ISO po certyfikacji
Baza wiedzy
Co dzieje się z systemem ISO po certyfikacji
Bezpieczeństwo organizacji

Co dzieje się z systemem ISO po certyfikacji

Najtrudniejsze nie jest zdobycie certyfikatu. Najtrudniejsze jest utrzymanie systemu, który za nim stoi.

www.sisoft.pl/baza-wiedzy/co-dzieje-sie-z-systemem-iso-po-certyfikacji
Grzegorz Surdyka
26.1.2026
7
min czytania

Spis treści

    Certyfikat ISO 27001 wisi w ramce. Audyt zaliczony. Zespół może odetchnąć. I właśnie wtedy zaczyna się prawdziwe wyzwanie.

    W większości organizacji system zarządzania bezpieczeństwem informacji zaczyna umierać w ciągu pierwszych sześciu miesięcy po certyfikacji. Nie nagle, nie spektakularnie. Po cichu, niezauważalnie, między jednym przeglądem a kolejnym, którego nikt nie zrobi.

    Ten artykuł opisuje mechanizm tego procesu, jego konsekwencje i to, co odróżnia organizacje, w których system naprawdę działa, od tych, gdzie istnieje tylko na papierze.

    Symptomy umierającego systemu

    Wracam do firmy pół roku po certyfikacji. Oficjalnie — przegląd, jak idzie utrzymanie. Nieoficjalnie — wiem już, co zobaczę.

    Rejestr ryzyk — ostatnia aktualizacja osiem miesięcy temu, jeszcze przed audytem certyfikacyjnym. Szkolenia pracowników — „do nadrobienia w przyszłym kwartale". Audyt wewnętrzny — „no, formalnie był". Przegląd zarządzania — przełożony, bo zarząd miał pilniejsze sprawy.

    „Certyfikat mamy. Temat zamknięty."

    Słyszę to regularnie. I za każdym razem wiem, że za rok będę rozmawiał z tą samą firmą o tym samym problemie — tylko że wtedy będzie to rozmowa o recertyfikacji w trybie awaryjnym albo o incydencie, który uderzył w system istniejący wyłącznie w dokumentacji.

    Symptomy są zawsze podobne. Polityki, których nikt nie czyta. Procedury, które opisują rzeczywistość sprzed dwóch lat. Właściciele ryzyk, którzy nie wiedzą, że są właścicielami. Incydenty, które nie są zgłaszane, bo nikt nie pamięta jak. Szkolenia zaliczone przez kliknięcie „dalej" dwanaście razy z rzędu.

    System nie umiera w dniu ataku. Umiera znacznie wcześniej — między jednym przeglądem a drugim, którego nikt nie przeprowadzi.

    Dlaczego tak się dzieje

    Przed certyfikacją jest energia. Deadline mobilizuje. Zespół się angażuje. Zarząd pyta o postępy co tydzień. Konsultanci są na miejscu. Każdy wie, że audyt nadchodzi i że trzeba być gotowym.

    Po certyfikacji jest codzienność. Inne projekty. Nowe priorytety. Ludzie odchodzą, nowi nie wiedzą, dlaczego pewne rzeczy robimy tak, a nie inaczej. Zarząd przestaje pytać — w końcu certyfikat mamy, więc chyba jest dobrze.

    Jest kilka konkretnych mechanizmów, które napędzają ten proces.

    Brak właściciela z mandatem

    W wielu organizacjach system ISO nie ma właściciela — albo ma właściciela bez czasu i mandatu. CISO, który podlega pod IT i nie ma budżetu. Specjalista ds. bezpieczeństwa, który oprócz systemu zajmuje się jeszcze pięcioma innymi rzeczami. Pełnomocnik ISO, który funkcję dostał „w nagrodę" do podstawowych obowiązków.

    „Jak mam utrzymać system, skoro nie mam na to czasu?" — to pytanie, które słyszę najczęściej. I jest uczciwe. Utrzymanie systemu wymaga godzin — regularnych, zaplanowanych, chronionych przed innymi priorytetami. Jeśli nikt tych godzin nie ma, system umiera.

    Rotacja ludzi

    Trzeci CISO w cztery lata. Każdy zaczynał od nowa. Poprzednik nie zostawił dokumentacji — albo zostawił, ale nikt nie wie gdzie. Nowy człowiek spędza pierwsze pół roku na orientowaniu się, co w ogóle mamy. Potem odchodzi i cykl się powtarza.

    System zarządzania bezpieczeństwem musi przetrwać człowieka, który go buduje. Jeśli cała wiedza o tym, jak system działa, siedzi w głowie jednej osoby — to nie jest system. To zależność od jednostki.

