ISO/IEC 27001:2022 (w Polsce obowiązująca jako PN-EN ISO/IEC 27001:2023-08) to międzynarodowa norma określająca wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI, ang. ISMS). Organizacja, która wdroży system zgodny z normą i przejdzie certyfikację przez akredytowaną jednostkę, uzyskuje niezależne potwierdzenie, że jej procesy zarządzania bezpieczeństwem informacji spełniają światowe standardy — obejmujące nie tylko technologie, ale też ludzi i procedury.
W skrócie
- Aktualna wersja: ISO/IEC 27001:2022 (3. edycja, opublikowana w październiku 2022 r.; polskie wydanie PN-EN ISO/IEC 27001:2023-08)
- Norma opiera się na cyklu PDCA (Plan-Do-Check-Act): zaplanuj, wdróż, monitoruj, doskonal
- 93 zabezpieczenia w Załączniku A pogrupowane w 4 kategorie: organizacyjne (37), ludzkie (8), fizyczne (14) i technologiczne (34)
- Obowiązkowe klauzule 4–10: od kontekstu organizacji po ciągłe doskonalenie
- Certyfikat ważny 3 lata, z corocznymi audytami nadzoru
- Poprawka 1:2024 wprowadza obowiązek uwzględnienia zmian klimatycznych w analizie kontekstu organizacji (klauzule 4.1 i 4.2)
- Certyfikacja nie jest obowiązkowa prawnie, ale coraz częściej wymagana w przetargach, kontraktach B2B i łańcuchach dostaw
Czym jest ISO 27001 — pełna definicja
ISO/IEC 27001 to norma z rodziny ISO/IEC 27000, opracowana wspólnie przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję Elektrotechniczną (IEC). Jej historia sięga brytyjskiego standardu BS 7799-2 z 1999 roku. Pierwsza edycja ISO 27001 ukazała się w 2005 roku, druga w 2013, a trzecia — obecnie obowiązująca — w październiku 2022 roku.
Norma definiuje wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) — czyli zestawu polityk, procedur, procesów i zabezpieczeń technicznych, które organizacja ustanawia, wdraża, monitoruje i stale doskonali, aby chronić poufność, integralność i dostępność informacji (tzw. triada CIA).
W przeciwieństwie do norm czysto technicznych (np. PCI DSS dla branży płatniczej czy Cyber Essentials w Wielkiej Brytanii), ISO 27001 ma charakter neutralny technologicznie i branżowo — mogą ją wdrożyć zarówno firmy IT, instytucje finansowe, szpitale, urzędy, jak i przedsiębiorstwa produkcyjne.
Co oznacza triada CIA w ISO 27001
| Zasada | Znaczenie | Przykład ryzyka |
|---|---|---|
| Poufność (Confidentiality) | Tylko uprawnione osoby mają dostęp do informacji | Wyciek haseł klientów i sprzedaż w darknecie |
| Integralność (Integrity) | Dane są wiarygodne, kompletne i niezmienione | Przypadkowe usunięcie wiersza w bazie przez pracownika |
| Dostępność (Availability) | Informacje dostępne zawsze, gdy są potrzebne | Awaria serwera produkcyjnego bez działającej kopii zapasowej |
Struktura normy — obowiązkowe klauzule 4–10
Trzon normy stanowi siedem klauzul (rozdziałów 4–10), które każda organizacja musi spełnić, aby system SZBI mógł zostać certyfikowany:
| Klauzula | Zakres wymagań |
|---|---|
| 4. Kontekst organizacji | Zrozumienie organizacji i jej otoczenia, identyfikacja stron zainteresowanych, określenie zakresu SZBI |
| 5. Przywództwo | Zaangażowanie najwyższego kierownictwa, polityka bezpieczeństwa informacji, role i odpowiedzialności |
| 6. Planowanie | Działania odnoszące się do ryzyk i szans, cele bezpieczeństwa informacji i plany ich osiągnięcia |
| 7. Wsparcie | Zasoby, kompetencje, świadomość pracowników, komunikacja, udokumentowane informacje |
| 8. Działanie | Planowanie i nadzór operacyjny, ocena ryzyka bezpieczeństwa informacji, postępowanie z ryzykiem |
| 9. Ocena efektów | Monitorowanie, pomiary, analiza, audyt wewnętrzny, przegląd zarządzania |
| 10. Doskonalenie | Ciągłe doskonalenie, niezgodności i działania korygujące |
Klauzula 6 (Planowanie) jest często uznawana za najtrudniejszą do wdrożenia, ponieważ wymaga przeprowadzenia pełnej, udokumentowanej oceny ryzyka bezpieczeństwa informacji — organizacja musi zidentyfikować zagrożenia, podatności, oszacować skutki i prawdopodobieństwo, a następnie wybrać odpowiednie zabezpieczenia z Załącznika A.
