Multicert

Bezpłatna wycena

ISO · w 2h, bez zobowiązań

Wyceń →
ISO

ISO 27001 dla małej firmy IT i startupu SaaS — kiedy zaczynać (2026)

Analiza decyzyjna ISO 27001:2022 dla startupów i mikro firm IT (5-50 osób) — trigger event, minimum scope ISMS, integracja z SOC 2, kontrole Annex A, koszty i cykl wdrożenia.

Zespół Multicert 10 min czytania
ZM

Zespół Multicert

Redakcja Multicert · Akredytowana jednostka certyfikująca

ISO 27001:2022 jest międzynarodowym standardem dla systemów zarządzania bezpieczeństwem informacji (ISMS — Information Security Management System). Dla startupów SaaS i małych firm IT (5-50 osób) certyfikacja jest często wymogiem dostępowym do segmentu klientów enterprise, kontraktów z administracją publiczną oraz partnerstw z firmami z sektora finansowego. Niniejszy artykuł porządkuje analizę decyzyjną dla startupów rozważających wdrożenie ISO 27001: kiedy zacząć, jak zdefiniować zakres ISMS, jak wygląda cykl wdrożeniowy, jakie są typowe koszty i jak wygląda integracja z SOC 2.

Niniejszy artykuł nie zawiera oferty handlowej. Pełna wycena certyfikacji jest sporządzana indywidualnie po analizie zgłoszenia, zgodnie z praktyką branżową wszystkich akredytowanych jednostek certyfikujących.

Trigger event — kiedy startup powinien zacząć

Praktyczne kryterium uruchomienia procesu wdrożeniowego dla startupu:

ISO 27001 ma sens, gdy pojawia się pierwszy klient enterprise wymagający certyfikatu jako warunku umowy — albo gdy ten warunek jest oczekiwany w pipeline w ciągu 6-12 miesięcy.

Powód: wdrożenie ISO 27001 wymaga 4-9 miesięcy cyklu i istotnego nakładu pracy własnej. Bez konkretnego klienta po drugiej stronie certyfikat jest kosztem bez konkretnego źródła pokrycia. Dla startupu w fazie pre-PMF (przed product-market fit) wdrożenie systemu zarządzania na produkt, który może zmienić formę po pivot, jest stratą zasobów.

Typowe trigger events dla startupów SaaS:

  • Klient enterprise w pipeline — duża korporacja, instytucja finansowa, sektor zdrowia, administracja publiczna — wymaga ISO 27001 w ankiecie kwalifikacyjnej dostawcy
  • Wymagania SOC 2 Type II od klientów z USA, gdzie ISO 27001 jest naturalnym uzupełnieniem dla rynku UE
  • Compliance z wymaganiami sektorowymi — DORA dla sektora finansowego UE, NIS2 dla podmiotów krytycznych, HIPAA dla danych medycznych w USA
  • Wymóg inwestora w fazie Series A/B — fundusze venture capital coraz częściej wymagają ISO 27001 lub planu wdrożenia jako warunku finansowania
  • Międzynarodowa ekspansja — wejście na rynki, na których brak ISO 27001 zamyka dostęp do segmentów

Definicja zakresu ISMS — najważniejsza decyzja wdrożeniowa

ISO 27001 wymaga zdefiniowania zakresu systemu zarządzania bezpieczeństwem informacji. To pierwsza i najważniejsza decyzja wdrożeniowa. Dla startupu zakres może obejmować:

Zakres minimalny (typowy dla startupu SaaS):

  • Platforma produktowa (aplikacja SaaS)
  • Dane klientów przechowywane w platformie
  • Infrastruktura produkcyjna (cloud — zwykle AWS/GCP/Azure)
  • Procesy obsługi klientów dotykające danych

Funkcje wyłączone z zakresu (jeśli nie obsługują danych klientów):

  • HR i procesy rekrutacyjne
  • Księgowość i procesy finansowe wewnętrzne
  • Marketing i sprzedaż (poza obsługą leadów)
  • Środowisko developerskie (jeśli odseparowane od produkcji)

Zakres rozszerzony (po dojrzeniu firmy):

  • Cała organizacja
  • Wszystkie systemy informatyczne
  • Wszystkie procesy biznesowe

Wybór zakresu wpływa na koszt cyklu — zakres szerszy oznacza więcej audytowanych obszarów. Praktyka rynkowa: startupy zaczynają od zakresu minimalnego i rozszerzają go w cyklach recertyfikacji (co 3 lata), w miarę dojrzewania organizacji.

