NORMA ISO/IEC 27001:2022 - SZBI

Przygotuj swoją certyfikację ISO 27001
bez tracenia na to 6 miesięcy

ISO/IEC 27001 to międzynarodowa norma referencyjna dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Coraz częściej wymagana przez zleceniodawców, w przetargach, przez ubezpieczycieli cyber lub dla dostępu do niektórych rynków eksportowych, SYAGA wspiera Cię od oceny luk (gap assessment) aż po przygotowanie do audytu certyfikującego.

93
Zabezpieczeń Załącznika A (wyd. 2022)
4
Tematy bezpieczeństwa
7
Klauzul zarządzania (4-10)
1
Dostarczona Deklaracja Stosowania

Kontekst

ISO 27001 nie jest ogólnym obowiązkiem prawnym, ale staje się nieodzownym wymogiem komercyjnym

📋

Dobrowolna certyfikacja, ale coraz częściej wymagana

ISO/IEC 27001 pozostaje dobrowolnym podejściem. Jest jednak coraz częściej wymagana w przetargach, przez dużych zleceniodawców, przez niektórych ubezpieczycieli cyber, lub jako warunek dostępu do niektórych rynków eksportowych.

🔒

Niewiele MŚP sformalizowało swój SZBI

Większość MŚP i ETI nie podjęła żadnego ustrukturyzowanego działania w zakresie Systemu Zarządzania Bezpieczeństwem Informacji. Temat jest postrzegany jako złożony, techniczny i długotrwały.

💰

Długie i kosztowne wsparcia

Klasyczne projekty certyfikacyjne angażują Twoje zespoły na kilka miesięcy i stanowią znaczącą inwestycję, często poza zasięgiem MŚP.

Twoje zespoły IT są już przeciążone

Angażowanie CIO lub kierownika bezpieczeństwa na miesiące do budowy SZBI nie jest realistyczne w MŚP, gdzie każdy nosi już kilka kapeluszy naraz.

Metoda ISO27001-Express

Ustrukturyzowane podejście w 3 fazach, oparte na tej samej metodologii już sprawdzonej przez SYAGA w PSSI-Express

1
Faza 1 - Gap Assessment

Ocena 93 zabezpieczeń Załącznika A

Rozmowa ustalająca zakres z kierownictwem i osobą odpowiedzialną za IT, następnie systematyczna ocena każdego z 93 zabezpieczeń bezpieczeństwa z Załącznika A (edycja 2022), rozłożonych na 4 tematy: organizacyjny, ludzki, fizyczny i technologiczny. Przekazanie faktograficznego raportu luk.

2
Faza 2 - Dokumentacja SZBI

Polityka bezpieczeństwa, SoA i plan naprawczy

Opracowanie lub aktualizacja polityki bezpieczeństwa (SZBI), Deklaracji Stosowania (SoA) uzasadniającej zastosowanie lub wyłączenie każdego z 93 zabezpieczeń, oraz uszeregowanego planu naprawczego, mającego wypełnić luki zidentyfikowane w fazie 1.

3
Faza 3 - Wsparcie w drodze do certyfikacji

Przygotowanie do audytu przez jednostkę certyfikującą

Monitorowanie wdrażania planu naprawczego, przegląd dokumentacji oraz przygotowanie Twojego zespołu do audytu realizowanego przez niezależną akredytowaną jednostkę certyfikującą. SYAGA przygotowuje Cię do audytu; sama certyfikacja jest wydawana przez tę zewnętrzną jednostkę.

Co otrzymujesz

Kluczowe dokumenty dokumentacji certyfikacji ISO 27001

📊

Raport Gap Assessment

Faktograficzna ocena Twojego poziomu zgodności z normą.

  • Ocena 93 zabezpieczeń Załącznika A
  • Status dla każdego zabezpieczenia: zgodne / częściowe / niezgodne
  • Podsumowanie wg tematu (organizacyjny, ludzki, fizyczny, technologiczny)
  • Faktograficzne ustalenia, bez ocen wartościujących
🔐

Deklaracja Stosowania (SoA)

Centralny dokument normatywny dokumentacji certyfikacji ISO 27001.

  • Status stosowane/wyłączone dla każdego z 93 zabezpieczeń
  • Uzasadnienie każdego wyłączenia
  • Odniesienie do dokumentów SZBI
  • Gotowa do przedstawienia jednostce certyfikującej
📝

Polityka bezpieczeństwa (SZBI)

Dokument governance wymagany przez klauzule 4-10 normy.