    System obok biznesu

    Najczęstszy błąd: system ISO istnieje równolegle do rzeczywistych procesów firmy. Osobna dokumentacja, osobne procedury, osobne szkolenia. Ludzie mają swoją pracę i „te rzeczy od ISO", które robią, gdy ktoś im przypomni.

    W takim układzie utrzymanie systemu to dodatkowy wysiłek. Coś, co trzeba zrobić oprócz normalnej pracy. I gdy pojawia się presja — deadline projektu, audyt finansowy, restrukturyzacja — „te rzeczy od ISO" spadają na koniec listy.

    Koszt martwego systemu

    Martwy system to nie tylko ryzyko utraty certyfikatu. To konkretne koszty, które organizacja ponosi, często nie zdając sobie z tego sprawy.

    Recertyfikacja w trybie awaryjnym

    Dwa miesiące przed audytem nadzoru okazuje się, że nic nie działa. Zaczyna się gorączka. Konsultanci wracają. Ludzie siedzą po nocach, aktualizując dokumentację. Szkolenia przeprowadzane są w ekspresowym tempie. Przegląd zarządzania organizowany na szybko, żeby było co pokazać audytorowi.

    To kosztuje — pieniądze, czas, nerwy. I co gorsza, nie buduje niczego trwałego. Po audycie wszystko wraca do normy, czyli do martwoty. Za rok ten sam scenariusz.

    Ile kosztuje recertyfikacja „na ostatnią chwilę"?
    Organizacje, które zaniedbały system przez rok, wydają na „reanimację" przed audytem nadzoru średnio 2-3 razy więcej niż te, które utrzymywały system na bieżąco. Do kosztów konsultantów i nadgodzin dochodzi ryzyko niezgodności major — a wtedy dodatkowy audyt i kolejne wydatki.

    Incydent, który uderza w próżnię

    Ransomware w sobotę o trzeciej w nocy. Plan reakcji na incydenty — 52 strony, ostatnia aktualizacja 2021 rok. Nikt nie wie, do kogo dzwonić. Nikt nie pamięta, gdzie są backupy. Nikt nie wie, kto podejmuje decyzję o zapłaceniu okupu.

    „Mieliśmy procedury" — słyszę potem. Tak, mieliście. Na papierze. Plan, którego nikt nie zna, nie istnieje.

    Utrata zaufania klientów

    Klient pyta: „Macie ISO 27001?" Tak, mamy. „Jak wygląda wasz proces zarządzania ryzykiem?" I wtedy zaczyna się problem. Bo certyfikat wisi w ramce, ale nikt nie jest w stanie odpowiedzieć na proste pytania o to, jak system działa w praktyce.

    W erze, gdy klienci coraz częściej weryfikują deklaracje dostawców, certyfikat bez substancji to bomba zegarowa. Pytanie nie brzmi, czy ktoś to sprawdzi. Pytanie brzmi, kiedy.

    Dowiedz się więcej o bezpieczeństwie w Twojej organizacji

    Certyfikat to nie wszystko. Sprawdź, jak naprawdę działa bezpieczeństwo w Twojej organizacji.

    Umów konsultację

    Sygnały ostrzegawcze

    Jak rozpoznać, że system umiera? Jest kilka wskaźników, które powinny zapalić czerwoną lampkę.

    1. Nikt nie zgłasza incydentów. Nie dlatego, że ich nie ma. Dlatego, że ludzie nie wiedzą jak, albo boją się konsekwencji, albo nie widzą sensu — bo i tak nikt na zgłoszenia nie reaguje.
    2. Przegląd zarządzania trwa 30 minut. 18 slajdów, wszystko na zielono, zarząd kiwa głowami, podpisy złożone, do zobaczenia za rok. Jeśli przegląd zarządzania to formalność do odhaczenia, a nie strategiczna rozmowa o bezpieczeństwie firmy — system nie żyje.
    3. Bezpieczeństwo to temat tylko przy audycie. Przez resztę roku nikt o nim nie rozmawia. Nie ma go na spotkaniach zarządu, nie pojawia się w dyskusjach o nowych projektach, nie jest częścią procesu zakupowego.
    4. IT Manager nie wie, kto jest właścicielem ryzyka. Albo jest właścicielem wszystkich ryzyk — co oznacza to samo: nikt nie jest właścicielem żadnego.

