Audyt ISO/IEC 27001
Normy cyberbezpieczeństwa

Nie panikuj, przygotuj się: Jak przygotować firmę do audytu ISO/IEC 27001 i nie zwariować po drodze

Przygotowanie firmy do audytu ISO/IEC 27001 nie musi być koszmarem. Zobacz, jak HR-owiec bez doświadczenia w IT poprowadził certyfikację, unikając chaosu i budując realne bezpieczeństwo informacji.

www.sisoft.pl/baza-wiedzy/jak-przygotowac-firme-do-audytu-iso-27001
Grzegorz Surdyka
14.7.2025
5
min czytania

Spis treści

    Najczęściej zadawane pytania

    Czy przygotowanie do audytu ISO/IEC 27001 to tylko zadanie działu IT?

    Nie. Audyt ISO/IEC 27001 obejmuje całą organizację – od działu HR po fizyczne zabezpieczenia biura. Kluczowa jest współpraca wszystkich działów.

    Czy trzeba wdrożyć wszystkie 93 wymagania normy ISO/IEC 27001?

    Nie. Można pominąć niektóre wymagania, jeśli uzasadni się to kontekstem organizacji i zapisze w Deklaracji Stosowania.

    Co to jest analiza luk w kontekście ISO/IEC 27001?

    To ocena, które wymagania normy są już spełnione, które należy wdrożyć lub usprawnić, a które mogą być pominięte z uzasadnieniem.

    Jakie dowody są potrzebne podczas audytu ISO?

    Dowody to m.in. polityki, procedury, listy obecności na szkoleniach, logi z backupów czy dokumentacja przyznawania dostępów. Audytor będzie ich wymagał.

    Co zrobić, jeśli po audycie pojawią się niezgodności?

    Należy przygotować plan działań korygujących: ustalić przyczynę, wdrożyć korektę, przypisać odpowiedzialność i zebrać dowody jej realizacji.

    Czy certyfikacja ISO/IEC 27001 kończy temat bezpieczeństwa?

    Nie. Certyfikacja to początek zmiany kultury organizacyjnej. Utrzymanie systemu i ciągłe doskonalenie są kluczowe dla długofalowego sukcesu.

    Dzień, w którym Kasia z HR dowiedziała się, czym jest ISO

    Kasia przyszła do pracy jak co dzień – kawa, Outlook, zaplanowane spotkanie z działem rekrutacji. Nagle jednak do jej pokoju zagląda szef i rzuca hasło:

    • Kasia, potrzebuję cię przy projekcie ISO. Zaczynamy przygotowania do certyfikacji 27001.
    • Do czego…? – zapytała zdezorientowana, nie wiedząc jeszcze, że przez najbliższe miesiące będzie gorączkowo googlować pojęcia typu „incydent”, „poufność” i „kontrola dostępu”.

    Okazało się, że Kasia - specjalistka HR, nie informatyk - ma pokierować przygotowaniami firmy do audytu ISO/IEC 27001. Nie znała tej normy. Ale była odpowiedzialna, komunikatywna i… lubiła porządek. Dlatego właśnie ją wybrano. I bardzo dobrze - audyt ISO to nie jest zadanie tylko dla działu IT. Ba, dotyczy całej firmy: od procedur HR, przez fizyczne zabezpieczenia biura, po IT.

    Pierwszy miesiąc przygotowań to był chaos. Maile bez odpowiedzi, dziesiątki plików bez oznaczenia wersji! a polityka bezpieczeństwa informacji ostatni raz aktualizowana w 2017 roku.

    Kasia przyznała później: “Myślałam, że ISO to będą tylko papiery. Nie wiedziałam, że największym wyzwaniem będzie przekonać ludzi, że to się naprawdę robi.”

    Brzmi znajomo? Historia Kasi to scenariusz wielu firm, które rozpoczynają swoją przygodę z wdrożeniem wymagań normy ISO/IEC 27001. Ten artykuł pokaże Ci, jak przejść przez ten proces świadomie, mądrze i - co najważniejsze - skutecznie.

