Wypróbuj za darmo

Certyfikacja ISO 27001 krok po kroku: praktyczny przewodnik dla firm

ISO/IEC 27001 to najbardziej uznana na świecie norma zarządzania bezpieczeństwem informacji. Certyfikatu coraz częściej wymagają klienci w przetargach, ubezpieczyciele oraz regulacje takie jak NIS2 czy DORA. Oto realistyczne spojrzenie na to, jak przebiega certyfikacja — bez konsultanckiego marketingu.

Etap 1: Zakres i kontekst (1–2 tygodnie)

Zdefiniuj, co obejmie system zarządzania bezpieczeństwem informacji (ISMS): które procesy, lokalizacje i systemy. Węższy zakres oznacza szybszą certyfikację — większość firm zaczyna od całej organizacji lub kluczowej usługi. Rezultatem jest dokument zakresu ISMS i analiza kontekstu organizacji (klauzula 4 normy).

Etap 2: Analiza ryzyka i SoA (2–4 tygodnie)

Rdzeń całej normy. Identyfikujesz aktywa informacyjne (dane, systemy, ludzi), oceniasz ryzyka według prawdopodobieństwa i skutków oraz decydujesz o postępowaniu z nimi. Na ocenie ryzyka opiera się Deklaracja Stosowania (SoA) — dokument, który dla wszystkich 93 zabezpieczeń Załącznika A wskazuje, czy mają zastosowanie i dlaczego. SoA to pierwsza rzecz, którą otworzy audytor.

Etap 3: Dokumentacja (tradycyjnie 2–4 miesiące, z automatyzacją dni)

Norma wymaga udokumentowanego systemu: polityki bezpieczeństwa informacji, zarządzania dostępem, zarządzania incydentami, ciągłości działania, dostawców, szkoleń i innych. Tradycyjnie to najbardziej pracochłonny etap — konsultant zażąda za niego 10 000 € i więcej, a szablonowe toolkity dadzą Ci generyczne angielskie wzory do ręcznego wypełniania.

To etap, który dziś potrafi zautomatyzować ISOForge: na podstawie krótkiego kreatora dotyczącego Twojej firmy wygeneruje kompletną dokumentację dopasowaną do Twojej organizacji, w języku polskim i ze spójnymi odsyłaczami między dokumentami. Pobierz przykładowy dokument i oceń jakość samodzielnie.

Etap 4: Wdrożenie i eksploatacja (2–3 miesiące)

Dokumenty muszą żyć: wdróż zabezpieczenia, przeszkol pracowników (obowiązkowe coroczne szkolenie budujące świadomość), uruchom ewidencję incydentów i zbieraj zapisy — dowody, że system działa. Audytor będzie chciał zobaczyć co najmniej 2–3 miesiące funkcjonowania.

Etap 5: Audyt wewnętrzny i przegląd zarządzania

Przed audytem certyfikacyjnym musisz obowiązkowo przeprowadzić audyt wewnętrzny (klauzula 9.2) i przegląd zarządzania (klauzula 9.3). Ustalenia z audytu wewnętrznego rozwiązujesz przez działania korygujące. Bez tych dwóch kroków jednostka certyfikująca odeśle Cię z kwitkiem.

Etap 6: Audyt certyfikacyjny

Przebiega w dwóch stopniach: Stage 1 to przegląd dokumentacji i gotowości, Stage 2 to pogłębiony audyt funkcjonowania systemu na miejscu. Audytor klasyfikuje ustalenia jako duże niezgodności (blokują certyfikat), małe niezgodności (do rozwiązania w uzgodnionym terminie) oraz spostrzeżenia. Jednostkę certyfikującą wybierasz sam — musi być akredytowana (w Polsce przez PCA, Polskie Centrum Akredytacji).

Po certyfikacji: tu się nic nie kończy

Certyfikat jest ważny 3 lata, ale co roku przechodzisz audyt nadzoru, a po trzech latach recertyfikację. Dokumenty wymagają corocznych przeglądów, ryzyka regularnej ponownej oceny, szkolenia się powtarzają. Większość firm nie docenia właśnie utrzymania systemu — i na audycie nadzoru zbiera niezgodności za przeterminowane dokumenty i brakujące zapisy. Kalendarz zgodności z przypomnieniami, żywy rejestr ryzyk i śledzenie przeglądów dokumentów w ISOForge rozwiązują dokładnie ten problem.

Koszty: realistyczny budżet

Najczęstsze błędy

  1. Zbyt szeroki zakres ISMS przy pierwszym podejściu.
  2. Dokumentacja oderwana od realiów firmy — audytorzy rozpoznają to natychmiast.
  3. Brak zapisów — system „na papierze" bez dowodów funkcjonowania.
  4. Pominięty audyt wewnętrzny i przegląd zarządzania.
  5. Niedocenione utrzymanie systemu po certyfikacji.
Potrzebujesz dokumentacji ISO?

ISOForge generuje gotową do audytu dokumentację dopasowaną do Twojej firmy — po polsku, za ułamek ceny konsultanta.

Dowiedz się więcej