Certyfikat ISO 27001

Co potwierdza certyfikat ISO 27001?

Certyfikat ISO/IEC 27001 (zwany potocznie: certyfikat ISO 27001) potwierdza, że organizacja wdrożyła System Zarządzania Bezpieczeństwem Informacji zgodny z wymaganiami normy. Dokument wydawany jest przez jednostkę certyfikującą po pozytywnym zakończeniu audytu certyfikacyjnego.

Kto wydaje certyfikat ISO 27001?

Certyfikat ISO 27001 jest wydawany przez niezależną jednostkę certyfikującą, która potwierdza, że organizacja wdrożyła i utrzymuje System Zarządzania Bezpieczeństwem Informacji (SZBI) zgodny z wymaganiami normy ISO/IEC 27001. Aby certyfikat był wiarygodny i uznawany przez klientów oraz partnerów biznesowych, jednostka certyfikująca powinna posiadać odpowiednią akredytację wydaną przez krajowy organ akredytacyjny.

Akredytacja oznacza, że jednostka certyfikująca działa zgodnie z międzynarodowymi wymaganiami dotyczącymi prowadzenia audytów i certyfikacji systemów zarządzania. Dzięki temu proces certyfikacji jest prowadzony w sposób bezstronny, a wydany certyfikat jest rozpoznawalny zarówno na rynku krajowym, jak i międzynarodowym.

Jak przebiega wydanie certyfikatu?

Przed wydaniem certyfikatu organizacja przechodzi audyt certyfikacyjny, który zazwyczaj składa się z dwóch etapów:

Etap I – ocena gotowości organizacji do certyfikacji, obejmująca analizę dokumentacji, zakresu Systemu Zarządzania Bezpieczeństwem Informacji oraz stopnia przygotowania do audytu właściwego.
Etap II – szczegółowa ocena funkcjonowania systemu w praktyce. Auditorzy weryfikują wdrożone procedury, przeprowadzają rozmowy z pracownikami oraz sprawdzają dowody potwierdzające skuteczne zarządzanie bezpieczeństwem informacji.

Po pozytywnym zakończeniu audytu i usunięciu ewentualnych niezgodności jednostka certyfikująca podejmuje decyzję o wydaniu certyfikatu ISO 27001.

Czy konsultant może wydać certyfikat?

Nie. Firmy doradcze i konsultanci wspierają organizacje w przygotowaniu do certyfikacji, jednak nie mają prawa wydawać certyfikatów ISO 27001.

Rolą konsultanta jest m.in.:

przeprowadzenie analizy luk,
opracowanie niezbędnej dokumentacji,
wsparcie we wdrożeniu wymagań normy,
przygotowanie organizacji do audytu certyfikacyjnego,
pomoc w usuwaniu wykrytych niezgodności.

Natomiast jednostka certyfikująca pełni rolę niezależnego audytora, który ocenia zgodność wdrożonego systemu z wymaganiami normy. Zachowanie niezależności pomiędzy doradztwem a certyfikacją jest jedną z podstawowych zasad zapewniających wiarygodność procesu.

Jak sprawdzić, czy certyfikat jest wiarygodny?

Przed nawiązaniem współpracy z organizacją warto zwrócić uwagę, czy przedstawiony certyfikat:

został wydany przez akredytowaną jednostkę certyfikującą,
zawiera numer certyfikatu i okres jego ważności,
określa zakres certyfikacji, czyli obszary działalności objęte Systemem Zarządzania Bezpieczeństwem Informacji,
jest nadal ważny i nie został zawieszony lub cofnięty.

Wiarygodny certyfikat ISO 27001 stanowi potwierdzenie, że organizacja poddała swój system niezależnej ocenie i zobowiązuje się do jego ciągłego doskonalenia poprzez regularne audyty nadzoru.

Jak uzyskać certyfikat ISO 27001?

Proces uzyskania certyfikatu ISO 27001 obejmuje kilka etapów:

Wdrożenie systemu zarządzania bezpieczeństwem informacji

Zobacz: Jak wdrożyć ISO 27001?

Audyt systemu ISO 27001

Zobacz: Jak poddać się audytowi ISO 27001?

Wydanie certyfikatu ISO 27001

Jak wygląda proces uzyskania certyfikatu ISO 27001?

