Przejdź do treści
Powrót do Centrum Pomocy
Bezpieczeństwo

ISO 27001:2022 — wymagania normy, lista kontrolna i proces certyfikacji krok po kroku

ISO/IEC 27001 to norma z rodziny ISO/IEC 27000, opracowana wspólnie przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję Elektrotechni

12 min czytania·Zaktualizowano 1 miesiąc temu

ISO/IEC 27001:2022 (w Polsce obowiązująca jako PN-EN ISO/IEC 27001:2023-08) to międzynarodowa norma określająca wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI, ang. ISMS). Organizacja, która wdroży system zgodny z normą i przejdzie certyfikację przez akredytowaną jednostkę, uzyskuje niezależne potwierdzenie, że jej procesy zarządzania bezpieczeństwem informacji spełniają światowe standardy — obejmujące nie tylko technologie, ale też ludzi i procedury.

W skrócie

  • Aktualna wersja: ISO/IEC 27001:2022 (3. edycja, opublikowana w październiku 2022 r.; polskie wydanie PN-EN ISO/IEC 27001:2023-08)
  • Norma opiera się na cyklu PDCA (Plan-Do-Check-Act): zaplanuj, wdróż, monitoruj, doskonal
  • 93 zabezpieczenia w Załączniku A pogrupowane w 4 kategorie: organizacyjne (37), ludzkie (8), fizyczne (14) i technologiczne (34)
  • Obowiązkowe klauzule 4–10: od kontekstu organizacji po ciągłe doskonalenie
  • Certyfikat ważny 3 lata, z corocznymi audytami nadzoru
  • Poprawka 1:2024 wprowadza obowiązek uwzględnienia zmian klimatycznych w analizie kontekstu organizacji (klauzule 4.1 i 4.2)
  • Certyfikacja nie jest obowiązkowa prawnie, ale coraz częściej wymagana w przetargach, kontraktach B2B i łańcuchach dostaw

Czym jest ISO 27001 — pełna definicja

ISO/IEC 27001 to norma z rodziny ISO/IEC 27000, opracowana wspólnie przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję Elektrotechniczną (IEC). Jej historia sięga brytyjskiego standardu BS 7799-2 z 1999 roku. Pierwsza edycja ISO 27001 ukazała się w 2005 roku, druga w 2013, a trzecia — obecnie obowiązująca — w październiku 2022 roku.

Norma definiuje wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) — czyli zestawu polityk, procedur, procesów i zabezpieczeń technicznych, które organizacja ustanawia, wdraża, monitoruje i stale doskonali, aby chronić poufność, integralność i dostępność informacji (tzw. triada CIA).

W przeciwieństwie do norm czysto technicznych (np. PCI DSS dla branży płatniczej czy Cyber Essentials w Wielkiej Brytanii), ISO 27001 ma charakter neutralny technologicznie i branżowo — mogą ją wdrożyć zarówno firmy IT, instytucje finansowe, szpitale, urzędy, jak i przedsiębiorstwa produkcyjne.

Co oznacza triada CIA w ISO 27001

ZasadaZnaczeniePrzykład ryzyka
Poufność (Confidentiality)Tylko uprawnione osoby mają dostęp do informacjiWyciek haseł klientów i sprzedaż w darknecie
Integralność (Integrity)Dane są wiarygodne, kompletne i niezmienionePrzypadkowe usunięcie wiersza w bazie przez pracownika
Dostępność (Availability)Informacje dostępne zawsze, gdy są potrzebneAwaria serwera produkcyjnego bez działającej kopii zapasowej

Struktura normy — obowiązkowe klauzule 4–10

Trzon normy stanowi siedem klauzul (rozdziałów 4–10), które każda organizacja musi spełnić, aby system SZBI mógł zostać certyfikowany:

KlauzulaZakres wymagań
4. Kontekst organizacjiZrozumienie organizacji i jej otoczenia, identyfikacja stron zainteresowanych, określenie zakresu SZBI
5. PrzywództwoZaangażowanie najwyższego kierownictwa, polityka bezpieczeństwa informacji, role i odpowiedzialności
6. PlanowanieDziałania odnoszące się do ryzyk i szans, cele bezpieczeństwa informacji i plany ich osiągnięcia
7. WsparcieZasoby, kompetencje, świadomość pracowników, komunikacja, udokumentowane informacje
8. DziałaniePlanowanie i nadzór operacyjny, ocena ryzyka bezpieczeństwa informacji, postępowanie z ryzykiem
9. Ocena efektówMonitorowanie, pomiary, analiza, audyt wewnętrzny, przegląd zarządzania
10. DoskonalenieCiągłe doskonalenie, niezgodności i działania korygujące

Klauzula 6 (Planowanie) jest często uznawana za najtrudniejszą do wdrożenia, ponieważ wymaga przeprowadzenia pełnej, udokumentowanej oceny ryzyka bezpieczeństwa informacji — organizacja musi zidentyfikować zagrożenia, podatności, oszacować skutki i prawdopodobieństwo, a następnie wybrać odpowiednie zabezpieczenia z Załącznika A.

