Multicert
System zarządzania bezpieczeństwem informacji

Certyfikacja ISO 27001

Realizowane z międzynarodową jednostką akredytowaną
W skrócie

ISO/IEC 27001:2022 to międzynarodowa norma systemu zarządzania bezpieczeństwem informacji. Wymóg w przetargach IT, finansach i sektorze publicznym; baza dla zgodności z NIS2 i RODO. Certyfikat akredytowany — audyt prowadzi zespół Multicert we współpracy z partnerską jednostką akredytowaną wg ISO/IEC 17021-1 (ČIA nr 150/2025, sygnatariusz EA MLA i IAF MLA), która wystawia certyfikat.

Norma

Czym jest ISO 27001?

ISO/IEC 27001 to wiodąca międzynarodowa norma dla zarządzania bezpieczeństwem informacji. Określa wymagania dla SZBI obejmującego wszystkie aktywa informacyjne organizacji — od dokumentów papierowych po systemy IT i dane w chmurze.

Aktualna wersja ISO/IEC 27001:2022 (z poprawką techniczną 2024) wprowadziła zmodernizowany Załącznik A — 93 kontrole w 4 grupach (organizacyjne, ludzie, fizyczne, techniczne), zredukowane z 114 kontroli wersji 2013. Norma jest spójna z Załącznikiem A do ISO/IEC 27002:2022 (wytyczne wdrożenia).

Pełna nazwa
ISO/IEC 27001:2022 — Information Security Management Systems
Wydawca
ISO + IEC (International Electrotechnical Commission)
Aktualna wersja
ISO/IEC 27001:2022 (poprawka 2024)
Załącznik A
93 mechanizmy zabezpieczeń (zredukowane z 114 w wersji 2013)
Powiązane
NIS2, RODO, DORA, EU AI Act
Korzyści

Co daje certyfikat ISO 27001?

  • 01

    Wymóg w przetargach IT, finansowych i sektora publicznego

    ISO 27001 to standardowy wymóg w przetargach na usługi IT, hosting, przetwarzanie danych i integracje z systemami administracji publicznej (ePUAP, KSeF, mObywatel).

  • 02

    Wsparcie zgodności z NIS2

    Dyrektywa NIS2 (transponowana do prawa polskiego ustawą o krajowym systemie cyberbezpieczeństwa) wymaga środków zarządzania ryzykiem cybernetycznym — ISO 27001 pokrywa większość wymagań. Szczegóły: NIS2 obowiązuje — Polska spóźniona.

  • 03

    Spójność z wymaganiami RODO/GDPR

    Załącznik A normy ISO 27001 zawiera kontrole zgodne z art. 32 RODO (bezpieczeństwo przetwarzania). Certyfikat to mocny argument w razie kontroli UODO i pomoc w wykazaniu należytej staranności.

  • 04

    Dostęp do dużych klientów korporacyjnych i kontraktów strategicznych

    Microsoft, Google, AWS, banki, ubezpieczyciele i operatorzy infrastruktury krytycznej wymagają ISO 27001 od dostawców. Bez certyfikatu — eliminacja na etapie kwalifikacji dostawcy.

  • 05

    Niższe składki ubezpieczenia cyber i lepsze warunki

    Ubezpieczyciele cyber (Hiscox, AIG, PZU) oferują zniżki dla firm z ISO 27001 — system zarządzania bezpieczeństwem informacji jest mierzalnym wskaźnikiem dojrzałości operacyjnej.

Struktura

Siedem sekcji + Załącznik A.

Sekcje 4–10 są wspólne dla wszystkich norm zarządzania ISO. Specyficzny dla 27001 jest Załącznik A — katalog 93 mechanizmów zabezpieczeń w 4 grupach.

  • Sekcja 4

    Kontekst organizacji

    Identyfikacja stron zainteresowanych, wymagań prawnych i regulacyjnych, zakresu SZBI.

  • Sekcja 5

    Przywództwo

    Polityka bezpieczeństwa informacji, role i odpowiedzialności (CISO, IODO).