    Analiza luk – czyli brutalna szczerość

    Kasia nie stała się z dnia na dzień ekspertem od ISO/IEC 27001. Na szczęście na start dostała od konsultanta cenną pomoc: checklistę 93 wymagań z Załącznika A nowej normy ISO/IEC 27001:2023 i… zbladła na jej widok. Lista ciągnęła się przez kilkanaście stron. Ale tu nie chodziło o to, żeby wszędzie zaznaczyć “tak, mamy to”.

    Chodziło o realną ocenę: co już działa, co nie działa, czego brakuje, a co istnieje tylko „na papierze”. Innymi słowy - czas na rzetelną analizę luk w naszej organizacji.

    Z pomocą konsultanta Kasia i jej zespół stworzyli prosty, 5-krokowy framework analizy luk:

    1. Przeczytaj wymaganie – zrozum, czego ono faktycznie wymaga np. czy mamy określoną politykę, proces lub narzędzie?
    2. Zidentyfikuj istniejące dowody albo stwierdź ich brak - jakie dokumenty, zapisy lub działania już spełniają ten wymóg?
    3. Oceń ryzyko - zastanów się, jakie ryzyko niesie pominięcie lub niespełnienie tego wymagania.
    4. Określ adekwatność kontroli - czy dana kontrola/wymóg jest w ogóle sensowny w kontekście naszej firmy? (O kontekście za chwilę więcej).
    5. Zdecyduj, co dalej - trzy opcje: wdrożyć brakujący element, usprawnić istniejący (bo jest, ale działa słabo) albo świadomie odrzucić daną kontrolę z uzasadnieniem.

    Tak, dobrze czytasz - można świadomie odrzucić kontrolę! Do tego zaraz wrócimy. Najpierw jednak: rzetelna analiza luk działa jak rentgen organizacji. Bywa bolesna - ujawnia wszystkie słabe punkty, ale jest niezbędna, żeby postawić trafną diagnozę i zaplanować leczenie.

    Czy musisz mieć wszystko wdrożone?

    To jedno z najczęstszych pytań Kasi i całego jej zespołu do konsultanta ISO: “Ale czy naprawdę musimy mieć wdrożone wszystkie 93 kontrolki z listy, żeby dostać certyfikat?”

    Odpowiedź brzmi: nie, nie musisz. Standard ISO/IEC 27001:2022 pozwala pominąć niektóre kontrole, jeśli uzasadnisz, że Ciebie one nie dotyczą. Kluczem jest tu kontekst organizacji oraz dokument zwany Deklaracją Stosowania. W Deklaracji Stosowania wyszczególniasz wszystkie wymagania z Załącznika A i przy każdej kontroli zaznaczasz, czy:

    • jest zastosowana (wdrożona) w Twojej firmie,
    • jest pominięta - wraz z uzasadnieniem, dlaczego ją pomijasz.

    Przykłady? Proszę bardzo:

    • Kontrola dotycząca fizycznej ochrony serwerowni - możesz wykluczyć, jeśli całą infrastrukturę IT masz w 100% w chmurze, brak serwerowni = brak tematu.
    • Kontrola wymagająca monitoringu CCTV w biurze - nie ma sensu, jeśli w biurze nie przetwarzasz żadnych wrażliwych informacji albo po prostu Twoje biuro to jeden pokój w coworkingu.

    Ważne: pomijamy tylko to, co faktycznie nie ma zastosowania i zawsze dokumentujemy logiczne uzasadnienie oparte na analizie ryzyka. Audytor podczas certyfikacji na pewno zapyta: “Czemu pominęliście akurat te punkty?” - i musisz mieć na to dobrą odpowiedź np. opartą o wyniki analizy ryzyka i specyfikę działalności. Jeśli masz sensowne powody, norma ISO/IEC 27001 absolutnie to dopuszcza.

    Dowiedz się wiecej o bezpieczeństwie w Twojej organizacji

    Umów się na bezpłatną konsultacje. Nasi konsultanci skontaktują się z Tobą, aby uzgodnić odpowiedni czas na spotkanie.