Uwaga 2026: Poprawka 1:2024 (Amendment 1) rozszerzyła klauzule 4.1 i 4.2 o wymóg uwzględnienia zmian klimatycznych jako czynnika wpływającego na kontekst organizacji i potrzeby stron zainteresowanych. W praktyce oznacza to, że audytorzy mogą oczekiwać od organizacji udokumentowanej analizy tego, jak zmiany klimatu (np. ryzyko powodzi w serwerowni, przerwy w dostawie energii przez ekstremalne zjawiska pogodowe) wpływają na bezpieczeństwo informacji.

Załącznik A — 93 zabezpieczenia w 4 kategoriach

Załącznik A normy ISO/IEC 27001:2022 zawiera listę 93 zabezpieczeń (ang. controls), z których organizacja wybiera te adekwatne do zidentyfikowanych ryzyk. Zabezpieczenia pogrupowano w cztery kategorie tematyczne — to jedna z kluczowych zmian względem poprzedniej edycji z 2013 roku, gdzie było 114 zabezpieczeń w 14 kategoriach.

KategoriaLiczba zabezpieczeńPrzykładowe obszary
Organizacyjne (Organizational)37Polityki bezpieczeństwa, role i obowiązki, klasyfikacja informacji, relacje z dostawcami, zarządzanie incydentami, zgodność z prawem
Ludzkie (People)8Weryfikacja nowych pracowników, szkolenia, procedury odejścia i zmiany stanowiska, poufność informacji po ustaniu zatrudnienia
Fizyczne (Physical)14Bezpieczeństwo fizyczne obiektów, kontrola dostępu do pomieszczeń, ochrona przed zagrożeniami środowiskowymi, bezpieczne niszczenie nośników
Technologiczne (Technological)34Kontrola dostępu logicznego, kryptografia, bezpieczeństwo sieci, ochrona przed złośliwym oprogramowaniem, backup, logowanie i monitorowanie

Nowe zabezpieczenia w wersji 2022

Edycja 2022 wprowadziła 11 zupełnie nowych zabezpieczeń, odzwierciedlających zmieniający się krajobraz zagrożeń:

  • Analiza zagrożeń (Threat intelligence) — pozyskiwanie i wykorzystywanie informacji o aktualnych zagrożeniach cybernetycznych
  • Bezpieczeństwo informacji w chmurze (Information security for use of cloud services)
  • Gotowość ICT do ciągłości działania (ICT readiness for business continuity)
  • Monitorowanie bezpieczeństwa fizycznego (Physical security monitoring)
  • Bezpieczne kodowanie (Secure coding)
  • Zarządzanie konfiguracją (Configuration management)
  • Usuwanie informacji (Information deletion)
  • Maskowanie danych (Data masking)
  • Zapobieganie wyciekom danych (Data leakage prevention)
  • Działania monitorujące (Monitoring activities)
  • Filtrowanie stron internetowych (Web filtering)

Proces certyfikacji ISO 27001 — krok po kroku

Certyfikacja ISO 27001 przebiega w trzech etapach i angażuje niezależną, akredytowaną jednostkę certyfikującą. W Polsce nadzór nad akredytacją jednostek certyfikujących sprawuje Polskie Centrum Akredytacji (PCA).

Etap 1: Audyt dokumentacji (Stage 1)

Audytorzy weryfikują kompletność dokumentacji SZBI: politykę bezpieczeństwa informacji, deklarację stosowalności (Statement of Applicability — SoA), plan postępowania z ryzykiem (Risk Treatment Plan), procedury i rejestry. Sprawdzają, czy system jest zaprojektowany zgodnie z normą. Etap kończy się decyzją o gotowości organizacji do audytu wdrożeniowego.

