Czym jest ISO 27001

ISO/IEC 27001 to międzynarodowa norma określająca wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Opracowana przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję Elektrotechniczną (IEC), norma ta stanowi ramy pozwalające organizacjom systematycznie zarządzać ryzykiem dotyczącym bezpieczeństwa informacji.

Norma ma zastosowanie do organizacji każdej wielkości i z każdej branży. W kontekście polskich podmiotów technologicznych stanowi uznaną metodykę ochrony danych przetwarzanych w systemach informatycznych, niezależnie od formy prawnej organizacji.

Zakres normy

ISO 27001 obejmuje trzy podstawowe obszary bezpieczeństwa informacji: poufność, integralność i dostępność (model CIA). Norma definiuje wymagania dla:

  • ustanowienia polityki bezpieczeństwa informacji,
  • identyfikacji i oceny ryzyka dla aktywów informacyjnych,
  • doboru i wdrożenia zabezpieczeń z Załącznika A normy,
  • monitorowania i pomiaru skuteczności SZBI,
  • ciągłego doskonalenia systemu.

Załącznik A normy zawiera 93 zabezpieczenia (kontrole) pogrupowane w czterech obszarach tematycznych: zabezpieczenia organizacyjne, zabezpieczenia dla osób, zabezpieczenia fizyczne oraz zabezpieczenia technologiczne.

Kluczowe wymagania SZBI

Norma ISO 27001:2022 jest zorganizowana według struktury HLS (High Level Structure), co umożliwia integrację z innymi systemami zarządzania. Wymagania obligatoryjne obejmują rozdziały 4–10:

  • Kontekst organizacji — identyfikacja stron zainteresowanych, zakresu SZBI i czynników wewnętrznych i zewnętrznych.
  • Przywództwo — zaangażowanie kierownictwa, polityka i przydzielenie ról.
  • Planowanie — ocena ryzyka, postępowanie z ryzykiem, Deklaracja Stosowania (SoA).
  • Wsparcie — zasoby, kompetencje, świadomość, komunikacja, dokumentacja.
  • Działania operacyjne — planowanie, ocena ryzyka operacyjnego, postępowanie z ryzykiem.
  • Ocena efektów — monitorowanie, audyt wewnętrzny, przegląd zarządzania.
  • Doskonalenie — niezgodności, działania korygujące, ciągłe doskonalenie.

Etapy wdrożenia

Wdrożenie ISO 27001 w organizacji technologicznej przebiega zazwyczaj w następujących etapach:

  1. Analiza luk (gap analysis) — porównanie obecnego stanu z wymaganiami normy.
  2. Ustalenie zakresu SZBI — określenie granic systemu i objętych nim aktywów.
  3. Ocena i postępowanie z ryzykiem — identyfikacja zagrożeń, podatności i wpływu na biznes.
  4. Dobór zabezpieczeń i SoA — wybór kontroli z Załącznika A i udokumentowanie decyzji.
  5. Wdrożenie polityk i procedur — tworzenie dokumentacji SZBI.
  6. Szkolenie i świadomość — przygotowanie pracowników.
  7. Audyt wewnętrzny — weryfikacja zgodności przed certyfikacją.
  8. Przegląd zarządzania — ocena SZBI przez kierownictwo wyższego szczebla.

Certyfikacja

Certyfikacja ISO 27001 jest procesem dobrowolnym, realizowanym przez akredytowane jednostki certyfikujące. W Polsce akredytacją jednostek zajmuje się Polskie Centrum Akredytacji (PCA). Certyfikat wydawany jest na trzy lata, z corocznymi audytami nadzoru.

Proces certyfikacji obejmuje dwie fazy audytu certyfikacyjnego: przegląd dokumentacji (faza 1) oraz audyt na miejscu (faza 2), podczas którego audytorzy weryfikują wdrożenie wymagań normy w praktyce.

Articles published on this website summarize publicly available information, industry research and educational materials.

Najczęstsze pytania

Ile trwa wdrożenie ISO 27001?
Czas wdrożenia zależy od wielkości organizacji i jej aktualnego poziomu dojrzałości procesowej. Dla małych i średnich firm technologicznych typowy czas wynosi od 6 do 18 miesięcy.
Jakie dokumenty są obowiązkowe?
Norma wymaga m.in. polityki bezpieczeństwa informacji, oceny ryzyka, planu postępowania z ryzykiem, Deklaracji Stosowania (SoA), celów bezpieczeństwa informacji, wyników audytów wewnętrznych i przeglądów zarządzania.
Czy certyfikacja ISO 27001 jest wymagana przez RODO?
Certyfikacja ISO 27001 nie jest wymagana wprost przez RODO. Jednak posiadanie certyfikatu może stanowić dowód zastosowania odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 RODO.
Jakie są koszty certyfikacji?
Koszty certyfikacji zależą od wybranej jednostki certyfikującej i zakresu SZBI. Obejmują opłaty za audyt certyfikacyjny, audyty nadzoru oraz ewentualne audyty recertyfikacyjne po trzech latach.