  • Sekcja 6

    Planowanie

    Ocena ryzyka, plan postępowania z ryzykiem, Statement of Applicability (SoA), cele bezpieczeństwa.

  • Sekcja 7

    Wsparcie

    Zasoby, kompetencje, świadomość, komunikacja, udokumentowane informacje.

  • Sekcja 8

    Działania operacyjne

    Wdrożenie postępowania z ryzykiem, ocena ryzyka cykliczna, zarządzanie zmianą.

  • Sekcja 9

    Ocena efektów działania

    Monitorowanie, audyty wewnętrzne, przegląd zarządzania.

  • Sekcja 10

    Doskonalenie

    Niezgodności i działania korygujące, ciągłe doskonalenie SZBI.

Załącznik A

93 kontrole w 4 grupach.

Załącznik A do ISO/IEC 27001:2022 zawiera 93 mechanizmy zabezpieczeń pogrupowane w 4 obszary. Każda organizacja deklaruje stosowane kontrole w Statement of Applicability (SoA).

  • 37

    Organizacyjne

    Polityki, role, zarządzanie dostawcami, zarządzanie incydentami.

  • 8

    Ludzie

    Rekrutacja, świadomość, dyscyplina, NDA.

  • 14

    Fizyczne

    Strefy bezpieczeństwa, kontrola dostępu, ochrona sprzętu.

  • 34

    Techniczne

    Kryptografia, kontrola dostępu logicznego, kopie zapasowe, rejestrowanie zdarzeń, bezpieczne wytwarzanie oprogramowania.

Proces

Proces certyfikacji ISO 27001 z Multicert.

Razem: ~8–10 tygodni od zapytania do certyfikatu. Kluczowy moment: poprawnie przygotowany SoA — przyspiesza audyt etapu 1.

  1. 01 1 dzień

    Zapytanie i bezpłatna wycena

    Krótka rozmowa o zakresie SZBI i kontekście (typ aktywów informacyjnych) — bezpłatna wycena.

  2. 02 3–5 dni

    Umowa i plan auditu

    Podpisanie umowy, ustalenie terminu i zespołu audytorskiego z kompetencjami w obszarze cyberbezpieczeństwa.

  3. 03 1–2 dni

    Audyt etapu 1

    Przegląd dokumentacji: SoA, ocena ryzyka, polityki bezpieczeństwa — zwykle zdalnie.

  4. 04 2–4 dni

    Audyt etapu 2

    Audyt certyfikacyjny — weryfikacja wdrożenia kontroli z Załącznika A, rozmowy z administratorami i właścicielami procesów.

  5. 05 2–3 tyg.

    Wystawienie certyfikatu

    Decyzja certyfikacyjna i wystawienie certyfikatu przez międzynarodową jednostkę akredytowaną.

Cena

Ile kosztuje certyfikacja ISO 27001?

Certyfikacja ISO 27001 jest zwykle droższa niż ISO 9001 — zakres techniczny audytu jest szerszy (Załącznik A: 93 kontrole), audytorzy mają wyższe stawki (specjalizacja w cyberbezpieczeństwie), a typowy audit wymaga 2–4 dni etapu 2.

Cena zależy od liczby pracowników, lokalizacji, liczby zaadresowanych kontroli z Załącznika A oraz zakresu (cały IT czy tylko określone usługi). Wycena indywidualna — bez ukrytych pozycji.

Pamiętaj

Certyfikat ISO 27001 jest ważny 3 lata. Audyty nadzorcze co 12 miesięcy są krótsze od certyfikacyjnego.

Branże

Branże, dla których ISO 27001 to standard.

W IT certyfikat jest praktycznie obowiązkowy. W finansach i sektorze publicznym — wymóg regulacyjny lub kontraktowy.

  • IT i SaaS
  • Finanse i fintech
  • Ochrona zdrowia
  • E-commerce
  • Sektor publiczny
  • Telekomunikacja
  • Cloud / hosting
  • Konsulting
  • Logistyka i 3PL
Powiązane normy

Powiązane normy z rodziny 27000 i ciągłości działania.