    Dowody, których audytor nie przegapi

    Po kilku miesiącach Kasia i spółka wdrożyli brakujące polityki, procedury i zabezpieczenia. Ale sama implementacja to nie wszystko - trzeba jeszcze przygotować dowody na poparcie tego, co zostało zrobione. Do certyfikacji dokumentacja i dowody to Twoi najlepsi przyjaciele.

    Oto kilka przykładów dowodów z życia wziętych, prosto z Załącznika A, których żaden audytor na pewno nie przegapi:

    • A.5.1 - Polityka bezpieczeństwa informacji → aktualny dokument zatwierdzony przez zarząd z podpisem oraz dowód, że jest okresowo przeglądany i aktualizowany.
    • A.7.2 - Szkolenia pracowników → programy szkoleniowe z bezpieczeństwa i potwierdzenia udziału np. listy obecności, certyfikaty ukończenia szkolenia.
    • A.8.3.2 - Utylizacja nośników danych → protokoły z niszczenia lub bezpiecznego usuwania danych z dysków i nośników, które wycofano z użycia.
    • A.9.2.1 - Zarządzanie dostępem użytkowników → procedura nadawania i odbierania uprawnień + rejestry pokazujące, kto i kiedy zatwierdził dostępy lub je odebrał.
    • A.12.3.1 - Kopie zapasowe → harmonogram wykonywania backupów oraz logi/raporty potwierdzające, że kopie rzeczywiście są robione i testowane!

    Każdy punkt kontrolny z normy to jakieś wymaganie, a na każde wymaganie powinien być namacalny dowód. Dlatego już w trakcie wdrożenia warto zadbać o porządek w dokumentacji i rejestrowanie ważnych działań. W dniu audytu będzie, jak znalazł, zamiast nerwowego szukania po szufladach.

    A jak wygląda sam audyt? Audytor podczas certyfikacji zadaje mnóstwo pytań w stylu: „Pokażcie przykład…”, „Na jakiej podstawie zdecydowaliście o…?” albo „Kto zatwierdził…?”. Waszym zadaniem jest wyłożyć kawę na ławę - pokazać dokumenty, procedury, zapisy, a nawet porozmawiać z pracownikami - tak, audytor może chcieć zweryfikować świadomość ludzi! Dlatego warto, by zespół był przygotowany: żeby każdy wiedział, gdzie są dokumenty i jak wygląda jego rola w systemie bezpieczeństwa informacji.

    Co po audycie? Niezgodności to nie koniec świata

    Stało się - audyt certyfikacyjny za Wami. Czy to znaczy, że koniec stresu? Prawie. Firma Kasi przeszła audyt, ale w raporcie audytora pojawiły się 3 niezgodności i 6 spostrzeżeń.Żadna z niezgodności nie była może dramatyczna, ale zawsze to lekki cios w ambicję. Najważniejsze jednak - do każdej zidentyfikowanej kwestii zespół szybko przygotował plan korekty.

    Jak podeszli do tematu? Opracowali dla każdej niezgodności proces naprawczy w czterech krokach:

    1. Analiza przyczyny źródłowej - szczera odpowiedź na pytanie: dlaczego doszło do niezgodności? np. procedura była, ale pracownicy jej nie znali - czyli zawiodła komunikacja.
    1. Działanie korygujące - co konkretnie robimy, żeby problem rozwiązać? np. aktualizacja procedury i dodatkowe szkolenie przypominające dla zespołu.
    1. Przydzielenie odpowiedzialności i terminu - ktoś musi być odpowiedzialny za wdrożenie korekty, i to z konkretną datą wykonania bez “na święte nigdy”.
    1. Dowód wykonania – po wszystkim, zbieramy dowody, że korekta została wdrożona np. nowa wersja dokumentu z aktualną datą i podpisem zatwierdzającego, lista osób przeszkolonych itp.