    Diagnostyka: żywy system vs martwy system

    Wskaźnik System żywy System martwy
    Rejestr ryzyk Aktualizowany po każdym incydencie/zmianie Ostatnia aktualizacja przed audytem
    Zgłaszanie incydentów Regularne zgłoszenia, feedback dla zgłaszających Zero zgłoszeń lub „wszystko OK"
    Przegląd zarządzania 2-3h strategicznej rozmowy z zarządem 30 min slajdów, podpisy, koniec
    Właściciele ryzyk Wiedzą, że są właścicielami i co to oznacza Nie wiedzą lub „wszystko jest IT"
    Audyt wewnętrzny Znajduje realne problemy, są działania naprawcze „Formalnie był", zero ustaleń

    Co robią organizacje, w których system żyje

    Są firmy, gdzie system ISO naprawdę działa. Gdzie certyfikat to nie cel sam w sobie, ale efekt uboczny sprawnie funkcjonującego systemu zarządzania bezpieczeństwem. Co je odróżnia?

    System zintegrowany z codziennością

    Bezpieczeństwo nie jest osobnym światem. Jest częścią onboardingu nowych pracowników. Jest w procesie zakupowym — zanim kupimy nowe narzędzie, sprawdzamy, jak wpłynie na bezpieczeństwo. Jest w projektach — każdy nowy system przechodzi przez assessment. Jest w codziennych rozmowach, nie tylko na slajdach dla audytora.

    Właściciel z mandatem i czasem

    Ktoś, kto ma bezpieczeństwo jako główne zadanie, nie jako dodatek. Ktoś, kto ma dostęp do zarządu i może eskalować problemy. Ktoś, kto ma budżet na narzędzia i ludzi. Ktoś, kogo zdanie liczy się przy strategicznych decyzjach.

    To nie musi być CISO na etacie. Może to być model vCISO, zewnętrzny ekspert z regularnym zaangażowaniem. Ważne, żeby ktoś czuł się właścicielem systemu i miał warunki, żeby go utrzymać.

    Przegląd jako strategiczna rozmowa

    Raz w roku zarząd siada i przez dwie-trzy godziny rozmawia o bezpieczeństwie. Nie o slajdach — o realnych zagrożeniach, incydentach (również tych, które się nie wydarzyły, ale mogły), o tym, czy zasoby są wystarczające, o tym, co się zmieniło w otoczeniu i jak to wpływa na firmę.

    Przegląd zarządzania w ISO to nie formalność. To jedyny moment, gdy cały system jest widoczny w jednym miejscu. Marnować go na klikanie slajdów to jak mieć coroczne spotkanie z lekarzem i nie powiedzieć mu o żadnych objawach.

    Kultura zgłaszania

    Ludzie zgłaszają incydenty, bo wiedzą, że to nie kończy kariery. Wiedzą, że zgłoszenie uruchamia proces, który pomoże — nie śledztwo, które szuka winnego. Wiedzą, że lepiej powiedzieć wcześniej niż później.

    Firma, która karze za błędy, uczy je ukrywać. A ukryty incydent kosztuje wielokrotnie więcej niż przyznany.

    Doskonalenie — czwarte D

    W naszej metodyce 4D ostatni element to Doskonalenie. Nie dlatego, że ładnie brzmi. Dlatego, że bez niego pozostałe trzy — Diagnoza, Droga, Dostarczenie — tracą sens.

    Diagnoza daje obraz stanu wyjściowego. Droga definiuje, dokąd zmierzamy. Dostarczenie buduje system. Ale system nie jest statyczny. Firma się zmienia, zagrożenia się zmieniają, ludzie się zmieniają. Bez ciągłego doskonalenia to, co zbudowaliśmy, staje się nieaktualne szybciej, niż myślimy.

    Doskonalenie to nie wielkie rewolucje. To małe, regularne kroki: aktualizacja rejestru ryzyk po każdym incydencie. Przegląd procedur, gdy zmienia się proces. Szkolenie, gdy przychodzi nowy pracownik. Rozmowa z zarządem, gdy pojawia się nowe zagrożenie.

    To nie jest heroiczne. To jest systematyczne. I właśnie dlatego tak rzadko się dzieje — bo nie ma w tym nic spektakularnego. Nie ma deadline'u, który mobilizuje. Nie ma audytora, który pyta. Jest tylko codzienna dyscyplina utrzymania tego, co się zbudowało.

    Kluczowe wnioski

    • System umiera między audytami — nie w dniu ataku, lecz w miesiącach zaniedbań.
    • Trzy przyczyny śmierci systemu: brak właściciela z mandatem, rotacja ludzi bez transferu wiedzy, system funkcjonujący obok biznesu.
    • Koszty martwego systemu to nie tylko ryzyko utraty certyfikatu — to recertyfikacja w trybie awaryjnym, incydent uderzający w próżnię, utrata zaufania klientów.
    • Sygnały ostrzegawcze: zero zgłoszeń incydentów, przegląd zarządzania jako formalność, bezpieczeństwo obecne tylko przy audycie.
    • System żyje, gdy: jest zintegrowany z codziennością, ma właściciela z czasem i mandatem, przegląd zarządzania to strategiczna rozmowa, kultura nagradza zgłaszanie błędów.
    • Doskonalenie to nie opcja — to oddech systemu. Bez niego pozostałe elementy tracą sens.