Uzyskanie certyfikatu ISO 27001 obejmuje osiem etapów: analizę organizacji, wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), audyt wewnętrzny, przegląd zarządzania, audyt certyfikacyjny Etapu I, audyt Etapu II, wydanie certyfikatu oraz audyty nadzoru potwierdzające utrzymanie zgodności z wymaganiami normy.

Proces certyfikacji ISO/IEC 27001 i uzyskania certyfikatu ISO 27001

1. Analiza organizacji

Pierwszym krokiem jest ocena obecnego poziomu bezpieczeństwa informacji oraz identyfikacja obszarów wymagających dostosowania do wymagań normy ISO 27001. Na tym etapie określa się zakres Systemu Zarządzania Bezpieczeństwem Informacji, analizuje procesy biznesowe, zasoby informacyjne oraz obowiązujące procedury i zabezpieczenia.

2. Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)

Na podstawie wyników analizy organizacja wdraża wymagania normy. Obejmuje to m.in. opracowanie dokumentacji, przeprowadzenie analizy ryzyka, wdrożenie odpowiednich środków bezpieczeństwa, określenie ról i odpowiedzialności oraz przeszkolenie pracowników.

Więcej informacji o tym etapie znajdziesz na stronie dotyczącej wdrożenia ISO 27001.

3. Audyt wewnętrzny

Przed zgłoszeniem się do certyfikacji organizacja przeprowadza audyt wewnętrzny. Jego celem jest sprawdzenie, czy System Zarządzania Bezpieczeństwem Informacji został skutecznie wdrożony oraz czy spełnia wymagania normy. Wykryte niezgodności powinny zostać usunięte przed rozpoczęciem audytu certyfikacyjnego.

4. Przegląd zarządzania

Kierownictwo dokonuje oceny funkcjonowania systemu, analizując m.in. wyniki audytów, poziom realizacji celów, skuteczność działań oraz zidentyfikowane ryzyka. Przegląd zarządzania potwierdza gotowość organizacji do przystąpienia do certyfikacji.

5. Audyt certyfikacyjny – Etap I

Pierwszy etap audytu przeprowadza jednostka certyfikująca. Auditor ocenia dokumentację, zakres certyfikacji oraz stopień przygotowania organizacji do właściwego audytu. Na tym etapie mogą zostać wskazane obszary wymagające uzupełnienia lub poprawy.

6. Audyt certyfikacyjny – Etap II

Drugi etap polega na szczegółowej ocenie funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji w praktyce. Auditorzy przeprowadzają wywiady z pracownikami, analizują zapisy, obserwują realizację procesów i sprawdzają skuteczność wdrożonych zabezpieczeń. Pozytywny wynik audytu stanowi podstawę do wydania certyfikatu.

7. Wydanie certyfikatu ISO 27001

Po zakończeniu procesu audytowego oraz zamknięciu ewentualnych niezgodności jednostka certyfikująca podejmuje decyzję o wydaniu certyfikatu. Dokument potwierdza zgodność Systemu Zarządzania Bezpieczeństwem Informacji z wymaganiami normy ISO 27001 i jest zazwyczaj ważny przez trzy lata.

8. Audyty nadzoru

Uzyskanie certyfikatu nie kończy procesu certyfikacji. W okresie jego ważności organizacja podlega regularnym audytom nadzoru, które mają na celu potwierdzenie, że system jest utrzymywany, rozwijany i nadal spełnia wymagania normy. Po upływie okresu ważności certyfikatu przeprowadzany jest audyt recertyfikacyjny umożliwiający jego odnowienie.

Tabela – proces uzyskania certyfikatu ISO 27001

Etap	Cel
Analiza organizacji	Ocena stanu obecnego i identyfikacja luk
Wdrożenie SZBI	Spełnienie wymagań normy ISO 27001
Audyt wewnętrzny	Weryfikacja skuteczności wdrożonego systemu
Przegląd zarządzania	Ocena gotowości organizacji do certyfikacji
Audyt Etapu I	Ocena dokumentacji i przygotowania
Audyt Etapu II	Ocena funkcjonowania systemu w praktyce
Wydanie certyfikatu	Potwierdzenie zgodności z normą ISO 27001
Audyty nadzoru	Utrzymanie ważności certyfikatu

Jak długo ważny jest certyfikat ISO 27001?