Etap 2: Audyt wdrożeniowy (Stage 2)

Szczegółowy audyt zgodności — audytorzy zbierają dowody, że SZBI faktycznie działa. Rozmawiają z pracownikami, sprawdzają rejestry incydentów, przeglądają wyniki testów bezpieczeństwa i kopii zapasowych, weryfikują, czy audyty wewnętrzne i przegląd zarządzania faktycznie się odbywają. Pozytywne przejście tego etapu skutkuje wydaniem certyfikatu.

Etap 3: Audyty nadzoru (Surveillance)

Certyfikat ważny jest 3 lata. W tym czasie jednostka certyfikująca przeprowadza coroczne audyty nadzoru — krótsze od audytu głównego, ale weryfikujące kluczowe elementy systemu. Po 3 latach konieczny jest audyt recertyfikacyjny.

Koszty i czas wdrożenia

ElementSzacunkowy zakres
Czas wdrożenia (organizacja 50–200 pracowników)6–18 miesięcy
Szkolenia i konsulting zewnętrzny15 000–50 000 zł
Audyt certyfikacyjny (Stage 1 + Stage 2)20 000–60 000 zł (zależnie od zakresu i wielkości organizacji)
Roczne audyty nadzoru8 000–20 000 zł
Roczne utrzymanie systemu (praca wewnętrzna)200–400 roboczogodzin rocznie

Koszty są orientacyjne i zależą od wielkości organizacji, stopnia istniejącej dojrzałości bezpieczeństwa oraz wybranej jednostki certyfikującej. Wiele polskich firm decyduje się na stopniowe wdrażanie — najpierw uzyskują zgodność z podstawowymi wymaganiami, a audyt certyfikacyjny przeprowadzają po kilku miesiącach stabilizacji systemu.

ISO 27001 w polskim kontekście prawnym

Wdrożenie ISO 27001 nie wynika wprost z żadnego obowiązku ustawowego, ale norma silnie wspiera zgodność z polskimi i unijnymi regulacjami:

  • RODO (GDPR) — ISO 27001 dostarcza strukturalnych ram do wykazania, że organizacja wdrożyła „odpowiednie środki techniczne i organizacyjne" chroniące dane osobowe (art. 32 RODO). Certyfikat często służy jako dowód w postępowaniach przed UODO.
  • Krajowe Ramy Interoperacyjności (KRI) — rozporządzenie z 2024 roku nakłada na podmioty publiczne minimalne wymagania bezpieczeństwa systemów teleinformatycznych, które w dużej mierze pokrywają się z zabezpieczeniami z Załącznika A.
  • Ustawa o ochronie informacji niejawnych — dla organizacji przetwarzających informacje niejawne ISO 27001 może stanowić uzupełnienie systemu ochrony.
  • Dyrektywa NIS 2 (transponowana do prawa polskiego) — nakłada obowiązki zarządzania cyberbezpieczeństwem na szerszy krąg podmiotów; ISO 27001 jest wprost wskazywane jako jedno z narzędzi do spełnienia tych wymagań.

Porównanie ISO 27001 z innymi standardami bezpieczeństwa

KryteriumISO 27001SOC 2PCI DSSCyber Essentials
ZakresCała organizacja — ludzie, procesy, technologiaOrganizacje usługowe — ochrona danych klientówŚrodowisko przetwarzania danych kart płatniczych5 technicznych obszarów cyberbezpieczeństwa
ElastycznośćOrganizacja sama wybiera zabezpieczenia na podstawie oceny ryzykaOrganizacja wybiera kryteria z 5 kategorii (TSC)Ściśle określone wymagania — 12 rozdziałówBardzo preskryptywny — konkretne, wąskie wymagania
CertyfikacjaTak — akredytowany audyt zewnętrznyRaport atestacyjny (nie certyfikat) wydawany przez CPATak — audyt przez QSATak — certyfikacja przez jednostkę akredytowaną
Zasięg geograficznyGlobalnyGłównie Ameryka Północna, rośnie w EuropieGlobalny dla organizacji obsługujących płatności kartamiWielka Brytania
Okres ważności3 lata + coroczne audyty nadzoru6–12 miesięcy (raport punktowy)1 rok1 rok
Dla kogoKażda organizacja, dowolna branżaFirmy SaaS, dostawcy usług IT, data centerSklepy internetowe, bramki płatnicze, procesorzy płatnościBrytyjskie MŚP, dostawcy dla sektora publicznego UK

KluczeSoft jest niezależnym sprzedawcą licencji oprogramowania i nie jest powiązany z Microsoft ani jednostkami certyfikującymi ISO.

Częste pytania

Czy ISO 27001 jest obowiązkowe?

