 zabezpieczeń Załącznika A wskazuje, czy jest stosowane, oraz uzasadnia jego zastosowanie lub wyłączenie. SoA jest jednym z kluczowych dokumentów weryfikowanych podczas audytu certyfikacyjnego.

Czy ISO 27001 zapewnia zgodność z NIS2 i DORA?

Wdrożenie ISO/IEC 27001 pokrywa znaczną część wymagań NIS2 i DORA — zarządzanie ryzykiem, ciągłość działania, nadzór nad dostawcami i zarządzanie incydentami. Nie zastępuje ich jednak w całości: NIS2 dodaje m.in. obowiązek zgłaszania incydentów (wczesne ostrzeżenie w 24 h, zgłoszenie w 72 h) oraz osobistą odpowiedzialność zarządu.

Czy małą firmę stać na ISO 27001 i czy może je wdrożyć?

Tak. ISO 27001 jest skalowalne — zakres SZBI i dobór zabezpieczeń dopasowuje się do wielkości i ryzyka organizacji. Małe firmy mogą uzyskać certyfikat już w 1–3 miesiące, a dobrze zaplanowane wdrożenie ogranicza koszty i nakład pracy zespołu.

Czym różni się ISO 27001 od RODO?

ISO 27001 to norma zarządzania bezpieczeństwem wszystkich informacji w organizacji, a RODO to przepis prawa dotyczący wyłącznie danych osobowych. Wdrożenie ISO 27001 wspiera zgodność z art. 32 RODO (bezpieczeństwo przetwarzania), a rozszerzenie ISO/IEC 27701 dodaje do SZBI zarządzanie prywatnością (PIMS).

Gotowy na wdrożenie ISO 27001?

Umów bezpłatną konsultację wdrożeniową. Nasi audytorzy wiodący ISO 27001 ocenią gotowość Twojej firmy, oszacują czas i koszt, a następnie poprowadzą Cię aż do certyfikatu.

Napisz do nas