Certyfikacja ISO 27001:2022

Co to jest ISO/IEC 27001:2022?

Uznana na całym świecie norma ISO/IEC 27001 obejmuje zarządzanie bezpieczeństwem informacji w organizacjach. Jest to wiodąca międzynarodowa norma dla systemu zarządzania bezpieczeństwem informacji (ISMS — Information Security Management System).

Norma ISO/IEC 27001 określa wymagania dotyczące systemów zarządzania bezpieczeństwem informacji w firmie. Głównym celem jest zapewnienie ochrony danych i informacji, aby uniknąć ich utraty lub kradzieży. Pomaga to zmniejszyć ryzyko wycieku informacji, a także poprawia wiarygodność firmy.

Certyfikacja ISO/IEC 27001 jest zalecana wszystkim firmom, niezależnie od ich wielkości lub sektora, które przetwarzają dane za pomocą technologii informatycznych. Norma określa wymagania dla ustanowienia, wdrożenia, utrzymania i nieustannego doskonalenia ISMS — systemu obejmującego ludzi, procesy i technologie.

Obowiązująca wersja to ISO 27001:2022 (zastąpiła ISO 27001:2013). Okres przejściowy dla organizacji posiadających certyfikat ISO 27001:2013 zakończył się w październiku 2025 roku — certyfikaty według wersji 2013 utraciły ważność i obecnie certyfikacja jest możliwa wyłącznie według wersji 2022.

Zakres certyfikacji ISO 27001

Certyfikacja ISO 27001 jest odpowiednia dla:

• Firm IT i software house’ów (dostawców oprogramowania)
• Dostawców usług chmurowych (SaaS, IaaS, PaaS)
• Organizacji przetwarzających dane osobowe lub wrażliwe (medyczne, finansowe)
• Instytucji publicznych i urzędów administracji
• Kancelarii prawnych, firm doradczych i audytorskich
• Banków, ubezpieczycieli i instytucji finansowych
• Firm e-commerce i operatorów platform internetowych
• Operatorów usług kluczowych (energetyka, transport, woda) — w kontekście NIS2

Wymagania ISO/IEC 27001

Główne wymagania normy obejmują:

• Definicja systemu zarządzania bezpieczeństwem informacji — określenie zakresu, polityki i celów ISMS
• Dostępność informacji w razie potrzeby — zapewnienie ciągłości działalności i odzyskiwania danych
• Regularna konserwacja i doskonalenie systemów zarządzania
• Kontekst organizacji — identyfikacja stron zainteresowanych i wymagań
• Przywództwo — zaangażowanie kierownictwa i polityka bezpieczeństwa informacji
• Szacowanie i postępowanie z ryzykiem — systematyczna ocena ryzyk bezpieczeństwa
• Załącznik A — 93 środki bezpieczeństwa w 4 obszarach: organizacyjne, technologiczne, fizyczne, osobowe
• Świadomość i szkolenia — edukacja pracowników w zakresie zagrożeń i procedur
• Audyty wewnętrzne i przegląd zarządczy — cykliczna ocena ISMS

Nowe środki w ISO 27001:2022

Wśród kluczowych nowych kontroli (nieobecnych w ISO 27001:2013):

• Threat intelligence — rozpoznanie i analiza zagrożeń cybernetycznych
• Bezpieczeństwo przetwarzania w chmurze — kontrole specyficzne dla środowisk SaaS/IaaS/PaaS
• Gotowość ICT na ciągłość działalności (ICT readiness for business continuity)
• Monitorowanie aktywności fizycznej i środowiskowej — fizyczne kontrole bezpieczeństwa
• Zarządzanie konfiguracją (configuration management) — bezpieczna konfiguracja systemów
• Maskowanie danych (data masking) — pseudonimizacja i anonimizacja informacji wrażliwych

Korzyści z certyfikacji

Wdrożenie systemu ISMS zgodnego z ISO 27001 przynosi organizacji konkretne korzyści:

• Minimalizowanie ryzyka bezpieczeństwa informacji i utraty danych
• Minimalizowanie ryzyka sankcji (RODO, NIS2, krajowi regulatorzy)
• Zaufanie dostawców i klientów korporacyjnych
• Zgodność z wymogami prawnymi i regulacyjnymi
• Wykazanie dojrzałości w zakresie bezpieczeństwa IT kontrahentom korporacyjnym i instytucjom publicznym
• Wsparcie zgodności z RODO, NIS2 i wymaganiami sektorowymi (KNF, NFZ, MON)
• Systematyczne zarządzanie incydentami i redukcja ryzyka naruszenia danych
• Przewaga w przetargach i kontraktach B2B wymagających certyfikatu ISO 27001
• Łatwa integracja z ISO 20000 (usługi IT) i ISO 22301 (ciągłość działalności)

Przebieg certyfikacji ISO 27001

Certyfikacja ISMS przebiega w następujących etapach:

1. Złożenie wniosku i wycena — określenie zakresu ISMS, lokalizacji, liczby pracowników, infrastruktury IT
2. Etap 1 — przegląd dokumentacji — Statement of Applicability (SoA), polityki bezpieczeństwa, analiza ryzyka, plan postępowania z ryzykiem
3. Etap 2 — audyt na miejscu — weryfikacja wdrożenia kontroli załącznika A, testy kontroli technicznych, wywiady z personelem
4. Decyzja o certyfikacji przez niezależny komitet
5. Wydanie certyfikatu — ważny 3 lata
6. Coroczne audyty nadzoru w cyklu 3-letnim
7. Recertyfikacja po 3 latach

Akredytacja i uznanie

Certyfikat ISO/IEC 27001 wystawiany przez LL-C jest oparty na akredytacji ČIA 150/2025. ČIA (Czeski Instytut Akredytacji) jest sygnatariuszem porozumień EA MLA i IAF MLA. Certyfikat jest uznawany na rynkach UE i globalnych przez agencje sektorowe (KNF, NFZ, NASK, ministerstwa) oraz audytorów drugich stron.

Jeżeli chcą Państwo dowiedzieć się więcej na temat certyfikacji ISO/IEC 27001, prosimy o kontakt. Z przyjemnością przeprowadzimy Państwa przez cały proces.

Często zadawane pytania (FAQ)