Nie — ISO 27001 jest normą dobrowolną. Organizacje decydują się na certyfikację najczęściej z powodów biznesowych: wymagań przetargowych, oczekiwań klientów korporacyjnych, budowania przewagi konkurencyjnej lub jako element zarządzania ryzykiem. W niektórych sektorach (np. finanse, administracja publiczna, dostawcy usług krytycznych) certyfikat staje się de facto standardem rynkowym, choć wciąż nie jest nakazany ustawowo.

Ile zabezpieczeń z Załącznika A trzeba wdrożyć?

Organizacja NIE musi wdrożyć wszystkich 93 zabezpieczeń. Na podstawie oceny ryzyka wybiera te, które są adekwatne do zidentyfikowanych zagrożeń. Dla każdego niewdrożonego zabezpieczenia musi jednak przedstawić uzasadnienie w Deklaracji Stosowalności (SoA). Nie można pominąć zabezpieczenia bez powodu — audytor zweryfikuje sensowność każdego wykluczenia.

Jak długo trwa wdrożenie ISO 27001?

Typowe wdrożenie dla organizacji zatrudniającej 50–200 osób trwa od 6 do 18 miesięcy. Czas zależy od dojrzałości istniejących procesów bezpieczeństwa, dostępności zasobów wewnętrznych oraz tego, czy organizacja korzysta z zewnętrznego konsultingu. Firmy z już funkcjonującymi politykami bezpieczeństwa często skracają ten okres do 4–6 miesięcy.

Czy mała firma (10–30 osób) może uzyskać certyfikat ISO 27001?

Tak. Norma jest skalowalna — wymagania są takie same niezależnie od wielkości organizacji, ale zakres i głębokość wdrożenia dostosowuje się proporcjonalnie. Mała firma będzie miała mniej aktywów do zinwentaryzowania, mniejszy zakres ryzyk i prostszą strukturę organizacyjną. Koszty certyfikacji są jednak relatywnie wyższe w stosunku do przychodów — dlatego małe firmy często decydują się najpierw na wdrożenie zgodności bez formalnego certyfikatu.

Co się zmieniło w ISO 27001:2022 względem wersji z 2013 roku?

Główne zmiany to: redukcja liczby zabezpieczeń ze 114 do 93 i ich przegrupowanie z 14 kategorii do 4 tematycznych (organizacyjne, ludzkie, fizyczne, technologiczne); dodanie 11 nowych zabezpieczeń (m.in. threat intelligence, bezpieczeństwo chmury, secure coding, DLP); uproszczenie struktury Załącznika A; lepsze dopasowanie do nowoczesnych zagrożeń i architektur IT. Ponadto w lutym 2024 roku opublikowano Poprawkę 1, która dodaje wymóg uwzględnienia zmian klimatycznych w analizie kontekstu organizacji.

Czy certyfikat ISO 27001:2013 stracił ważność?

Tak. Okres przejściowy na migrację z wersji 2013 do 2022 zakończył się 31 października 2025 roku. Organizacje, które nie zdążyły przejść recertyfikacji na nową wersję, utraciły ważność certyfikatu. Jednostki certyfikujące nie wydają już nowych certyfikatów na edycję 2013. Jeśli Twoja organizacja wciąż posiada certyfikat 2013, należy niezwłocznie rozpocząć proces migracji — audyt recertyfikacyjny na ISO 27001:2022 jest konieczny do odzyskania certyfikacji.

Ile kosztuje certyfikat ISO 27001 w Polsce?

Całkowity koszt (wdrożenie + audyt certyfikacyjny) dla średniej firmy (50–200 pracowników) wynosi orientacyjnie od 40 000 do 120 000 zł w pierwszym roku, z czego 20 000–60 000 zł to sam audyt zewnętrzny, a reszta to konsulting, szkolenia i nakład pracy wewnętrznej. Roczne koszty utrzymania (audyty nadzoru + praca wewnętrzna) to około 15 000–35 000 zł. Dla mniejszych firm koszty są niższe — certyfikacja 10-osobowego software house'u może zamknąć się w 25 000–40 000 zł.


Bezpieczeństwo informacji to fundament zaufania klientów — zarówno w kontekście certyfikacji ISO, jak i codziennego funkcjonowania organizacji. Jeśli Twoja firma wdraża SZBI i potrzebuje legalnego, niedrogiego oprogramowania Microsoft do środowiska pracy (Windows 11, Microsoft 365, Windows Server), zapoznaj się z ofertą kluczy w sklepie KluczeSoft.pl — wszystkie licencje pochodzą z legalnego obrotu wtórnego w UE, są objęte fakturą VAT i gwarancją działania.

