ISO/IEC 27001:2022 · PRZEWODNIK 2026

ISO 27001 — norma, wymagania i certyfikacja

ISO/IEC 27001 to najpopularniejsza na świecie norma systemu zarządzania bezpieczeństwem informacji (ISMS). Wyjaśniamy, czym jest ISO 27001, jak zbudowany jest ISMS, czym jest załącznik A i 93 zabezpieczenia oraz jak krok po kroku przejść drogę do certyfikacji.

Umów demo ISO 27001Testy penetracyjne pod ISO 27001

ISO/IEC 27001:2022 — 93 zabezpieczenia w 4 tematach.

Podstawy

Czym jest norma ISO 27001?

ISO/IEC 27001 to międzynarodowa norma określająca wymagania dla systemu zarządzania bezpieczeństwem informacji (ISMS – Information Security Management System). Zamiast narzucać konkretne technologie, dostarcza ustrukturyzowanych ram opartych na analizie ryzyka, dzięki którym organizacja systematycznie identyfikuje, ocenia i ogranicza ryzyka związane z poufnością, integralnością i dostępnością informacji.

Aktualne wydanie to ISO/IEC 27001:2022. Norma składa się z części głównej (klauzule 4-10), która opisuje wymagania dotyczące kontekstu organizacji, przywództwa, planowania, wsparcia, działań operacyjnych, oceny skuteczności i doskonalenia, oraz z załącznika A zawierającego 93 zabezpieczenia. Certyfikacja jest dobrowolna, lecz powszechnie uznawana jako wiarygodny dowód dojrzałości bezpieczeństwa — często wymagany przez klientów i partnerów biznesowych.

Dla polskich firm ISO 27001 pełni również rolę praktycznego fundamentu zgodności z regulacjami takimi jak NIS2, DORA i RODO — wdrożony ISMS w dużej mierze pokrywa ich wymagania w zakresie zarządzania ryzykiem i bezpieczeństwa informacji.

Załącznik A

93 zabezpieczenia w czterech tematach.

ISO/IEC 27001:2022 grupuje zabezpieczenia z załącznika A w cztery tematy. Wytyczne ich wdrożenia opisuje powiązana norma ISO/IEC 27002:2022.

37 zabezpieczeń

Organizacyjne

Polityki bezpieczeństwa, role i odpowiedzialności, zarządzanie ryzykiem, relacje z dostawcami, zarządzanie incydentami i ciągłość działania.

8 zabezpieczeń

Dotyczące ludzi

Weryfikacja przed zatrudnieniem, świadomość i szkolenia, odpowiedzialność dyscyplinarna oraz praca zdalna.

14 zabezpieczeń

Fizyczne

Strefy bezpieczeństwa, kontrola dostępu fizycznego, ochrona sprzętu, nośników i okablowania oraz polityka czystego biurka.

34 zabezpieczenia

Technologiczne

Kontrola dostępu, kryptografia, bezpieczeństwo sieci, ochrona przed złośliwym oprogramowaniem, kopie zapasowe, logowanie i bezpieczne wytwarzanie oprogramowania.

Certyfikacja

Droga do certyfikacji ISO 27001 — krok po kroku.

1

Określ zakres ISMS

Zdefiniuj granice systemu zarządzania bezpieczeństwem informacji — lokalizacje, procesy, systemy i strony zainteresowane (klauzula 4).

2

Przeprowadź analizę ryzyka

Zidentyfikuj aktywa, zagrożenia i podatności, oceń ryzyko i ustal plan postępowania z ryzykiem (klauzula 6).

3

Opracuj polityki i SoA

Przygotuj politykę bezpieczeństwa informacji oraz Deklarację Stosowania (SoA) uzasadniającą wybór zabezpieczeń z załącznika A.

4

Wdróż zabezpieczenia

Wprowadź wybrane zabezpieczenia organizacyjne, dotyczące ludzi, fizyczne i technologiczne oraz zbieraj dowody ich działania.

5

Przeprowadź audyt wewnętrzny

Sprawdź skuteczność ISMS w audycie wewnętrznym i przeprowadź przegląd zarządzania (klauzule 9-10).

6

Przejdź audyt certyfikacyjny

Akredytowana jednostka certyfikująca przeprowadza audyt w dwóch etapach (Stage 1 i Stage 2). Po pozytywnym wyniku otrzymujesz certyfikat ważny 3 lata.

Czas i koszty

Ile trwa i ile kosztuje wdrożenie ISO 27001.

Dla małej lub średniej organizacji wdrożenie ISMS i przygotowanie do certyfikacji trwa zwykle od 3 do 9 miesięcy. Czas zależy od dojrzałości obecnych procesów bezpieczeństwa, zakresu ISMS oraz dostępności zasobów wewnętrznych.