ISO 27001:2022 — co się zmieniło względem 2013

Wersja ISO 27001:2022 wprowadziła znaczące zmiany w stosunku do poprzedniej wersji 2013:

1. Zmieniony Annex A — 93 kontrole zamiast 114. Kontrole zostały skonsolidowane i przegrupowane do 4 kategorii:

  • A.5 Kontrole organizacyjne (37 kontroli) — polityki, organizacja, role, dostęp do informacji
  • A.6 Kontrole ludzkie (8 kontroli) — przed zatrudnieniem, w trakcie, po zakończeniu
  • A.7 Kontrole fizyczne (14 kontroli) — bezpieczne strefy, urządzenia, media
  • A.8 Kontrole technologiczne (34 kontroli) — zarządzanie aktywami, kontrola dostępu, kryptografia, bezpieczeństwo komunikacji

2. Nowe kontrole wprowadzone w 2022:

  • A.5.7 Threat intelligence (informacje o zagrożeniach)
  • A.5.23 Bezpieczeństwo informacji w usługach chmurowych
  • A.5.30 Gotowość ICT do zapewnienia ciągłości działania
  • A.7.4 Monitorowanie bezpieczeństwa fizycznego
  • A.8.9 Zarządzanie konfiguracją
  • A.8.10 Usuwanie informacji
  • A.8.11 Maskowanie danych
  • A.8.12 Zapobieganie wyciekom danych (DLP)
  • A.8.16 Działania monitorowania
  • A.8.23 Filtrowanie sieci web
  • A.8.28 Bezpieczne kodowanie

3. Termin migracji. Organizacje certyfikowane w wersji 2013 miały czas na migrację do 31 października 2025 r. Po tej dacie aktywne certyfikaty są tylko w wersji 2022.

Pełen przegląd zmian: Nowa-stara norma ISO 27001:2022.

Statement of Applicability (SoA) — sercowy dokument ISMS

Statement of Applicability (Deklaracja Stosowania) to formalny dokument identyfikujący, które kontrole z Annex A zostały zastosowane w organizacji, które wykluczono i z jakim uzasadnieniem. SoA jest kluczowym dokumentem audytowym — audytor jednostki certyfikującej weryfikuje wdrożenie każdej kontroli zaznaczonej jako stosowana.

Dla startupu SaaS typowy SoA obejmuje:

  • Większość kontroli z A.5 i A.8 (organizacyjne i technologiczne)
  • Wszystkie kontrole z A.6 (ludzkie) — jeśli firma ma pracowników
  • Wybrane kontrole z A.7 (fizyczne) — w zależności od zakresu (cloud-only vs własne biuro)

Wykluczenia kontroli muszą być uzasadnione merytorycznie — nie wystarczy wpisać “nie dotyczy”. Typowe akceptowalne wykluczenia: kontrole specyficzne dla developmentu w organizacji, która nie tworzy oprogramowania; kontrole fizyczne dla data center, jeśli firma korzysta wyłącznie z cloud.

Cykl wdrożenia w startupie 8-20 osób

Standardowy cykl od decyzji do certyfikatu dla startupu SaaS bez wcześniejszych wdrożeń systemowych:

FazaCzasZakres
Definicja zakresu ISMS1-2 tyg.Mapowanie aktywów, definicja granic systemu
Ocena ryzyka3-6 tyg.Identyfikacja zagrożeń, ocena prawdopodobieństwa i skutku, plan postępowania z ryzykiem
Opracowanie SoA i polityk4-8 tyg.Statement of Applicability, polityki bezpieczeństwa, procedury operacyjne
Wdrożenie kontroli technicznych8-16 tyg.Konfiguracja narzędzi, automatyzacja kontroli, dokumentacja techniczna
Audyt wewnętrzny + przegląd zarządzania2-4 tyg.Weryfikacja przed audytem zewnętrznym
Audyt certyfikacyjny Etap 1 + Etap 24-8 tyg.Audyt Multicert lub partnerskiej jednostki
Suma4-9 miesięcyDecyzja → certyfikat

Cykl może być krótszy dla organizacji posiadających już wdrożone elementy (polityki bezpieczeństwa, procedury reakcji na incydenty, infrastruktura cloud z domyślnie aktywowanymi kontrolami).