Sprawdź też

<!-- IL-V1 -->

Sklep KluczeSoft

Potrzebujesz licencji? KluczeSoft.pl oferuje legalne klucze z gwarancją autentyczności i wysyłką w 1-3 minuty na e-mail:

Powiązane artykuły

Najczęściej zadawane pytania

Nie — ISO 27001 jest normą dobrowolną. Organizacje decydują się na certyfikację najczęściej z powodów biznesowych: wymagań przetargowych, oczekiwań klientów korporacyjnych, budowania przewagi konkurencyjnej lub jako element zarządzania ryzykiem. W niektórych sektorach (np. finanse, administracja publiczna, dostawcy usług krytycznych) certyfikat staje się de facto standardem rynkowym, choć wciąż nie jest nakazany ustawowo.
Organizacja NIE musi wdrożyć wszystkich 93 zabezpieczeń. Na podstawie oceny ryzyka wybiera te, które są adekwatne do zidentyfikowanych zagrożeń. Dla każdego niewdrożonego zabezpieczenia musi jednak przedstawić uzasadnienie w Deklaracji Stosowalności (SoA). Nie można pominąć zabezpieczenia bez powodu — audytor zweryfikuje sensowność każdego wykluczenia.
Typowe wdrożenie dla organizacji zatrudniającej 50–200 osób trwa od 6 do 18 miesięcy. Czas zależy od dojrzałości istniejących procesów bezpieczeństwa, dostępności zasobów wewnętrznych oraz tego, czy organizacja korzysta z zewnętrznego konsultingu. Firmy z już funkcjonującymi politykami bezpieczeństwa często skracają ten okres do 4–6 miesięcy.
Tak. Norma jest skalowalna — wymagania są takie same niezależnie od wielkości organizacji, ale zakres i głębokość wdrożenia dostosowuje się proporcjonalnie. Mała firma będzie miała mniej aktywów do zinwentaryzowania, mniejszy zakres ryzyk i prostszą strukturę organizacyjną. Koszty certyfikacji są jednak relatywnie wyższe w stosunku do przychodów — dlatego małe firmy często decydują się najpierw na wdrożenie zgodności bez formalnego certyfikatu.
Główne zmiany to: redukcja liczby zabezpieczeń ze 114 do 93 i ich przegrupowanie z 14 kategorii do 4 tematycznych (organizacyjne, ludzkie, fizyczne, technologiczne); dodanie 11 nowych zabezpieczeń (m.in. threat intelligence, bezpieczeństwo chmury, secure coding, DLP); uproszczenie struktury Załącznika A; lepsze dopasowanie do nowoczesnych zagrożeń i architektur IT. Ponadto w lutym 2024 roku opublikowano Poprawkę 1, która dodaje wymóg uwzględnienia zmian klimatycznych w analizie kontekstu organizacji.
Tak. Okres przejściowy na migrację z wersji 2013 do 2022 zakończył się **31 października 2025 roku**. Organizacje, które nie zdążyły przejść recertyfikacji na nową wersję, utraciły ważność certyfikatu. Jednostki certyfikujące nie wydają już nowych certyfikatów na edycję 2013. Jeśli Twoja organizacja wciąż posiada certyfikat 2013, należy niezwłocznie rozpocząć proces migracji — audyt recertyfikacyjny na ISO 27001:2022 jest konieczny do odzyskania certyfikacji.
Całkowity koszt (wdrożenie + audyt certyfikacyjny) dla średniej firmy (50–200 pracowników) wynosi orientacyjnie od 40 000 do 120 000 zł w pierwszym roku, z czego 20 000–60 000 zł to sam audyt zewnętrzny, a reszta to konsulting, szkolenia i nakład pracy wewnętrznej. Roczne koszty utrzymania (audyty nadzoru + praca wewnętrzna) to około 15 000–35 000 zł. Dla mniejszych firm koszty są niższe — certyfikacja 10-osobowego software house'u może zamknąć się w 25 000–40 000 zł. --- Bezpieczeństwo informacji to fundament zaufania klientów — zarówno w kontekście certyfikacji ISO, jak i codziennego funkcjonowania organizacji. Jeśli Twoja firma wdraża SZBI i potrzebuje legalnego, niedrogiego oprogramowani

Czy ten artykuł był pomocny?

ISO 27001:2022 — wymagania normy, lista kontrolna i proce… | Centrum Pomocy KluczeSoft