Na całkowity koszt składają się: nakład pracy wewnętrznej, ewentualne wsparcie doradcze, narzędzia do zarządzania ISMS oraz opłaty akredytowanej jednostki certyfikującej — uzależnione od liczby pracowników i lokalizacji objętych zakresem. Certyfikat jest ważny 3 lata, a w tym okresie odbywają się coroczne audyty nadzoru.

Największe oszczędności czasu przynosi uporządkowanie dowodów zgodności od początku. Platforma do zarządzania zgodnością z gotowym katalogiem 93 zabezpieczeń, szablonami SoA i automatycznym zbieraniem dowodów potrafi skrócić projekt o kilka miesięcy.

Jak pomaga Matproof

ISO 27001 wbudowane w platformę.

Gotowy katalog 93 zabezpieczeń z załącznika A (ISO 27001:2022)
Generator Deklaracji Stosowania (SoA) i polityk bezpieczeństwa
Analiza i postępowanie z ryzykiem z powiązaniem do zabezpieczeń
Automatyczne zbieranie i śledzenie dowodów — gotowe do audytu
Mapowanie międzyramowe: ISO 27001, NIS2, DORA i RODO równolegle
Wsparcie audytu wewnętrznego i przygotowania do Stage 1 / Stage 2

Testy penetracyjne wspierające zabezpieczenia ISO 27001 →

FAQ

Najczęstsze pytania o ISO 27001

Czym jest norma ISO 27001?+

ISO/IEC 27001 to międzynarodowa norma określająca wymagania dla systemu zarządzania bezpieczeństwem informacji (ISMS – Information Security Management System). Dostarcza ustrukturyzowanych ram pozwalających identyfikować, oceniać i ograniczać ryzyka związane z bezpieczeństwem informacji. Aktualne wydanie to ISO/IEC 27001:2022. Certyfikacja jest dobrowolna, ale stanowi uznawany na całym świecie dowód dojrzałości bezpieczeństwa.

Czym jest załącznik A i ile jest zabezpieczeń w ISO 27001:2022?+

Załącznik A do ISO/IEC 27001:2022 zawiera 93 zabezpieczenia (controls) pogrupowane w cztery tematy: organizacyjne (37), dotyczące ludzi (8), fizyczne (14) oraz technologiczne (34). Szczegółowe wytyczne ich wdrożenia opisuje powiązana norma ISO/IEC 27002:2022. Organizacja wybiera zabezpieczenia na podstawie analizy ryzyka i dokumentuje je w Deklaracji Stosowania (SoA).

Jak wygląda droga do certyfikacji ISO 27001?+

Typowa droga obejmuje: określenie zakresu ISMS, analizę i postępowanie z ryzykiem, opracowanie polityk i Deklaracji Stosowania (SoA), wdrożenie zabezpieczeń, audyt wewnętrzny i przegląd zarządzania, a następnie audyt certyfikacyjny w dwóch etapach (Stage 1 – przegląd dokumentacji, Stage 2 – audyt wdrożenia) przeprowadzany przez akredytowaną jednostkę certyfikującą. Certyfikat jest ważny 3 lata, z corocznymi audytami nadzoru.

Ile trwa i ile kosztuje wdrożenie ISO 27001?+

Dla małej lub średniej organizacji wdrożenie trwa zwykle od 3 do 9 miesięcy w zależności od dojrzałości i zakresu. Na koszt składają się: nakład pracy wewnętrznej, ewentualne wsparcie doradcze, narzędzia do zarządzania ISMS oraz opłaty jednostki certyfikującej (zależne od liczby pracowników i lokalizacji). Platforma do zarządzania zgodnością znacząco skraca czas dzięki gotowym katalogom zabezpieczeń i automatyzacji dowodów.

Czym różni się ISO 27001 od ISO 27002?+

ISO/IEC 27001 to norma certyfikowalna określająca wymagania dla systemu zarządzania bezpieczeństwem informacji. ISO/IEC 27002 to zbiór praktycznych wytycznych i dobrych praktyk dotyczących wdrożenia poszczególnych zabezpieczeń z załącznika A. Certyfikuje się zgodność z ISO 27001; ISO 27002 jest dokumentem pomocniczym, nie podlega certyfikacji.

Czy ISO 27001 pomaga w zgodności z NIS2, DORA i RODO?+

Tak. ISO 27001 dostarcza systemowego fundamentu, który w dużej mierze pokrywa się z wymaganiami NIS2 (środki zarządzania ryzykiem), DORA (zarządzanie ryzykiem ICT) oraz RODO (bezpieczeństwo przetwarzania danych). Posiadanie wdrożonego ISMS zgodnego z ISO 27001 znacząco ułatwia i przyspiesza wykazanie zgodności z tymi regulacjami, choć ich w pełni nie zastępuje.

Zacznij

Gotowy, by wdrożyć ISO 27001?

Zobacz na 30-minutowym demo, jak Matproof prowadzi przez budowę ISMS — od analizy ryzyka i Deklaracji Stosowania po dowody gotowe do audytu certyfikacyjnego.

Umów demoTesty penetracyjne ISO 27001 →