ISO 27001 – wdrożenie w 90 dni dla średniej firmy

ISO/IEC 27001:2022 to standard opisujący System Zarządzania Bezpieczeństwem Informacji (ISMS). Określa wymagania dotyczące ustanowienia, wdrożenia, utrzymywania i ciągłego doskonalenia ISMS. Zawiera 93 kontrole bezpieczeństwa (Annex A).

ISMS w praktyce to nie biurokracja, tylko zarządzanie ryzykiem. Organizacja identyfikuje swoje informacje, ocenia ryzyko ich naruszenia, wybiera odpowiednie środki ochrony, wdraża je i regularnie monitoruje skuteczność. Cykl PDCA jest sercem ISMS.

Dla średniej firmy B2B ISO 27001 oznacza konkretne narzędzia zarządcze: politykę bezpieczeństwa zatwierdzoną przez zarząd, procedury operacyjne dla kluczowych obszarów, strukturę odpowiedzialności, system raportowania i przeglądu.

Dni 1–14: gap analysis i kontekst organizacji. Audyt obecnego stanu, identyfikacja zakresu ISMS, analiza interesariuszy. Pierwszy szkic Statement of Applicability.

Dni 15–30: polityka, procedury i struktura. Opracowanie głównej polityki bezpieczeństwa informacji i kluczowych polityk pochodnych: kontrola dostępu, klasyfikacja informacji, zarządzanie incydentami, ciągłość działania.

Dni 31–60: wdrożenie kontroli technicznych i organizacyjnych. Realizacja wybranych z 93 kontroli ISO 27001:2022 – większość organizacji wdraża 50–75 kontroli. Konfiguracja systemów, procedury operacyjne, mechanizmy kontrolne.

Dni 61–75: szkolenia i komunikacja. Szkolenie wszystkich pracowników z polityki bezpieczeństwa, szkolenia zaawansowane dla kluczowych ról.

Dni 76–90: audyt wewnętrzny i przegląd zarządu. Audytor wewnętrzny przeprowadza pełny audyt ISMS. Identyfikacja niezgodności, wdrożenie korekt.

Statement of Applicability (SoA) to dokument identyfikujący które z 93 kontroli ISO 27001:2022 są stosowane w organizacji, w jaki sposób, i dlaczego pozostałe są wyłączone. To kluczowy dokument ISMS – pierwszy, którego oczekuje audytor certyfikacyjny.

Struktura SoA: dla każdej z 93 kontroli organizacja wskazuje status (aplikowalna / nieaplikowalna), uzasadnienie, sposób realizacji. Typowa średnia firma stosuje 50–75 kontroli, pozostałe wyłącza z uzasadnieniem.

SoA nie jest dokumentem statycznym. Aktualizowany jest co najmniej raz w roku w cyklu przeglądu zarządu.

Po 90 dniach wdrożenia organizacja jest gotowa do audytu certyfikacyjnego prowadzonego przez akredytowaną jednostkę certyfikującą (BSI, Bureau Veritas, TÜV, KEMA). Audyt składa się z dwóch etapów rozłożonych na 4–6 tygodni.

Etap I – przegląd dokumentacji. Audytor weryfikuje czy organizacja ma wymaganą dokumentację ISMS: politykę, SoA, procedury, ewidencje. Czas: 1–2 dni audytu.

Etap II – audyt zgodności. Audytor weryfikuje czy ISMS jest faktycznie wdrożony i działa w praktyce. Wywiady z pracownikami, obserwacje procesów. Czas: 2–4 dni audytu.

Niezgodności klasyfikowane są jako duże (major) lub małe (minor). Duże wymagają usunięcia przed wydaniem certyfikatu, małe są dokumentowane i adresowane w cyklu poprawy.

Certyfikat ISO 27001 jest ważny 3 lata. W tym czasie organizacja podlega audytom nadzoru – typowo 2 audyty (po 12 i 24 miesiącach). Po 3 latach następuje re-certyfikacja.

Utrzymanie ISMS wymaga regularnego nakładu. Typowa średnia firma poświęca na ISMS 2–4 dni pracy miesięcznie, plus szkolenia, plus przegląd zarządu kwartalny lub półroczny.

Dobra praktyka: ISMS jako element struktury organizacji, z jasną odpowiedzialnością, regularnym cyklem przeglądu, powiązany z innymi programami compliance (NIS2, RODO). Wsparcie vCISO w utrzymaniu ISMS jest typowym modelem dla średnich firm po certyfikacji.