ISO 27001 a oprogramowanie — jakie licencje są wymagane (checklist) 2026

ISO 27001 a oprogramowanie: czego realnie oczekuje audyt w 2026 roku?

ISO 27001 nie jest listą zakupów IT. Certyfikacja dotyczy systemu zarządzania bezpieczeństwem informacji (SZBI/ISMS): ryzyk, polityk, odpowiedzialności, dowodów i doskonalenia. W praktyce jednak firma bez licencji na ochronę końcówek, backup, szyfrowanie, kontrolę dostępu i logowanie zdarzeń będzie miała trudność z wykazaniem, że zabezpieczenia z Załącznika A działają.

PCBC opisuje PN-EN ISO/IEC 27001 jako wymagania dla ustanowienia, wdrożenia, utrzymania i doskonalenia SZBI (PCBC: ISO/IEC 27001). ISACA traktuje ISO 27001 jako ramę zarządzania, w której kontrole dobiera się na podstawie ryzyka (ISACA Journal). Wielu konkurentów kończy na politykach i rejestrze ryzyk; ten checklist pokazuje, jakie funkcje, licencje i dowody powinny znaleźć się w budżecie 25-osobowej MŚP.

Checklist ISO 27001:2022 dla oprogramowania i licencji

Najważniejsze kontrole techniczne dla MŚP mieszczą się głównie w A.5 i A.8. Norma nie wskazuje marek, ale wymaga uzasadnienia zabezpieczeń w Deklaracji Stosowania (SoA) i dowodów ich działania. Minimum operacyjne:

• A.8.7 Ochrona przed malware: centralnie zarządzany endpoint protection, najlepiej z EDR.
• A.8.13 Backup informacji: backup stacji, Microsoft 365 i serwerów z testami odtworzeń oraz kopią immutable/offline.
• A.8.24 Kryptografia: szyfrowanie dysków, kluczy i danych wrażliwych w poczcie oraz plikach.
• A.5.15-A.5.18 Kontrola dostępu: MFA, Conditional Access, role administracyjne, cykliczne przeglądy uprawnień.
• A.5.28 Zbieranie dowodów: logi audytowe, retencja i procedura zabezpieczenia materiału dowodowego.
• A.5.34 Prywatność i dane osobowe: DLP, etykiety poufności, ograniczenia udostępniania.
• A.8.8 Zarządzanie podatnościami: skanowanie luk, priorytetyzacja i zamykanie zadań naprawczych.

Mapa kontroli Annex A do licencji

Dla audytu przygotuj krótką mapę: kontrola, narzędzie, właściciel, częstotliwość przeglądu i dowód. A.8.7 pokrywa Antywirusy biznes lub EDR; A.8.13 wymaga Backup MŚP z testem restore; A.8.24 wymaga BitLockera i etykiet; A.5.15-A.5.18 pokrywa Microsoft 365 Business Premium; A.5.28 wymaga logów, retencji i ewentualnie Microsoft 365 E3/E5; A.8.8 wymaga skanu podatności i planu naprawczego.

Endpoint security: antywirus, EDR i MDM

Dla A.8.7 sam „antywirus na komputerze” jest słabym dowodem. Audytor pyta, które urządzenia są objęte ochroną, kto może wyłączyć agenta, jak szybko pojawiają się alerty i jak wygląda reakcja. Bitdefender GravityZone oraz ESET PROTECT są dobrym wyborem, gdy firma chce osobną konsolę. Microsoft Defender for Business ma sens z Microsoft 365 Business Premium, bo łączy ochronę końcówek z Intune i Entra ID P1. AV-TEST w 2025 r. wysoko oceniał rozwiązania Bitdefender, ESET i Microsoft dla firm (AV-TEST Business Windows).

EDR warto wdrożyć, jeżeli firma przetwarza dane klientów, pracuje zdalnie lub ma dostęp administracyjny do środowisk klientów. SentinelOne, Defender for Business albo Bitdefender EDR dają oś czasu zdarzeń, izolację stacji i działania naprawcze. MDM, najczęściej Intune, powinien wymuszać PIN, szyfrowanie, blokadę urządzeń niezgodnych i separację danych firmowych.

Backup i recovery: A.8.13 bez testu odtworzenia nie istnieje

W certyfikacja ISO 27001 oprogramowanie backupowe jest często niedoszacowane. Firma ma kopię, ale bez testu, retencji, kopii poza domeną albo ochrony przed usunięciem przez administratora. Gov.pl przypomina regułę 3-2-1: trzy kopie danych, dwa różne nośniki i jedna kopia poza głównym środowiskiem (gov.pl: kopie zapasowe). W 2026 roku standardem powinna być też kopia immutable.

