Strona główna Standardy ✦ Ocena AI Zapytaj o ofertę →
Strona głównaStandardy → ISO/IEC 27001

ISO/IEC 27001 — Zarządzanie bezpieczeństwem informacji

Międzynarodowo uznawany standard systemów zarządzania bezpieczeństwem informacji (ISMS). Certyfikacja ISO 27001 potwierdza, że Państwa organizacja wdrożyła systematyczne mechanizmy kontrolne chroniące zasoby informacyjne — i jest uznawana przez klientów, regulatorów i instytucje zamówień publicznych w ponad 100 krajach.

ISO 27001:2022 ISMS Uznanie IAF MLA Ponad 100 krajów

Czym jest ISO/IEC 27001?

ISO/IEC 27001 to wiodący międzynarodowy standard systemów zarządzania bezpieczeństwem informacji (ISMS), opublikowany przez Międzynarodową Organizację Normalizacyjną (ISO). Rewizja z 2022 r. (ISO 27001:2022) wprowadziła zmieniony zestaw zabezpieczeń w Załączniku A, dostosowany do ISO 27002:2022, redukując liczbę zabezpieczeń ze 114 do 93 w ramach 4 kategorii tematycznych.

Certyfikacja potwierdza, że organizacja oceniła ryzyka bezpieczeństwa informacji i wdrożyła odpowiednie zabezpieczenia w ramach systematycznego systemu zarządzania — podlegającego niezależnemu audytowi strony trzeciej.

Kto potrzebuje ISO 27001?

  • Firmy technologiczne i SaaS obsługujące klientów korporacyjnych B2B
  • Organizacje z sektora usług finansowych, bankowości i przetwarzania płatności
  • Firmy z branży ochrony zdrowia i MedTech przetwarzające dane pacjentów
  • Wykonawcy sektora rządowego i publicznego
  • Centra danych, dostawcy usług chmurowych i dostawcy usług zarządzanych
  • Każda organizacja odpowiadająca na kwestionariusze bezpieczeństwa klientów lub zamówień

ISO 27001:2022 — Kluczowe zmiany względem wersji 2013

Organizacje certyfikowane według ISO 27001:2013 muszą dokonać przejścia na wersję 2022. Kluczowe zmiany obejmują:

  • Załącznik A przestrukturyzowany na 4 kategorie tematyczne: Organizacyjne, Ludzie, Fizyczne, Technologiczne
  • Dodano 11 nowych zabezpieczeń, w tym wywiad o zagrożeniach, bezpieczeństwo chmury i maskowanie danych
  • Zmniejszono łączną liczbę zabezpieczeń ze 114 do 93 (część scalono)
  • Zwiększono spójność z innymi standardami systemów zarządzania ISO (Struktura Wysokiego Poziomu)

Zakres certyfikacji ISO 27001

Definicja zakresu to kluczowy etap procesu certyfikacji. Zakres określa, które zasoby informacyjne, procesy, lokalizacje i jednostki organizacyjne wchodzą w ramy ISMS. Faza analizy luk BALTUM obejmuje szczegółowe wytyczne dotyczące definicji zakresu, aby zapewnić, że zakres jest zarówno istotny dla interesariuszy, jak i osiągalny w docelowym harmonogramie.

Współpraca z BALTUM: Etap po etapie

  • Etap 1 — Analiza luk i określenie zakresu: Ocena stanu bieżącego względem wymagań ISO 27001:2022. Rejestr luk. Dokument zakresu. Plan projektu.
  • Etap 2 — Dokumentacja ISMS: Polityka bezpieczeństwa informacji, metodologia oceny i postępowania z ryzykiem, Deklaracja Stosowalności, procedury i dokumentacja zabezpieczeń.
  • Etap 3 — Wsparcie wdrożeniowe: Wytyczne dotyczące wdrażania zabezpieczeń, audyt wewnętrzny i facylitacja przeglądu zarządzania.
  • Etap 4 — Audyt certyfikacyjny: Przegląd dokumentacji (etap 1) i audyt operacyjny na miejscu/zdalny (etap 2) przez akredytowaną jednostkę certyfikującą.
  • Etap 5 — Nadzór: Roczne audyty nadzorcze i planowanie recertyfikacji co trzy lata.

Typowy harmonogram

Dla średniej organizacji (50–500 pracowników) ubiegającej się o pierwszą certyfikację: 3–6 miesięcy od rozpoczęcia do wydania certyfikatu. Harmonogramy zależą od wielkości organizacji, aktualnej dojrzałości i dostępności zasobów wewnętrznych. BALTUM zapewnia plan projektu oparty na kamieniach milowych na początku każdej współpracy.

Integracja z innymi standardami

ISO 27001 jest często wdrażany równolegle z komplementarnymi standardami. BALTUM oferuje zintegrowane programy, które współdzielą dokumentację, zabezpieczenia i czynności audytowe:

  • ISO 27001 + ISO 27701 (Zarządzanie informacją o prywatności)
  • ISO 27001 + ISO 22301 (Ciągłość działania)
  • ISO 27001 + ISO 42001 (System zarządzania AI)
  • ISO 27001 + SOC 2 (ujednolicone ramy dowodowe)
  • ISO 27001 + PCI DSS (sektor finansowy)