Standardy uzupełniające ISO 27001 dla dostawców usług chmurowych, podmiotów przetwarzających PII i organizacji wymagających odporności operacyjnej.

FAQ

Najczęstsze pytania o ISO 27001.

Co to jest ISO 27001?

ISO/IEC 27001 to międzynarodowa norma określająca wymagania dla systemu zarządzania bezpieczeństwem informacji (Information Security Management System, SZBI). Aktualna wersja: ISO/IEC 27001:2022 z poprawką techniczną 2024. Zawiera 93 mechanizmy zabezpieczeń w Załączniku A (wcześniej 114 w wersji 2013).

Czy ISO 27001 jest tym samym co RODO?

Nie. RODO (GDPR) to regulacja UE — obowiązuje wszystkich przetwarzających dane osobowe. ISO 27001 to dobrowolny standard zarządzania bezpieczeństwem informacji. Są komplementarne: ISO 27001 znacząco pomaga w spełnieniu wymagań art. 32 RODO (bezpieczeństwo przetwarzania) i wykazaniu należytej staranności, ale nie zastępuje obowiązków RODO.

Czy ISO 27001 wystarczy do zgodności z NIS2?

Pomaga znacząco, ale nie zwalnia z obowiązków regulacyjnych. NIS2 (i polska ustawa o krajowym systemie cyberbezpieczeństwa) ma dodatkowe wymagania: zgłaszanie incydentów do CSIRT w określonych terminach, zarządzanie ryzykiem łańcucha dostaw, odpowiedzialność kierownictwa. ISO 27001 pokrywa większość wymagań technicznych i organizacyjnych — zalecamy jako bazę.

Co to jest Statement of Applicability (SoA)?

SoA to obowiązkowy dokument wymieniający wszystkie 93 kontrole z Załącznika A normy. Dla każdej kontroli wskazujesz: czy stosujesz, jak stosujesz (lub uzasadnienie wyłączenia). SoA jest punktem wyjścia auditu — audytor weryfikuje wdrożenie zadeklarowanych kontroli.

Czy audyt obejmuje testy penetracyjne?

Nie — audyt ISO 27001 sprawdza system zarządzania bezpieczeństwem informacji, nie wykonuje pentestów. Pentesty mogą być natomiast jednym z mechanizmów kontroli z Załącznika A (A.8.8 — zarządzanie podatnościami technicznymi), które wdrażasz wewnętrznie lub zlecasz wyspecjalizowanej firmie. Audytor zweryfikuje, czy proces pentestów jest udokumentowany i wykonywany.

Jak długo ważny jest certyfikat ISO 27001?

Certyfikat jest ważny 3 lata od daty wystawienia. W tym okresie wykonywane są coroczne audyty nadzorcze. Po 3 latach następuje audit recertyfikacyjny i wystawienie certyfikatu na kolejne 3 lata.

Pogłębienie tematu

Czytaj dalej o ISO 27001

Blog

Certyfikat ISO 27001 — jak chronić dane

Podstawy SZBI: kontekst organizacji, ryzyka, polityka bezpieczeństwa, kontrola dostępu. Co Twoja firma musi mieć.

 Blog

Nowa-stara norma ISO 27001:2022

Co się zmieniło w wersji 2022 — 93 nowe controls, 4 grupy (organizacyjne, ludzie, fizyczne, technologiczne).

 Blog

NIS2 obowiązuje — Polska spóźniona

Dyrektywa NIS2 + krajowy KSC. Kogo dotyczy, jak ISO 27001 + ISO 22301 wspierają zgodność.
Bezpłatna wycena w 2h

Wyceń certyfikację ISO 27001.

Doradczyni Klienta dla ISO 27001 oddzwoni z konkretną wyceną w ciągu 2 godzin w godzinach pracy.

Pełnomocnik Klienta

Małgorzata Nowakowska

ISO 27001 / Wyroby CE

+48 508 354 190 [email protected]
Wyceń ISO 27001
Zadzwoń Bezpłatna wycena