Uwaga 2026: Poprawka 1:2024 (Amendment 1) rozszerzyła klauzule 4.1 i 4.2 o wymóg uwzględnienia zmian klimatycznych jako czynnika wpływającego na kontekst organizacji i potrzeby stron zainteresowanych. W praktyce oznacza to, że audytorzy mogą oczekiwać od organizacji udokumentowanej analizy tego, jak zmiany klimatu (np. ryzyko powodzi w serwerowni, przerwy w dostawie energii przez ekstremalne zjawiska pogodowe) wpływają na bezpieczeństwo informacji.
Załącznik A — 93 zabezpieczenia w 4 kategoriach
Załącznik A normy ISO/IEC 27001:2022 zawiera listę 93 zabezpieczeń (ang. controls), z których organizacja wybiera te adekwatne do zidentyfikowanych ryzyk. Zabezpieczenia pogrupowano w cztery kategorie tematyczne — to jedna z kluczowych zmian względem poprzedniej edycji z 2013 roku, gdzie było 114 zabezpieczeń w 14 kategoriach.
| Kategoria | Liczba zabezpieczeń | Przykładowe obszary |
|---|---|---|
| Organizacyjne (Organizational) | 37 | Polityki bezpieczeństwa, role i obowiązki, klasyfikacja informacji, relacje z dostawcami, zarządzanie incydentami, zgodność z prawem |
| Ludzkie (People) | 8 | Weryfikacja nowych pracowników, szkolenia, procedury odejścia i zmiany stanowiska, poufność informacji po ustaniu zatrudnienia |
| Fizyczne (Physical) | 14 | Bezpieczeństwo fizyczne obiektów, kontrola dostępu do pomieszczeń, ochrona przed zagrożeniami środowiskowymi, bezpieczne niszczenie nośników |
| Technologiczne (Technological) | 34 | Kontrola dostępu logicznego, kryptografia, bezpieczeństwo sieci, ochrona przed złośliwym oprogramowaniem, backup, logowanie i monitorowanie |
Nowe zabezpieczenia w wersji 2022
Edycja 2022 wprowadziła 11 zupełnie nowych zabezpieczeń, odzwierciedlających zmieniający się krajobraz zagrożeń:
- Analiza zagrożeń (Threat intelligence) — pozyskiwanie i wykorzystywanie informacji o aktualnych zagrożeniach cybernetycznych
- Bezpieczeństwo informacji w chmurze (Information security for use of cloud services)
- Gotowość ICT do ciągłości działania (ICT readiness for business continuity)
- Monitorowanie bezpieczeństwa fizycznego (Physical security monitoring)
- Bezpieczne kodowanie (Secure coding)
- Zarządzanie konfiguracją (Configuration management)
- Usuwanie informacji (Information deletion)
- Maskowanie danych (Data masking)
- Zapobieganie wyciekom danych (Data leakage prevention)
- Działania monitorujące (Monitoring activities)
- Filtrowanie stron internetowych (Web filtering)
Proces certyfikacji ISO 27001 — krok po kroku
Certyfikacja ISO 27001 przebiega w trzech etapach i angażuje niezależną, akredytowaną jednostkę certyfikującą. W Polsce nadzór nad akredytacją jednostek certyfikujących sprawuje Polskie Centrum Akredytacji (PCA).