  • Zakres i kontekst SZBI
  • Role i odpowiedzialności bezpieczeństwa
  • Proces zarządzania ryzykiem
  • Cykl ciągłego doskonalenia (PDCA)
🎯

Uszeregowany plan naprawczy

Mapa drogowa do wypełnienia zidentyfikowanych luk.

  • Działania uszeregowane wg priorytetu
  • Środki organizacyjne i techniczne
  • Śledzenie postępu
  • Stopniowe przygotowanie do audytu
📄

Procedury operacyjne

Dokumenty gotowe do bezpośredniego stosowania przez Twoje zespoły.

  • Zarządzanie incydentami bezpieczeństwa
  • Zarządzanie dostępami i tożsamościami
  • Zarządzanie zmianami
  • Karta informatyczna
💻

Pliki edytowalne

Wszystkie dokumenty w formatach, które możesz rozwijać.

  • Samodzielny HTML (otwierany w każdej przeglądarce)
  • PDF wysokiej jakości (druk A4)
  • Edytowalny DOCX (Microsoft Word)
  • Aktualizacja przy każdym rocznym przeglądzie

Fundament dokumentacyjny do wielokrotnego wykorzystania

SZBI ISO 27001 naturalnie pokrywa się z wieloma standardami

ISO

ISO/IEC 27001:2022

Standard centralny: klauzule 4-10 (wymagania zarządzania) i Załącznik A (93 zabezpieczenia bezpieczeństwa podzielone na 4 tematy).

N2

Pomost z NIS2

Środki zarządzania ryzykiem cybernetycznym wymagane przez dyrektywę NIS2 w dużej mierze pokrywają się z zabezpieczeniami Załącznika A ISO 27001. SZBI ISO 27001 ułatwia dostosowanie do zgodności NIS2 objętym podmiotom.

AN

Przewodnik ANSSI - Higiena informatyczna

Środki przewodnika higieny informatycznej ANSSI (francuska agencja ds. cyberbezpieczeństwa) pokrywają się w znacznej części z zabezpieczeniami Załącznika A ISO 27001. Odniesienie udokumentowane w planie naprawczym.

RG

RODO (Art. 32)

Odpowiednie środki techniczne i organizacyjne wymagane przez artykuł 32 RODO opierają się na tych samych dobrych praktykach co Załącznik A ISO 27001 (kontrola dostępu, szyfrowanie, zarządzanie incydentami).

Oferty dopasowane do Twojego kontekstu

Każdy projekt ISO 27001 jest dostosowany do Twojego zakresu i obecnej dojrzałości. Zawsze spersonalizowana wycena.

Gap Assessment

Wstępna fotografia Twoich luk

Na wycenę
w zależności od zakresu i liczby pracowników
  • Ocena 93 zabezpieczeń Załącznika A
  • Raport ustaleń faktograficznych
  • Podsumowanie wg tematu bezpieczeństwa
  • Prezentacja kierownictwu
  • Formaty HTML + PDF + DOCX
Poproś o wycenę

Roczne utrzymanie

Po certyfikacji lub w sposób ciągły

Na wycenę
w zależności od zakresu i liczby pracowników
  • Coroczny przegląd SZBI
  • Aktualizacja SoA
  • Aktualizacja planu naprawczego
  • Przygotowanie do audytów nadzoru
Poproś o wycenę