Integracja z SOC 2

SOC 2 Type II (Service Organization Control 2) jest amerykańskim standardem audytu dla organizacji świadczących usługi w chmurze. ISO 27001:2022 i SOC 2 Type II mają znaczące pokrycie kontroli — wdrożenie jednego standardu znacząco upraszcza drugie:

AspektISO 27001:2022SOC 2 Type II
Geograficzne preferencjeUE, Wielka Brytania, Azja, Bliski WschódUSA, Kanada
Zakres obowiązkówSystem zarządzania bezpieczeństwem informacji (ISMS)Kontrole operacyjne dla 5 zasad TSP
Forma wynikuCertyfikat ważny 3 lataRaport audytowy (zwykle roczny)
AkredytacjaPCA, IAF MLAAICPA
AudytEtap 1 + Etap 2 + nadzory roczne + recertyfikacjaAudyt Type I (point-in-time) lub Type II (period of time)

Wiele startupów SaaS prowadzi obie certyfikacje równolegle — ISO 27001 dla rynku europejskiego, SOC 2 dla rynku amerykańskiego. Multicert prowadzi audyty ISO 27001 oraz współpracuje z partnerami audytującymi SOC 2 — umożliwia to skoordynowany cykl audytów wykorzystujący wspólną dokumentację.

Co napędza koszt certyfikacji ISO 27001 w startupie

Wycena każdej jednostki certyfikującej (Multicert, TÜV, Bureau Veritas, Dekra, BSI) opiera się na czynnikach regulowanych częściowo przez tabele IAF MD 5, częściowo przez specyfikę normy ISO 27001:

1. Liczba pracowników w zakresie ISMS

Tabela IAF MD 5 reguluje minimalną liczbę dni audytu w zależności od liczby pracowników objętych zakresem ISMS (nie całej firmy). Dla startupu 8-osobowego cykl audytu jest istotnie krótszy niż dla firmy 50-osobowej.

2. Liczba lokalizacji w tym lokalizacje cloud

ISO 27001 obejmuje również lokalizacje fizyczne dostawców usług chmurowych (AWS, GCP, Azure). Standardowa praktyka: korzystanie z certyfikowanych dostawców cloud (sami posiadający ISO 27001) upraszcza audyt — kontrole fizyczne data center są weryfikowane przez certyfikat dostawcy.

3. Zakres kontroli z Annex A

Liczba kontroli zaznaczonych w SoA jako stosowane bezpośrednio wpływa na czas audytu. Pełen zakres 93 kontroli oznacza dłuższy audyt niż zakres ograniczony do 60-70 kontroli.

4. Posiadana dokumentacja wstępna

Startupy posiadające już wdrożone:

  • Polityki bezpieczeństwa informacji
  • Plan ciągłości działania (BCP/DRP)
  • Procedury reakcji na incydenty
  • Konfigurację cloud zgodną z best practices (CIS Benchmarks, AWS Well-Architected)
  • Wcześniejsze audyty (SOC 2, audyty wewnętrzne)

…mają krótszy cykl wdrożenia i niższą wycenę cyklu certyfikacyjnego.

5. Branża i specyfika klientów

Startupy obsługujące klientów z sektora finansowego (DORA), zdrowia (HIPAA, MDR), administracji publicznej (NIS2) — wymagają audytorów z konkretnymi kompetencjami branżowymi (kody EA), co wpływa na stawkę dzienną.

Procedura uzyskania wyceny

Multicert nie publikuje sztywnego cennika — formalna wycena wymaga analizy zakresu ISMS, technologii, infrastruktury cloud. Praktyczny tryb postępowania:

  1. Zapytanie wstępne przez formularz kontaktowy z podaniem: liczby pracowników w zakresie, technologii (stack), infrastruktury cloud, planowanego zakresu ISMS, ewentualnych istniejących certyfikacji (SOC 2, inne)
  2. Bezpłatna konsultacja — przegląd profilu organizacji, omówienie zakresu ISMS, identyfikacja właściwych kodów EA dla branży
  3. Pisemna oferta indywidualna w 2 godziny w godzinach pracy — szczegółowy harmonogram audytu, pełna kalkulacja w 3-letnim cyklu, opcje bundle z SOC 2 (przez partnera) lub innymi normami ISO
  4. Decyzja klienta bez zobowiązań

Akredytacja jednostki certyfikującej

Rynek dzieli się na jednostki akredytowane (PCA, IAF MLA — certyfikaty uznawane międzynarodowo) i nieakredytowane (dokumenty o ograniczonej wartości formalnej w postępowaniach klientów enterprise). Multicert posiada akredytację PCA AC 210 (ISO/IEC 17065) oraz partnerstwo z ČIA 150/2025 dla wybranych systemów ISO. Status weryfikowalny w publicznym rejestrze pca.gov.pl.