Etap 1: Audyt dokumentacji (Stage 1)
Audytorzy weryfikują kompletność dokumentacji SZBI: politykę bezpieczeństwa informacji, deklarację stosowalności (Statement of Applicability — SoA), plan postępowania z ryzykiem (Risk Treatment Plan), procedury i rejestry. Sprawdzają, czy system jest zaprojektowany zgodnie z normą. Etap kończy się decyzją o gotowości organizacji do audytu wdrożeniowego.
Etap 2: Audyt wdrożeniowy (Stage 2)
Szczegółowy audyt zgodności — audytorzy zbierają dowody, że SZBI faktycznie działa. Rozmawiają z pracownikami, sprawdzają rejestry incydentów, przeglądają wyniki testów bezpieczeństwa i kopii zapasowych, weryfikują, czy audyty wewnętrzne i przegląd zarządzania faktycznie się odbywają. Pozytywne przejście tego etapu skutkuje wydaniem certyfikatu.
Etap 3: Audyty nadzoru (Surveillance)
Certyfikat ważny jest 3 lata. W tym czasie jednostka certyfikująca przeprowadza coroczne audyty nadzoru — krótsze od audytu głównego, ale weryfikujące kluczowe elementy systemu. Po 3 latach konieczny jest audyt recertyfikacyjny.
Koszty i czas wdrożenia
| Element | Szacunkowy zakres |
|---|---|
| Czas wdrożenia (organizacja 50–200 pracowników) | 6–18 miesięcy |
| Szkolenia i konsulting zewnętrzny | 15 000–50 000 zł |
| Audyt certyfikacyjny (Stage 1 + Stage 2) | 20 000–60 000 zł (zależnie od zakresu i wielkości organizacji) |
| Roczne audyty nadzoru | 8 000–20 000 zł |
| Roczne utrzymanie systemu (praca wewnętrzna) | 200–400 roboczogodzin rocznie |
Koszty są orientacyjne i zależą od wielkości organizacji, stopnia istniejącej dojrzałości bezpieczeństwa oraz wybranej jednostki certyfikującej. Wiele polskich firm decyduje się na stopniowe wdrażanie — najpierw uzyskują zgodność z podstawowymi wymaganiami, a audyt certyfikacyjny przeprowadzają po kilku miesiącach stabilizacji systemu.
ISO 27001 w polskim kontekście prawnym
Wdrożenie ISO 27001 nie wynika wprost z żadnego obowiązku ustawowego, ale norma silnie wspiera zgodność z polskimi i unijnymi regulacjami:
- RODO (GDPR) — ISO 27001 dostarcza strukturalnych ram do wykazania, że organizacja wdrożyła „odpowiednie środki techniczne i organizacyjne" chroniące dane osobowe (art. 32 RODO). Certyfikat często służy jako dowód w postępowaniach przed UODO.
- Krajowe Ramy Interoperacyjności (KRI) — rozporządzenie z 2024 roku nakłada na podmioty publiczne minimalne wymagania bezpieczeństwa systemów teleinformatycznych, które w dużej mierze pokrywają się z zabezpieczeniami z Załącznika A.
- Ustawa o ochronie informacji niejawnych — dla organizacji przetwarzających informacje niejawne ISO 27001 może stanowić uzupełnienie systemu ochrony.
- Dyrektywa NIS 2 (transponowana do prawa polskiego) — nakłada obowiązki zarządzania cyberbezpieczeństwem na szerszy krąg podmiotów; ISO 27001 jest wprost wskazywane jako jedno z narzędzi do spełnienia tych wymagań.