1. Zrób inwentaryzację danych: Microsoft 365, serwer plików, system księgowy, repozytoria kodu, bazy SQL, laptopy zarządu.
2. Ustal RPO i RTO dla każdego systemu, czyli ile danych można stracić i jak szybko trzeba wrócić do pracy.
3. Wybierz Veeam lub Acronis z licencją obejmującą wszystkie krytyczne zasoby, nie tylko serwer lokalny.
4. Skonfiguruj 3-2-1: produkcja, lokalna kopia szybka, kopia chmurowa lub immutable poza domeną.
5. Raz na kwartał wykonaj test odtworzenia i zapisz protokół z wynikiem, osobą odpowiedzialną i czasem restore.

Jeżeli używasz Windows Server 2025, backup systemu operacyjnego nie zastępuje backupu aplikacji, baz i Microsoft 365. Dla audytu liczy się odzyskanie procesu biznesowego, nie tylko maszyny wirtualnej.

Szyfrowanie, DLP i kontrola dostępu

A.8.24 wymaga kryptografii tam, gdzie wynika to z ryzyka. W MŚP minimum to Windows 11 Pro lub wyżej z BitLockerem, escrow kluczy w Entra ID/Intune oraz szyfrowanie laptopów przed wydaniem użytkownikowi. Dla plików i poczty warto użyć etykiet poufności, Purview Information Protection oraz DLP. Microsoft dokumentuje, że Business Premium zawiera etykiety, DLP i szyfrowanie (Microsoft Learn: Business Premium compliance).

Kontrola dostępu A.5.15-A.5.18 powinna opierać się na MFA i Conditional Access. Entra ID P1 pozwala wymusić MFA, zablokować starsze protokoły, dopuścić tylko zgodne urządzenia i ograniczyć sesje ryzykowne. Przy większej retencji logów rozważ Microsoft 365 E3/E5. W środowiskach mieszanych utrzymaj też legalne Windows 11 Pro i poprawne CAL-e.

Logi, SIEM i podatności: czego brakuje w prostych checklistach

Najczęstsza luka w artykułach typu „iso 27001 audit checklist” to brak rozróżnienia między narzędziem a dowodem. M365 audit log jest przydatny, ale trzeba sprawdzić retencję, zakres licencji i eksport. Mniejszym firmom często wystarczy Purview Audit, alerty Defendera i miesięczny przegląd zdarzeń. Firmy regulowane, SaaS B2B i dostawcy IT powinny rozważyć SIEM/SOC z logami z Entra ID, endpointów, firewalla, serwerów i backupu.

A.8.8 nie powinno kończyć się na Windows Update. Defender Vulnerability Management, Qualys lub Tenable powinny generować listę luk, priorytety, właścicieli i terminy napraw. Minimum to inwentaryzacja oprogramowania, cykliczny skan i rejestr wyjątków zatwierdzany przez właściciela ryzyka.

Realistyczna lista zakupowa dla 25-osobowej MŚP

Poniższy TCO jest orientacyjny dla 2026 roku i zakłada ceny brutto w PLN z buforem na kurs walut, promocje CSP i różnice wariantów. Nie jest ofertą handlową.

Wariant oszczędny dla iso 27001 dla msp to Business Premium + backup + kwartalny skan podatności + procedury. Wariant dojrzalszy dodaje SIEM/SOC, testy phishingowe, DLP na endpointach i formalne wyjątki. Stare licencje Office lub systemy Home warto uporządkować przez Office 2024, Microsoft 365 lub Windows Pro.

Plan wdrożenia w 30 dni

1. Dzień 1-5: spisz aktywa, licencje, właścicieli systemów i dane krytyczne; usuń nieznane konta administracyjne.
2. Dzień 6-10: włącz MFA, Conditional Access, Intune, szyfrowanie BitLocker i podstawowe profile zgodności urządzeń.
3. Dzień 11-15: wdroż endpoint protection/EDR, uporządkuj wyjątki i przygotuj raport pokrycia urządzeń.
4. Dzień 16-20: skonfiguruj backup 3-2-1, immutable storage i pierwszy test odtworzenia reprezentatywnego systemu.
5. Dzień 21-25: włącz logowanie audytowe, alerty bezpieczeństwa, DLP dla danych osobowych i rejestr incydentów.
6. Dzień 26-30: wykonaj skan podatności, zamknij szybkie poprawki, opisz ryzyka akceptowane i przygotuj paczkę dowodową dla SoA.

Najlepszy wynik daje podejście dowodowe: każda kontrola ma właściciela, narzędzie, częstotliwość przeglądu i przykład raportu.