Dotacje publiczne

Część kosztów certyfikacji może podlegać refundacji:

  • PARP — Krajowy Fundusz Szkoleniowy (KFS): do 80% kosztu szkoleń personelu związanych z wdrożeniem ISMS
  • FENG 2027 / Fundusze Europejskie: refundacja kosztu certyfikacji bezpieczeństwa informacji dla mikro i małych przedsiębiorców z branży IT/SaaS
  • Programy NCBR: dedykowane technologiom bezpieczeństwa cybernetycznego, wybrane konkursy z możliwością refundacji audytów
  • Bony na cyfryzację PARP: w wybranych edycjach obejmują również wdrożenie systemów zarządzania bezpieczeństwem informacji

Multicert pomaga w identyfikacji właściwego programu w ramach wstępnej konsultacji — bez dodatkowej opłaty.

Podsumowanie

Wdrożenie ISO 27001 w startupie SaaS lub małej firmie IT (5-50 osób) jest decyzją kontekstową, sterowaną pojawieniem się trigger event — najczęściej pierwszego klienta enterprise wymagającego certyfikatu. Praktyka rynkowa wskazuje na model wdrożenia z zakresem minimalnym (platforma + dane klientów + infrastruktura produkcyjna), z wykluczeniem funkcji wewnętrznych (HR, księgowość) niedotyczących danych klientów. Cykl wdrożenia trwa 4-9 miesięcy, koszt cyklu jest istotnie niższy dla startupu z dobrze skonfigurowaną infrastrukturą cloud i wcześniejszą dokumentacją bezpieczeństwa. Integracja z SOC 2 Type II umożliwia obsługę rynku europejskiego i amerykańskiego w jednym cyklu audytowym.

Kontakt

Renata Wojnowska · Doradca ds. certyfikacji · +48 730 668 341 · [email protected]

Pełne informacje: Certyfikacja ISO 27001 w Multicert

Powiązane artykuły:

Najczęstsze pytania

Kiedy startup powinien zacząć wdrażanie ISO 27001? +
Gdy pojawia się trigger event — pierwszy klient enterprise wymaga ISO 27001 jako warunku umowy lub jest oczekiwany w pipeline w ciągu 6-12 miesięcy.
Czy ISO 27001 musi obejmować całą firmę? +
Nie. Zakres ISMS jest definiowany — typowo dla startupu SaaS to platforma + dane klientów + infrastruktura produkcyjna, bez funkcji wewnętrznych jak HR czy księgowość.
Co napędza koszt certyfikacji ISO 27001 w małej firmie? +
Liczba pracowników w zakresie, liczba lokalizacji, zakres kontroli Annex A w SoA, posiadana dokumentacja wstępna, branża klientów.
Jak długo trwa cykl wdrożenia w startupie? +
4-9 miesięcy dla startupu 8-20 osób bez wcześniejszych wdrożeń systemowych.
Czy ISO 27001 zastępuje SOC 2? +
Nie zastępuje, ale ma znaczące pokrycie kontroli — wdrożenie jednego upraszcza drugie. ISO 27001 dla UE, SOC 2 dla USA.
Jak otrzymać konkretną wycenę dla startupu? +
Formularz kontaktowy multicert.pl/kontakt — pisemna oferta w 2 godziny.
Czy są dotacje na certyfikację ISO 27001? +
Tak — KFS (do 80% kosztu szkoleń), FENG 2027, programy NCBR dla bezpieczeństwa cybernetycznego, Bony na cyfryzację PARP.

Autor artykułu

ZM

Zespół Multicert

Redakcja Multicert · Akredytacja PCA AC 210

Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.

← Wszystkie artykuły 19 marca 2026
Zadzwoń Bezpłatna wycena