Porównanie ISO 27001 z innymi standardami bezpieczeństwa
| Kryterium | ISO 27001 | SOC 2 | PCI DSS | Cyber Essentials |
|---|---|---|---|---|
| Zakres | Cała organizacja — ludzie, procesy, technologia | Organizacje usługowe — ochrona danych klientów | Środowisko przetwarzania danych kart płatniczych | 5 technicznych obszarów cyberbezpieczeństwa |
| Elastyczność | Organizacja sama wybiera zabezpieczenia na podstawie oceny ryzyka | Organizacja wybiera kryteria z 5 kategorii (TSC) | Ściśle określone wymagania — 12 rozdziałów | Bardzo preskryptywny — konkretne, wąskie wymagania |
| Certyfikacja | Tak — akredytowany audyt zewnętrzny | Raport atestacyjny (nie certyfikat) wydawany przez CPA | Tak — audyt przez QSA | Tak — certyfikacja przez jednostkę akredytowaną |
| Zasięg geograficzny | Globalny | Głównie Ameryka Północna, rośnie w Europie | Globalny dla organizacji obsługujących płatności kartami | Wielka Brytania |
| Okres ważności | 3 lata + coroczne audyty nadzoru | 6–12 miesięcy (raport punktowy) | 1 rok | 1 rok |
| Dla kogo | Każda organizacja, dowolna branża | Firmy SaaS, dostawcy usług IT, data center | Sklepy internetowe, bramki płatnicze, procesorzy płatności | Brytyjskie MŚP, dostawcy dla sektora publicznego UK |
KluczeSoft jest niezależnym sprzedawcą licencji oprogramowania i nie jest powiązany z Microsoft ani jednostkami certyfikującymi ISO.
Częste pytania
Czy ISO 27001 jest obowiązkowe?
Nie — ISO 27001 jest normą dobrowolną. Organizacje decydują się na certyfikację najczęściej z powodów biznesowych: wymagań przetargowych, oczekiwań klientów korporacyjnych, budowania przewagi konkurencyjnej lub jako element zarządzania ryzykiem. W niektórych sektorach (np. finanse, administracja publiczna, dostawcy usług krytycznych) certyfikat staje się de facto standardem rynkowym, choć wciąż nie jest nakazany ustawowo.
Ile zabezpieczeń z Załącznika A trzeba wdrożyć?
Organizacja NIE musi wdrożyć wszystkich 93 zabezpieczeń. Na podstawie oceny ryzyka wybiera te, które są adekwatne do zidentyfikowanych zagrożeń. Dla każdego niewdrożonego zabezpieczenia musi jednak przedstawić uzasadnienie w Deklaracji Stosowalności (SoA). Nie można pominąć zabezpieczenia bez powodu — audytor zweryfikuje sensowność każdego wykluczenia.
Jak długo trwa wdrożenie ISO 27001?
Typowe wdrożenie dla organizacji zatrudniającej 50–200 osób trwa od 6 do 18 miesięcy. Czas zależy od dojrzałości istniejących procesów bezpieczeństwa, dostępności zasobów wewnętrznych oraz tego, czy organizacja korzysta z zewnętrznego konsultingu. Firmy z już funkcjonującymi politykami bezpieczeństwa często skracają ten okres do 4–6 miesięcy.
Czy mała firma (10–30 osób) może uzyskać certyfikat ISO 27001?
Tak. Norma jest skalowalna — wymagania są takie same niezależnie od wielkości organizacji, ale zakres i głębokość wdrożenia dostosowuje się proporcjonalnie. Mała firma będzie miała mniej aktywów do zinwentaryzowania, mniejszy zakres ryzyk i prostszą strukturę organizacyjną. Koszty certyfikacji są jednak relatywnie wyższe w stosunku do przychodów — dlatego małe firmy często decydują się najpierw na wdrożenie zgodności bez formalnego certyfikatu.
Co się zmieniło w ISO 27001:2022 względem wersji z 2013 roku?
