ISO/IEC 27001 to międzynarodowa norma referencyjna dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Coraz częściej wymagana przez zleceniodawców, w przetargach, przez ubezpieczycieli cyber lub dla dostępu do niektórych rynków eksportowych, SYAGA wspiera Cię od oceny luk (gap assessment) aż po przygotowanie do audytu certyfikującego.
ISO 27001 nie jest ogólnym obowiązkiem prawnym, ale staje się nieodzownym wymogiem komercyjnym
ISO/IEC 27001 pozostaje dobrowolnym podejściem. Jest jednak coraz częściej wymagana w przetargach, przez dużych zleceniodawców, przez niektórych ubezpieczycieli cyber, lub jako warunek dostępu do niektórych rynków eksportowych.
Większość MŚP i ETI nie podjęła żadnego ustrukturyzowanego działania w zakresie Systemu Zarządzania Bezpieczeństwem Informacji. Temat jest postrzegany jako złożony, techniczny i długotrwały.
Klasyczne projekty certyfikacyjne angażują Twoje zespoły na kilka miesięcy i stanowią znaczącą inwestycję, często poza zasięgiem MŚP.
Angażowanie CIO lub kierownika bezpieczeństwa na miesiące do budowy SZBI nie jest realistyczne w MŚP, gdzie każdy nosi już kilka kapeluszy naraz.
Ustrukturyzowane podejście w 3 fazach, oparte na tej samej metodologii już sprawdzonej przez SYAGA w PSSI-Express
Rozmowa ustalająca zakres z kierownictwem i osobą odpowiedzialną za IT, następnie systematyczna ocena każdego z 93 zabezpieczeń bezpieczeństwa z Załącznika A (edycja 2022), rozłożonych na 4 tematy: organizacyjny, ludzki, fizyczny i technologiczny. Przekazanie faktograficznego raportu luk.
Opracowanie lub aktualizacja polityki bezpieczeństwa (SZBI), Deklaracji Stosowania (SoA) uzasadniającej zastosowanie lub wyłączenie każdego z 93 zabezpieczeń, oraz uszeregowanego planu naprawczego, mającego wypełnić luki zidentyfikowane w fazie 1.
Monitorowanie wdrażania planu naprawczego, przegląd dokumentacji oraz przygotowanie Twojego zespołu do audytu realizowanego przez niezależną akredytowaną jednostkę certyfikującą. SYAGA przygotowuje Cię do audytu; sama certyfikacja jest wydawana przez tę zewnętrzną jednostkę.
Kluczowe dokumenty dokumentacji certyfikacji ISO 27001
Faktograficzna ocena Twojego poziomu zgodności z normą.
Centralny dokument normatywny dokumentacji certyfikacji ISO 27001.
Dokument governance wymagany przez klauzule 4-10 normy.
Mapa drogowa do wypełnienia zidentyfikowanych luk.
Dokumenty gotowe do bezpośredniego stosowania przez Twoje zespoły.
Wszystkie dokumenty w formatach, które możesz rozwijać.
SZBI ISO 27001 naturalnie pokrywa się z wieloma standardami
Standard centralny: klauzule 4-10 (wymagania zarządzania) i Załącznik A (93 zabezpieczenia bezpieczeństwa podzielone na 4 tematy).
Środki zarządzania ryzykiem cybernetycznym wymagane przez dyrektywę NIS2 w dużej mierze pokrywają się z zabezpieczeniami Załącznika A ISO 27001. SZBI ISO 27001 ułatwia dostosowanie do zgodności NIS2 objętym podmiotom.
Środki przewodnika higieny informatycznej ANSSI (francuska agencja ds. cyberbezpieczeństwa) pokrywają się w znacznej części z zabezpieczeniami Załącznika A ISO 27001. Odniesienie udokumentowane w planie naprawczym.
Odpowiednie środki techniczne i organizacyjne wymagane przez artykuł 32 RODO opierają się na tych samych dobrych praktykach co Załącznik A ISO 27001 (kontrola dostępu, szyfrowanie, zarządzanie incydentami).
Każdy projekt ISO 27001 jest dostosowany do Twojego zakresu i obecnej dojrzałości. Zawsze spersonalizowana wycena.
Wstępna fotografia Twoich luk
Od oceny luk po przygotowanie do audytu
Po certyfikacji lub w sposób ciągły
Skontaktuj się z nami, aby otrzymać spersonalizowaną wycenę zależną od Twojego zakresu i obecnej dojrzałości.
Co naprawdę mówi ISO/IEC 27001, wyjaśnione prostym językiem. Każdy punkt odsyła do swojego oficjalnego źródła (ISO, AFNOR, COFRAC, ANSSI), zaktualizowane na 17/07/2026.
ISO/IEC 27001 to uznana metoda wykrywania zagrożeń dla Twoich danych, opanowania ryzyk i wdrożenia właściwych zabezpieczeń, aby Twoje informacje pozostały poufne, dostępne i wiarygodne. To nie oprogramowanie, to organizacja do wdrożenia w przedsiębiorstwie.
Źródło: AFNOR Certification (francuska jednostka certyfikująca)W przeciwieństwie do innych działań (jak homologacja bezpieczeństwa narzucona niektórym systemom państwowym we Francji), ISO 27001 jest dobrowolna: to norma certyfikująca, nie ogólny obowiązek regulacyjny. Wybierasz ją, aby uspokoić klientów, partnerów i ubezpieczycieli.
Źródło: ANSSI (francuska agencja ds. cyberbezpieczeństwa, karta metody)Nigdy samo przedsiębiorstwo ani konsultant: tylko niezależna i akredytowana jednostka certyfikująca może go wydać (COFRAC jest jedyną francuską instytucją akredytującą, utworzoną w 1994 roku). Uzyskany certyfikat jest ważny 3 lata.
Źródło: COFRAC (francuska jednostka akredytująca)Wstępna ocena (opcjonalna), przygotowanie, przegląd dokumentów, audyt na miejscu w celu sprawdzenia, co naprawdę jest wdrożone, wydanie certyfikatu (3 lata), a następnie coroczna wizyta kontrolna i pełny audyt odnowieniowy po 3 latach. Nic nie jest ustalone raz na zawsze.
Źródło: AFNOR CertificationWedług badania AFNOR przeprowadzonego wśród certyfikowanych przedsiębiorstw: 89% zauważyło mniej incydentów bezpieczeństwa, 83% ma solidniejsze wewnętrzne procesy bezpieczeństwa, a 88% zachowało klientów, którzy mogliby odejść bez certyfikacji.
Źródło: badanie AFNOR 2019To najczęściej stosowana na świecie norma bezpieczeństwa informacji według samej ISO. A akredytacja kontrolująca jednostki certyfikujące (jak COFRAC we Francji) jest uznawana międzynarodowo dzięki porozumieniom między krajami, co ułatwia dostęp do rynków w Europie i poza nią.
Źródło: ISO (komitet JTC1/SC27)