O nasStandardyBranżeBlog ✦ AIWycena →
Strona główna  /  Blog  /  Certyfikacja ISO 27001

Certyfikacja ISO 27001:2022 — Kompletny Przewodnik

Uzyskanie certyfikacji ISO/IEC 27001:2022 to ważny kamień milowy dla każdej organizacji zarządzającej wrażliwymi informacjami. Ten przewodnik obejmuje każdy etap procesu — od wstępnej analizy luk po końcowy audyt certyfikacyjny — dostarczając praktycznych wskazówek opartych na naszym doświadczeniu z setkami projektów certyfikacyjnych.

ISO 27001 ISMS Certyfikacja

 ·  8 min czytania

Dlaczego ISO 27001 ma znaczenie w 2026 roku

ISO/IEC 27001 to najbardziej uznany międzynarodowy standard zarządzania bezpieczeństwem informacji. Wersja 2022 zaktualizowała standard, aby odzwierciedlić współczesny krajobraz zagrożeń, wprowadzając kontrole dotyczące chmury obliczeniowej, wywiadu zagrożeń i zapobiegania utracie danych. Dla organizacji europejskich certyfikacja ISO 27001 jest coraz częściej wymagana jako warunek kontraktowy oraz dowód zgodności z RODO i dyrektywą NIS2.

Rewizja 2022 przebudowała Załącznik A, przechodząc ze 114 kontroli w 14 domenach do 93 kontroli zorganizowanych w czterech tematach: organizacyjne, dotyczące osób, fizyczne i technologiczne. Wprowadzono jedenaście nowych kontroli, w tym wywiad zagrożeń, bezpieczeństwo chmury, zarządzanie konfiguracją, maskowanie danych, zapobieganie utracie danych i bezpieczne kodowanie.

Etap 1: Analiza luk

Pierwszym krokiem jest przeprowadzenie kompleksowej analizy luk (gap analysis). Polega to na porównaniu obecnych praktyk bezpieczeństwa organizacji z wymaganiami normy ISO 27001:2022. Analiza powinna obejmować zarówno klauzule systemu zarządzania (klauzule 4-10), jak i kontrole Załącznika A.

Wynikiem tego etapu jest priorytetyzowany raport identyfikujący obszary, w których organizacja już spełnia wymagania, te wymagające częściowych ulepszeń oraz te, w których niezbędne są znaczące działania. Raport ten staje się podstawą planu projektu certyfikacyjnego.

Praktyczna rada: zaangażujcie kluczowych interesariuszy od samego początku. Certyfikacja ISO 27001 to nie projekt wyłącznie IT — wymaga zaangażowania zarządu, HR, działu prawnego i operacyjnego.

Etap 2: Określenie zakresu

Określenie zakresu (scope) ISMS to kluczowa decyzja. Zakres określa, które procesy, lokalizacje, systemy i dane są objęte certyfikacją. Zbyt szeroki zakres czyni projekt nadmiernie złożonym; zbyt wąski może nie spełniać oczekiwań klientów lub regulatorów.

Klauzula 4.3 wymaga, aby zakres uwzględniał kontekst organizacji (klauzula 4.1), potrzeby zainteresowanych stron (klauzula 4.2) oraz interfejsy i zależności między działaniami wykonywanymi przez organizację a tymi wykonywanymi przez strony trzecie.

Etap 3: Ocena i postępowanie z ryzykiem

Ocena ryzyka jest sercem ISMS. ISO 27001 nie narzuca konkretnej metodologii, ale wymaga, aby proces był systematyczny, powtarzalny i udokumentowany. Metodologia musi identyfikować ryzyka dla bezpieczeństwa informacji, analizować prawdopodobieństwo i wpływ każdego ryzyka oraz oceniać je względem kryteriów akceptacji ryzyka określonych przez organizację.

Plan postępowania z ryzykiem musi mapować każde zidentyfikowane ryzyko do wybranych kontroli Załącznika A. To mapowanie trafia do Deklaracji Stosowalności (Statement of Applicability, SoA) — najważniejszego dokumentu ISMS z perspektywy audytu.

Etap 4: Wdrożenie kontroli

Po zdefiniowaniu planu postępowania z ryzykiem organizacja musi wdrożyć wybrane kontrole. Obejmuje to opracowanie polityk i procedur, konfigurowanie rozwiązań technologicznych, szkolenie personelu i ustanowienie procesów operacyjnych.

Nowe kontrole w wersji 2022 zasługują na szczególną uwagę. Kontrola A.5.7 (Threat Intelligence) wymaga procesów gromadzenia i analizowania informacji o zagrożeniach. Kontrola A.5.23 (Cloud Security) wymaga określonych wymagań bezpieczeństwa dla usług chmurowych. Kontrola A.8.16 (Monitoring Activities) wymaga zdolności monitorowania bezpieczeństwa, co może wymagać inwestycji technologicznych.

Etap 5: Audyt wewnętrzny i przegląd zarządu

Przed audytem certyfikacyjnym organizacja musi przeprowadzić pełny cykl audytu wewnętrznego i przegląd zarządu. Audyt wewnętrzny weryfikuje zgodność z wymaganiami normy i skuteczność wdrożonych kontroli. Przegląd zarządu ocenia wyniki ISMS jako całości i decyduje o działaniach doskonalacych.

Etap 6: Audyt certyfikacyjny

Audyt certyfikacyjny przebiega w dwóch etapach. Etap 1 to przegląd dokumentacji: audytor weryfikuje, że ISMS jest odpowiednio udokumentowany i że organizacja jest gotowa do pełnego audytu. Etap 2 to audyt wdrożenia: audytor weryfikuje, że kontrole są faktycznie wdrożone i działają w praktyce.

Drobne niezgodności nie uniemożliwiają certyfikacji, ale muszą zostać usunięte w uzgodnionym terminie. Poważne niezgodności wymagają działań korygujących przed wydaniem certyfikatu.

Utrzymanie certyfikacji

Certyfikacja ISO 27001 jest ważna przez trzy lata, z corocznymi audytami nadzoru. Organizacja musi wykazywać ciągłe doskonalenie ISMS i utrzymywać skuteczność kontroli w czasie. Wymaga to stałego zaangażowania, a nie jednorazowego projektu.

Jak BALTUM wspiera Państwa proces

Międzynarodowa sieć audytorów i konsultantów BALTUM wspiera organizacje na każdym etapie certyfikacji ISO 27001:2022. Od wstępnej analizy luk po przygotowanie do audytu — dostarczamy ustrukturyzowane podejście, które skraca czas i obniża koszty certyfikacji. Skontaktuj się z nami po bezpłatną konsultację.