Główne zmiany to: redukcja liczby zabezpieczeń ze 114 do 93 i ich przegrupowanie z 14 kategorii do 4 tematycznych (organizacyjne, ludzkie, fizyczne, technologiczne); dodanie 11 nowych zabezpieczeń (m.in. threat intelligence, bezpieczeństwo chmury, secure coding, DLP); uproszczenie struktury Załącznika A; lepsze dopasowanie do nowoczesnych zagrożeń i architektur IT. Ponadto w lutym 2024 roku opublikowano Poprawkę 1, która dodaje wymóg uwzględnienia zmian klimatycznych w analizie kontekstu organizacji.
Czy certyfikat ISO 27001:2013 stracił ważność?
Tak. Okres przejściowy na migrację z wersji 2013 do 2022 zakończył się 31 października 2025 roku. Organizacje, które nie zdążyły przejść recertyfikacji na nową wersję, utraciły ważność certyfikatu. Jednostki certyfikujące nie wydają już nowych certyfikatów na edycję 2013. Jeśli Twoja organizacja wciąż posiada certyfikat 2013, należy niezwłocznie rozpocząć proces migracji — audyt recertyfikacyjny na ISO 27001:2022 jest konieczny do odzyskania certyfikacji.
Ile kosztuje certyfikat ISO 27001 w Polsce?
Całkowity koszt (wdrożenie + audyt certyfikacyjny) dla średniej firmy (50–200 pracowników) wynosi orientacyjnie od 40 000 do 120 000 zł w pierwszym roku, z czego 20 000–60 000 zł to sam audyt zewnętrzny, a reszta to konsulting, szkolenia i nakład pracy wewnętrznej. Roczne koszty utrzymania (audyty nadzoru + praca wewnętrzna) to około 15 000–35 000 zł. Dla mniejszych firm koszty są niższe — certyfikacja 10-osobowego software house'u może zamknąć się w 25 000–40 000 zł.
Bezpieczeństwo informacji to fundament zaufania klientów — zarówno w kontekście certyfikacji ISO, jak i codziennego funkcjonowania organizacji. Jeśli Twoja firma wdraża SZBI i potrzebuje legalnego, niedrogiego oprogramowania Microsoft do środowiska pracy (Windows 11, Microsoft 365, Windows Server), zapoznaj się z ofertą kluczy w sklepie KluczeSoft.pl — wszystkie licencje pochodzą z legalnego obrotu wtórnego w UE, są objęte fakturą VAT i gwarancją działania.
Sprawdź też
- Wymagania konta Microsoft (KSC) — co jest potrzebne do założenia, jakie są limity i dlaczego bez niego nie uruchomisz Windows 11
- NIS2 — wymagania dyrektywy, które musi spełnić Twoja firma w 2026 roku
- Kradzież tożsamości — czym jest, jak do niej dochodzi i jak się chronić
- Ochrona dziecka w internecie — kompleksowy przewodnik dla rodziców
Sklep KluczeSoft
Potrzebujesz licencji? KluczeSoft.pl oferuje legalne klucze z gwarancją autentyczności i wysyłką w 1-3 minuty na e-mail:
Powiązane artykuły
- Microsoft 365 Copilot nie działa — przyczyny, rozwiązania i lista kontrolna krok po kroku — Copilot integruje się głęboko z aplikacjami Microsoft 365, takimi jak Word, Excel, PowerPoint, Outlook, Teams i OneNote.
- Wymagania systemowe — Microsoft Office 2024 — Wymagania systemowe Microsoft Office 2024.
- ESET — wymagania systemowe 2026: pełny przegląd dla Windows, macOS i Androida — W 2026 roku wszystkie domowe produkty ESET dla Windows — ESET Security Ultimate, ESET Smart Security Premium, ESET Internet Security oraz ES.
- NIS2 — wymagania dyrektywy, które musi spełnić Twoja firma w 2026 roku — Dyrektywa NIS2 (Network and Information Security Directive 2) to unijny akt prawny przyjęty 14 grudnia 2022 r., który wszedł w życie 16 styc.
- Wymagania systemowe — Microsoft Office 2021 — Wymagania systemowe Microsoft Office 2021 dla Windows i Mac.