LL-C Polska
ISO/IEC 27001:2022

Certyfikacja ISO 27001:2022

Co to jest ISO/IEC 27001:2022?

Uznana na całym świecie norma ISO/IEC 27001 obejmuje zarządzanie bezpieczeństwem informacji w organizacjach. Jest to wiodaca międzynarodowa norma dla systemu zarządzania bezpieczeństwem informacji (ISMS — Information Security Management System).

Norma ISO/IEC 27001 określa wymagania dotyczace systemów zarządzania bezpieczeństwem informacji w firmie. Glownym celem jest zapewnienie ochrony danych i informacji, aby uniknąć ich utraty lub kradziezy. Pomaga to zmniejszyc ryzyko wycieku informacji, a także poprawia wiarygodność firmy.

Certyfikacja ISO/IEC 27001 jest zalecana wszystkim firmom, niezależnie od ich wielkości lub sektora, które przetwarzają dane za pomoca technologii informatycznych. Norma określa wymagania dla ustanowienia, wdrożenia, utrzymania i nieustannego doskonalenia ISMS — systemu obejmującego ludzi, procesy i technologie.

Obowiazujaca wersja to ISO 27001:2022 (zastąpiła ISO 27001:2013). Dla organizacji posiadających certyfikat ISO 27001:2013 okres przejsciowy na nowa wersje kończy się w pazdzierniku 2025 roku — po tym terminie certyfikaty według wersji 2013 traca ważność.

Zakres certyfikacji ISO 27001

Certyfikacja ISO 27001 jest odpowiednia dla:

  • Firm IT i software house’ow (dostawców oprogramowania)
  • Dostawcow usług chmurowych (SaaS, IaaS, PaaS)
  • Organizacji przetwarzających dane osobowe lub wrażliwe (medyczne, finansowe)
  • Instytucji publicznych i urzedów administracji
  • Kancelarii prawnych, firm doradczych i audytorskich
  • Bankow, ubezpieczycieli i instytucji finansowych
  • Firm e-commerce i operatorów platform internetowych
  • Operatorow usług kluczowych (energetyka, transport, woda) — w kontekście NIS2

Wymagania ISO/IEC 27001

Główne wymagania normy obejmują:

  • Definicja systemu zarządzania bezpieczeństwem informacji — określenie zakresu, polityki i celów ISMS
  • Dostepnosc informacji w razie potrzeby — zapewnienie ciągłości działalności i odzyskiwania danych
  • Regularna konserwacja i doskonalenie systemów zarządzania
  • Kontekst organizacji — identyfikacja stron zainteresowanych i wymagań
  • Przywództwo — zaangażowanie kierownictwa i polityka bezpieczeństwa informacji
  • Szacowanie i postępowanie z ryzykiem — systematyczna ocena ryzyk bezpieczeństwa
  • Zalacznik A — 93 środki bezpieczeństwa w 4 obszarach: organizacyjne, technologiczne, fizyczne, osobowe
  • Swiadomosc i szkolenia — edukacja pracowników w zakresie zagrozen i procedur
  • Audyty wewnętrzne i przegląd zarządczy — cykliczna ocena ISMS

Nowe środki w ISO 27001:2022

Wśród kluczowych nowych kontroli (nieobecnych w ISO 27001:2013):

  • Threat intelligence — rozpoznanie i analiza zagrozen cybernetycznych
  • Bezpieczeństwo przetwarzania w chmurze — kontrole specyficzne dla srodowisk SaaS/IaaS/PaaS
  • Gotowosc ICT na ciągłość działalności (ICT readiness for business continuity)
  • Monitorowanie aktywności fizycznej i srodowiskowej — fizyczne kontrole bezpieczeństwa
  • Zarządzanie konfiguracja (configuration management) — bezpieczna konfiguracja systemów
  • Maskowanie danych (data masking) — pseudonimizacja i anonimizacja informacji wrażliwych

Korzyści z certyfikacji

Wdrożenie systemu ISMS zgodnego z ISO 27001 przynosi organizacji konkretne korzyści:

  • Minimalizowanie ryzyka bezpieczeństwa informacji i utraty danych
  • Minimalizowanie ryzyka sankcji (RODO, NIS2, krajowe regulatory)
  • Zaufanie dostawców i klientów korporacyjnych
  • Zgodnosc z wymogami prawnymi i regulacyjnymi
  • Wykazanie dojrzalosci w zakresie bezpieczeństwa IT kontrahentom korporacyjnym i instytucjom publicznym
  • Wsparcie zgodności z RODO, NIS2 i wymaganiami sektorowymi (KNF, NFZ, MON)
  • Systematyczne zarządzanie incydentami i redukcja ryzyka naruszenia danych
  • Przewaga w przetargach i kontraktach B2B wymagających certyfikatu ISO 27001
  • Latwa integracja z ISO 20000 (usługi IT) i ISO 22301 (ciągłość działalności)

Przebieg certyfikacji ISO 27001

Certyfikacja ISMS przebiega w nastepujących etapach:

  1. Złożenie wniosku i wycena — określenie zakresu ISMS, lokalizacji, liczby pracowników, infrastruktury IT
  2. Etap 1 — przegląd dokumentacji — Statement of Applicability (SoA), polityki bezpieczeństwa, analiza ryzyka, plan postępowania z ryzykiem
  3. Etap 2 — audyt na miejscu — weryfikacja wdrożenia kontroli zalacznika A, testy kontroli technicznych, wywiady z personelem
  4. Decyzja o certyfikacji przez niezależny komitet
  5. Wydanie certyfikatu ważny 3 lata
  6. Coroczne audyty nadzoru w cyklu 3-letnim
  7. Recertyfikacja po 3 latach

Akredytacja i uznanie

Certyfikat ISO/IEC 27001 wystawiany przez LL-C jest oparty na akredytacji CIA 150/2025 (Czeski Instytut Akredytacji), sygnatariusz EA MLA i IAF MLA. Certyfikat jest uznawany na rynkach UE i globalnych przez agencje sektorowe (KNF, NFZ, NASK, ministerstwa) oraz audytorów drugich stron.

Jeżeli chcą Państwo dowiedzieć się więcej na temat certyfikacji ISO/IEC 27001, prosimy o kontakt. Z przyjemnością przeprowadzimy Państwa przez cały proces.

Często zadawane pytania (FAQ)

Czym różni się ISO 27001:2022 od ISO 27001:2013?

ISO 27001:2022 wprowadziła zmieniona strukture zalacznika A — 114 środków w 14 kategoriach zastapiono 93 srodkami w 4 grupach tematycznych. Dodano nowe kontrole dotyczace bezpieczeństwa chmury, ochrony danych osobowych i threat intelligence. Organizacje certyfikowane wg 2013 mają do pazdziernika 2025 na przejście na wersje 2022.

Czy ISO 27001 pomaga w zgodności z RODO?

Tak. ISO 27001 obejmuje wiele wymagań RODO — identyfikacja aktywów informacyjnych, kontrole dostępu, szyfrowanie, procedury reakcji na naruszenia. Certyfikat ISO 27001 jest silnym dowodem stosowania zasad 'privacy by design' wymaganej przez RODO.

Czy ISO 27001 wystarcza do spełnienia NIS2?

ISO 27001 stanowi solidna baze dla wdrożenia wymagań dyrektywy NIS2, ale nie pokrywa wszystkich obowiązków (np. raportowanie incydentów w terminie 24/72 godzin do CSIRT). Certyfikat znacznie skraca jednak droge do zgodności.

Bezpłatna wycena Zadzwoń