    Taki plan wdrożyli od razu. Audytor zweryfikował skuteczność działań - co jest standardową praktyką przy niezgodnościach. Efekt? Certyfikat przyznany. Uff!

    Jak skomentował to audytor na zakończenie: “Nie jesteście idealni, ale dobrze zarządzacie swoją nieidealnością. A to najważniejsze.”

    Innymi słowy, niezgodności się zdarzają nawet najlepszym - liczy się to, jak na nie reagujesz. ISO to ciągłe doskonalenie, a nie konkurs piękności na idealny system.

    Co mówi Kierownik IT, Prezes i Audytor?

    Na koniec historii Kasi warto poznać perspektywę różnych osób zaangażowanych w ten cały rollercoaster z ISO. Oto trzy głosy, które mówią wiele o praktycznym aspekcie wdrożenia:

    Kierownik IT:

    “Największym wyzwaniem nie było wcale wdrożenie nowych systemów czy zabezpieczeń. Najtrudniejsze okazało się dogadać wspólny język z działem HR i Zarządem. Dopiero gdy wszyscy zaczęli rozumieć nawzajem swoje potrzeby, system zaczął działać, jak należy.”

    Prezes:

    “Obawiałem się, że ISO nas spowolni biurokracją. Okazało się, że ISO nas… uporządkowało. Dzięki niemu szybciej odpowiadamy na pytania klientów o bezpieczeństwo i mamy mniej wewnętrznego chaosu. Dla mnie, jako prezesa, to ogromna wartość dodana.”

    Audytor (zewnętrzny):

    “ISO to nie checklisty i odhaczanie ptaszków. To kultura organizacyjna - podejmowanie decyzji świadomie i spójnie. Firmy, które to rozumieją, przechodzą audyty znacznie sprawniej niż te, które robią coś tylko pod certyfikat.”

    Na koniec: ISO to nie projekt. To zmiana kultury

    Dziś Kasia już wie, że ISO/IEC 27001 nie kończy się na certyfikacie. To nie jednorazowy projekt, po którym można odetchnąć i wrócić do starych przyzwyczajeń. W firmie Kasi zaszła zmiana sposobu myślenia o informacji, ryzyku i odpowiedzialności. Co się zmieniło?

    Wcześniej (przed ISO):

    • Każdy działał trochę po swojemu, według własnych zasad i przyzwyczajeń.
    • Szkolenia bezpieczeństwa były teoretyczne i oderwane od codziennej pracy, pracownicy odbębniali je bez większego zaangażowania.
    • Dokumenty bezpieczeństwa pisano od święta, a nie z myślą o realnym używaniu na co dzień.

    Teraz (po wdrożeniu ISO):

    • Ludzie dokładnie wiedzą, co robić w razie incydentu - są procedury, są odpowiedzialni, nie ma paniki.
    • Decyzje dotyczące bezpieczeństwa informacji są podejmowane świadomie i poparte analizą ryzyka (koniec z “wydaje mi się, że tak będzie dobrze”).
    • Klienci coraz częściej pytają w ofertach o nasze zabezpieczenia i certyfikaty, a my odpowiadamy im konkretnie i z dumą przedstawiamy nasze praktyki, bo mamy je udokumentowane i wdrożone.

    Czy wszystko zadziałało od razu jak w zegarku? Oczywiście, że nie - zmiana kultury to proces, nie rewolucja. Wciąż zdarzają się potknięcia, ludzie czasem zapominają o nowych zasadach i trzeba im przypomnieć. Ale fundament jest mocny, a najtrudniejszy pierwszy krok już za nami.

    Bo bezpieczeństwo informacji to nie przykry obowiązek ani koszt. To przewaga konkurencyjna, coś, co buduje zaufanie klientów i stabilność biznesu. Warto o nie dbać każdego dnia.

    Bądźmy w kontakcie

    Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.

    Odpowiemy szybciej niż się spodziewasz.
    Formularz został wysłany, wkrótce się odezwiemy :)
    Upss! Coś poszło nie tak, sprawdź wszystkie pola i spróbuj ponownie.