Najczęściej zadawane pytania

Czym jest norma ISO/IEC 27001?
ISO/IEC 27001 to międzynarodowa norma referencyjna dla wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). W edycji 2022 jest ustrukturyzowana w klauzule 4-10 (wymagania zarządzania: kontekst, przywództwo, planowanie, wsparcie, działanie, ocena, doskonalenie) oraz Załącznik A liczący 93 zabezpieczenia bezpieczeństwa podzielone na 4 tematy: organizacyjny, ludzki, fizyczny i technologiczny.
Czy ISO 27001 jest obowiązkowa dla mojej firmy?
Nie, ISO 27001 jest certyfikacją dobrowolną, w przeciwieństwie do przepisów regulacyjnych, jak NIS2. Z drugiej strony jest coraz częściej wymagana de facto: przetargi, wymagania dużych zleceniodawców, warunki ubezpieczenia cyber lub dostęp do niektórych rynków eksportowych. To wybór strategiczny bardziej niż ogólny obowiązek prawny.
Czy SYAGA wydaje certyfikację?
Nie. Certyfikacja ISO 27001 jest wydawana wyłącznie przez niezależną akredytowaną jednostkę certyfikującą, na koniec audytu zewnętrznego. SYAGA wspiera Cię w przygotowaniu (gap assessment, dokumentacja SZBI, plan naprawczy, przygotowanie Twoich zespołów), ale sama nie wydaje certyfikatu.
Czym jest Deklaracja Stosowania (SoA)?
SoA jest obowiązkowym dokumentem normatywnym dokumentacji certyfikacji. Wymienia każde z 93 zabezpieczeń Załącznika A i precyzuje, czy jest stosowane czy wyłączone, z odpowiednim uzasadnieniem. To jeden z najdokładniej badanych dokumentów podczas audytu certyfikującego.
Ile czasu muszę zaangażować swoje zespoły?
Większość pracy (ocena, redakcja dokumentacji, plan naprawczy) wykonują nasi audytorzy. Twoje zespoły są angażowane głównie podczas wstępnej rozmowy ustalającej zakres i punktów prezentacji wyników. Całkowity czas trwania projektu certyfikacji zależy w dużej mierze od Twojego zakresu i wyjściowej dojrzałości; jest szacowany indywidualnie w wycenie.
Dlaczego SYAGA jest wiarygodna, by mnie wspierać?
SYAGA Consulting realizuje audyty bezpieczeństwa systemów informacyjnych od 2009 roku. Nasi audytorzy działają u klientów różnej wielkości w wielu sektorach. Metodologia gap assessment i generowania dokumentacji użyta dla ISO27001-Express opiera się na tym samym silniku już wykorzystywanym w naszych innych wsparciach dotyczących zgodności (PSSI-Express).
SYAGA wspiera Cię w przygotowaniu Twojego SZBI i dokumentacji certyfikacyjnej. Sama certyfikacja ISO/IEC 27001 jest wydawana przez niezależną akredytowaną jednostkę certyfikującą, niepowiązaną z SYAGA. Ta treść jest narzędziem wsparcia i nie stanowi porady prawnej.

Gotowy, by ustrukturyzować swoje podejście do ISO 27001?

Skontaktuj się z nami, aby otrzymać spersonalizowaną wycenę zależną od Twojego zakresu i obecnej dojrzałości.

Monitoring regulacyjny - źródła oficjalne

Co naprawdę mówi ISO/IEC 27001, wyjaśnione prostym językiem. Każdy punkt odsyła do swojego oficjalnego źródła (ISO, AFNOR, COFRAC, ANSSI), zaktualizowane na 17/07/2026.

Co to konkretnie jest?

ISO/IEC 27001 to uznana metoda wykrywania zagrożeń dla Twoich danych, opanowania ryzyk i wdrożenia właściwych zabezpieczeń, aby Twoje informacje pozostały poufne, dostępne i wiarygodne. To nie oprogramowanie, to organizacja do wdrożenia w przedsiębiorstwie.

Źródło: AFNOR Certification (francuska jednostka certyfikująca)

To wybór, nie ustawa

W przeciwieństwie do innych działań (jak homologacja bezpieczeństwa narzucona niektórym systemom państwowym we Francji), ISO 27001 jest dobrowolna: to norma certyfikująca, nie ogólny obowiązek regulacyjny. Wybierasz ją, aby uspokoić klientów, partnerów i ubezpieczycieli.

Źródło: ANSSI (francuska agencja ds. cyberbezpieczeństwa, karta metody)

Kto wydaje certyfikat?

Nigdy samo przedsiębiorstwo ani konsultant: tylko niezależna i akredytowana jednostka certyfikująca może go wydać (COFRAC jest jedyną francuską instytucją akredytującą, utworzoną w 1994 roku). Uzyskany certyfikat jest ważny 3 lata.

Źródło: COFRAC (francuska jednostka akredytująca)

Ścieżka w 6 etapach

Wstępna ocena (opcjonalna), przygotowanie, przegląd dokumentów, audyt na miejscu w celu sprawdzenia, co naprawdę jest wdrożone, wydanie certyfikatu (3 lata), a następnie coroczna wizyta kontrolna i pełny audyt odnowieniowy po 3 latach. Nic nie jest ustalone raz na zawsze.

Źródło: AFNOR Certification

Czy to się naprawdę opłaca?

Według badania AFNOR przeprowadzonego wśród certyfikowanych przedsiębiorstw: 89% zauważyło mniej incydentów bezpieczeństwa, 83% ma solidniejsze wewnętrzne procesy bezpieczeństwa, a 88% zachowało klientów, którzy mogliby odejść bez certyfikacji.

Źródło: badanie AFNOR 2019

Uznawana wszędzie, nie tylko we Francji

To najczęściej stosowana na świecie norma bezpieczeństwa informacji według samej ISO. A akredytacja kontrolująca jednostki certyfikujące (jak COFRAC we Francji) jest uznawana międzynarodowo dzięki porozumieniom między krajami, co ułatwia dostęp do rynków w Europie i poza nią.

Źródło: ISO (komitet JTC1/SC27)