    Często zadawane pytania

    Dlaczego system ISO 27001 umiera po certyfikacji?

    System ISO umiera po certyfikacji z trzech głównych powodów: brak właściciela z mandatem i czasem, rotacja ludzi bez transferu wiedzy, oraz funkcjonowanie systemu obok biznesu zamiast jako jego część. Po zdobyciu certyfikatu znika deadline, który mobilizował, a codzienność i inne priorytety przejmują uwagę organizacji.

    Jakie są symptomy umierającego systemu ISO?

    Kluczowe symptomy to: nikt nie zgłasza incydentów, przegląd zarządzania trwa tylko 30 minut i jest formalnością, bezpieczeństwo pojawia się jako temat tylko przy audycie, oraz nikt nie wie kto jest właścicielem poszczególnych ryzyk. Dodatkowo: nieaktualne rejestry ryzyk, zaległe szkolenia i przełożone przeglądy.

    Ile kosztuje martwy system ISO 27001?

    Martwy system generuje trzy rodzaje kosztów: recertyfikacja w trybie awaryjnym (konsultanci, nadgodziny, stres — 2-3x więcej niż utrzymanie bieżące), incydent uderzający w niedziałające procedury (brak reakcji, długi przestój), oraz utrata zaufania klientów weryfikujących deklaracje dostawców.

    Jak utrzymać system ISO 27001 żywym po certyfikacji?

    Kluczowe elementy to: integracja systemu z codziennymi procesami biznesowymi (onboarding, zakupy, projekty), właściciel z mandatem i dedykowanym czasem (CISO lub vCISO), przegląd zarządzania jako strategiczna 2-3 godzinna rozmowa z zarządem, oraz kultura zgłaszania incydentów bez karania za błędy.

    Czym jest metodyka 4D w kontekście ISO 27001?

    Metodyka 4D to podejście Sisoft do budowania systemów bezpieczeństwa: Diagnoza (gdzie jesteśmy), Droga (dokąd zmierzamy), Dostarczenie (budowa systemu), Doskonalenie (ciągłe utrzymanie). Bez ostatniego elementu — Doskonalenia — pozostałe trzy tracą sens, bo system staje się nieaktualny.

    Jak często powinien odbywać się przegląd zarządzania ISO 27001?

    Norma wymaga minimum raz w roku, ale skuteczne organizacje robią przeglądy częściej — kwartalnie w formie uproszczonej, z pełnym przeglądem rocznym. Kluczowe nie jest „jak często", lecz „jak głęboko" — 30-minutowa formalność raz w roku jest bezwartościowa, 2-3 godziny strategicznej rozmowy zmienia sposób myślenia o bezpieczeństwie.

    Bądźmy w kontakcie

    Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.

    +48 12 44 66 844
    kontakt@sisoft.pl
    Odpowiemy szybciej niż się spodziewasz.
    Formularz został wysłany, wkrótce się odezwiemy :)
    Upss! Coś poszło nie tak, sprawdź wszystkie pola i spróbuj ponownie.

    Co jeszcze warto wiedzieć na temat cyberbezpieczeństwa?

    Bezpieczeństwo organizacji

    Metodyka wdrożenia cyberbezpieczeństwa: dlaczego kolejność ma znaczenie

    Większość wdrożeń bezpieczeństwa zaczyna się od końca – od rozwiązań. Metodyka 4D odwraca tę logikę i pokazuje, jak budować systemy, które działają w praktyce, nie tylko na papierze.
    Grzegorz Surdyka
    1/19/2026
    5
    min czytania
    Bezpieczeństwo organizacji

    Profil cyberbezpieczeństwa dla motoryzacji

    Jak budować program oparty na praktyce, nie na regulacjach. NIST CSF 2.0 jako narzędzie optymalizacji, nie lista obowiązków.
    Grzegorz Surdyka
    1/12/2026
    5
    min czytania
    Bezpieczeństwo organizacji

    Bezpieczeństwo na agendzie zarządu — przewodnik dla decydentów

    Dlaczego zarząd odpowiada za bezpieczeństwo, o czym konkretnie rozmawiać, jak często i jakie decyzje podejmować.
    Grzegorz Surdyka
    1/8/2026
    5
    min czytania
    Zobacz więcej