Certyfikacja ISO/IEC 27001:2022 – System Zarządzania Bezpieczeństwem Informacji

Czym jest ISO/IEC 27001:2022

ISO/IEC 27001:2022 to międzynarodowa norma określająca wymagania dla systemu zarządzania bezpieczeństwem informacji (ISMS — Information Security Management System). Aktualne wydanie (październik 2022) zastąpiło ISO/IEC 27001:2013 — okres przejściowy dla recertyfikacji zakończył się 31 października 2025. Wszystkie organizacje z certyfikatem starszego wydania musiały do tej daty przejść na 2022.

Główne zmiany w wydaniu 2022:

• 93 środki kontroli w załączniku A (poprzednio 114) zorganizowane w 4 grupach: organizacyjne, ludzie, fizyczne, technologiczne
• 11 nowych środków kontroli — m.in. threat intelligence, ICT readiness for business continuity, secure development lifecycle
• Pełna spójność z ISO/IEC 27002:2022 — kodeksem praktyki dla zarządzania bezpieczeństwem informacji

ISO/IEC 27001 jest najczęściej certyfikowanym standardem bezpieczeństwa informacji na świecie — według ISO Survey 2024 ponad 70 000 organizacji w 150 krajach posiada aktualny certyfikat. Polska jest jednym z najdynamiczniej rosnących rynków w UE (wzrost +28% rok do roku 2023→2024).

Kto musi certyfikować ISO/IEC 27001

ISO/IEC 27001 jest dobrowolny, ale stał się de facto wymogiem dla wielu sektorów:

• dostawcy IT i SaaS — wymóg klientów korporacyjnych, szczególnie z UE i USA
• fintech i ubezpieczenia — wymóg Komisji Nadzoru Finansowego (KNF), wsparcie zgodności z DORA Regulation (UE) 2022/2554
• podmioty objęte NIS2 — implementacja dyrektywy NIS2 (UE) 2022/2555 wymaga zarządzania ryzykiem cyberbezpieczeństwa; ISO 27001 jest najczęstszym dowodem zgodności
• branża medyczna — łączenie z ISO 13485 i MDR 2017/745 dla aplikacji medycznych (SaMD — Software as a Medical Device)
• przetwarzanie danych osobowych w skali UE — ISO 27001 plus ISO/IEC 27701:2019 (PIMS) jest dowodem zgodności z RODO
• dostawcy dla UE governments — wymóg w przetargach EBA, ENISA, ECB
• eksport usług IT — szczególnie do Niemiec, Skandynawii, USA

Główne wymagania normy

ISO/IEC 27001 składa się z:

Część obowiązkowa (klauzule 4–10):

1. Kontekst organizacji
2. Przywództwo
3. Planowanie — w tym ocena ryzyka informacji
4. Wsparcie — kompetencje, świadomość, komunikacja
5. Działanie — operacyjne sterowanie ryzykiem
6. Ocena wyników — monitoring, audyt wewnętrzny
7. Doskonalenie — niezgodności, działania korygujące

Załącznik A — 93 środki kontroli w 4 grupach:

Grupa	Liczba środków	Przykłady
Kontrole organizacyjne	37	Polityka bezpieczeństwa, klasyfikacja informacji, threat intelligence
Kontrole dotyczące ludzi	8	Sprawdzanie kandydatów, świadomość, dyscyplina
Kontrole fizyczne	14	Kontrola dostępu fizycznego, ochrona kabli, biurka czyste
Kontrole technologiczne	34	Szyfrowanie, monitoring, secure development, kopie zapasowe

Każdy środek kontroli wymaga uzasadnienia stosowania lub wyłączenia w Deklaracji Stosowania (SoA — Statement of Applicability) — kluczowym dokumencie audytowym.

Certyfikacja a NIS2 i DORA

Dwa kluczowe akty UE 2024–2025 znacząco zwiększają zainteresowanie ISO 27001 w Polsce:

NIS2 (Dyrektywa 2022/2555) — implementacja w Polsce poprzez Ustawę o krajowym systemie cyberbezpieczeństwa. Obejmuje podmioty kluczowe (banki, energetyka, woda, transport) i ważne (dostawcy IT, chmury, medyczne). Wymaga zarządzania ryzykiem cyberbezpieczeństwa — ISO 27001 jest najczęściej rekomendowanym frameworkiem zgodności.

DORA — Digital Operational Resilience Act (UE) 2022/2554 — od 17 stycznia 2025 obowiązuje wszystkie podmioty finansowe w UE. Wymaga programu odporności operacyjnej, testów i nadzoru nad dostawcami ICT. ISO 27001 + ISO 22301 to standardowa kombinacja zgodności.

Proces certyfikacji w ITC

1. Audyt dokumentacji (Stage 1) — przegląd polityki, SoA, oceny ryzyka, dokumentacji ISMS
2. Audyt certyfikacyjny (Stage 2) — wizyta w organizacji, weryfikacja wdrożenia 93 środków kontroli
3. Wydanie certyfikatu — typowo 6–10 tygodni od decyzji
4. Audyty nadzorcze — corocznie
5. Recertyfikacja — co 3 lata

ITC, a.s. posiada akredytację ČIA COSM 3002 dla ISO/IEC 27001:2022. Audyty prowadzone w języku polskim z audytorami posiadającymi kwalifikacje IRCA / Lead Auditor 27001.

Powiązane usługi i wsparcie

• ISO 9001 (jakość) — częsta integracja w branży IT
• ISO 13485 (wyroby medyczne) — kombinacja dla SaMD i aplikacji medycznych
• Kalkulator wstępny — wstępna wycena projektu w 30 sekund
• Pełen cennik orientacyjny — przedziały cenowe dla 10 kategorii usług

Powiązane regulacje: NIS2, DORA, RODO (UE) 2016/679.

Bezpłatna wycena: formularz wyceny lub e-mail [email protected].