Blog

ISO 27001 — wdrożenie krok po kroku

Michał Mojsenowicz
ISO 27001ISMSAudyt

Dlaczego ISO 27001?

ISO/IEC 27001 to międzynarodowy standard zarządzania bezpieczeństwem informacji. Certyfikacja ISO 27001 jest coraz częściej wymagana przez klientów korporacyjnych, partnerów biznesowych i regulatorów. To nie tylko „papier” — dobrze wdrożony ISMS realnie podnosi poziom bezpieczeństwa organizacji.

Fazy wdrożenia

Faza 1: Diagnoza (2-4 tygodnie)

  • Określenie zakresu ISMS (scope)
  • Gap analysis — ocena stanu obecnego względem wymagań normy
  • Identyfikacja kluczowych ryzyk i interesariuszy
  • Wstępna roadmapa wdrożenia

Faza 2: Projektowanie (4-8 tygodni)

  • Opracowanie polityki bezpieczeństwa informacji
  • Metodyka oceny ryzyka (np. zgodna z ISO 27005)
  • Statement of Applicability (SoA) — deklaracja stosowania zabezpieczeń
  • Projektowanie procesów i procedur

Faza 3: Wdrożenie (8-16 tygodni)

  • Implementacja zabezpieczeń z Aneksu A
  • Szkolenia pracowników
  • Wdrożenie procesów zarządzania incydentami
  • Dokumentacja dowodów stosowania

Faza 4: Weryfikacja (2-4 tygodnie)

  • Audyt wewnętrzny ISMS
  • Przegląd zarządzania (management review)
  • Działania korygujące
  • Symulacja audytu certyfikacyjnego

Faza 5: Certyfikacja

  • Audyt Stage 1 — przegląd dokumentacji
  • Audyt Stage 2 — weryfikacja wdrożenia
  • Certyfikat ważny 3 lata z audytami nadzorczymi

Najczęstsze błędy

  1. Kopiowanie szablonów — dokumentacja musi odzwierciedlać realia organizacji, nie szablony z internetu
  2. Brak zaangażowania zarządu — ISMS bez wsparcia top managementu nie przetrwa pierwszego audytu nadzorczego
  3. Zbyt szeroki zakres na start — lepiej zacząć od mniejszego scope i rozszerzać niż próbować objąć wszystko
  4. Traktowanie wdrożenia jako projektu jednorazowego — ISMS to ciągły proces doskonalenia (PDCA)
  5. Ignorowanie ryzyk operacyjnych — koncentracja na IT kosztem ryzyk organizacyjnych i ludzkich

Ile to trwa?

Realistyczny timeline dla organizacji średniej wielkości to 6-12 miesięcy od rozpoczęcia do certyfikacji. Zależy od stanu wyjściowego, zaangażowania zespołu i złożoności organizacji.

Planujesz wdrożenie ISO 27001? Skontaktuj się — przeprowadzę gap analysis i pomogę zaplanować ścieżkę do certyfikacji.