Certyfikat ISO/IEC 27001 jest ważny przez 3 lata, pod warunkiem że organizacja utrzymuje zgodność z wymaganiami normy i pozytywnie przechodzi okresowe audyty nadzoru. Po upływie tego okresu konieczne jest przeprowadzenie audytu recertyfikacyjnego, który umożliwia odnowienie certyfikatu na kolejne trzy lata.

Rok 1 – wydanie certyfikatu

Po pozytywnym zakończeniu audytu certyfikacyjnego organizacja otrzymuje certyfikat ISO/IEC 27001. Od tego momentu rozpoczyna się trzyletni cykl certyfikacji oraz obowiązek utrzymywania i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji.

Rok 2 – pierwszy audyt nadzoru

W drugim roku jednostka certyfikująca przeprowadza audyt nadzoru. Jego celem jest potwierdzenie, że wdrożony system nadal działa skutecznie, a organizacja przestrzega wymagań normy oraz realizuje działania doskonalące.

Rok 3 – drugi audyt nadzoru

W trzecim roku odbywa się kolejny audyt nadzoru. Auditorzy oceniają m.in. skuteczność zarządzania ryzykiem, realizację działań korygujących oraz ciągłe doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji.

Recertyfikacja

Przed upływem trzyletniego okresu ważności organizacja przechodzi audyt recertyfikacyjny. Jest to kompleksowa ocena całego systemu zarządzania, której pozytywny wynik pozwala odnowić certyfikat ISO/IEC 27001 na kolejne trzy lata i rozpocząć następny cykl certyfikacji.

Ile trwa uzyskanie certyfikatu ISO 27001?

Czas uzyskania certyfikatu ISO/IEC 27001 zależy od wielkości organizacji, stopnia przygotowania do wdrożenia oraz złożoności procesów biznesowych. Firmy posiadające uporządkowaną dokumentację i wdrożone procedury bezpieczeństwa mogą przejść proces certyfikacji znacznie szybciej niż organizacje rozpoczynające przygotowania od podstaw.

Wielkość organizacji	Średni czas uzyskania certyfikatu
Mikroprzedsiębiorstwo	2–4 miesiące
Małe i średnie przedsiębiorstwo (MŚP)	3–12 miesięcy
Duża organizacja	6–18 miesięcy

*Podane terminy mają charakter orientacyjny i obejmują czas wdrożenia i certyfikacji. Rzeczywisty czas certyfikacji może być krótszy lub dłuższy w zależności od zakresu Systemu Zarządzania Bezpieczeństwem Informacji, liczby lokalizacji, wyników audytów oraz tempa wdrażania wymaganych działań.

Ile kosztuje certyfikacja ISO 27001?

Koszt certyfikacji ISO/IEC 27001 zależy od wielu czynników wpływających na zakres i czas trwania audytu. Jednostka certyfikująca przygotowuje ofertę indywidualnie dla każdej organizacji, uwzględniając m.in. wielkość przedsiębiorstwa, liczbę lokalizacji oraz złożoność procesów objętych Systemem Zarządzania Bezpieczeństwem Informacji (SZBI).

Do najważniejszych czynników wpływających na koszt certyfikacji należą:

Wybór jednostki certyfikującej – poszczególne jednostki stosują własne cenniki i zasady wyceny usług.
Liczba pracowników – większa liczba zatrudnionych zwykle oznacza dłuższy czas audytu.
Liczba lokalizacji – audyt może obejmować jedną lub wiele siedzib, oddziałów czy centrów danych.
Zakres Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) – im szerszy zakres certyfikacji, tym większy nakład pracy auditorów.
Złożoność procesów biznesowych – organizacje świadczące usługi IT, cloud computing, outsourcing czy obsługujące infrastrukturę krytyczną wymagają zwykle bardziej rozbudowanego audytu.
Liczba dni audytu – jest jednym z głównych czynników wpływających na końcową cenę certyfikacji.

Orientacyjny koszt certyfikacji ISO/IEC 27001 w 3-letnim cyklu

Poniższe wartości obejmują pierwszy audyt certyfikacyjny oraz dwa audyty nadzoru realizowane w trzyletnim cyklu certyfikacji.

Typ organizacji	Liczba pracowników	Lokalizacje	Dni audytu (łącznie)	Koszt certyfikacji (Etap I + II)	Koszt audytów nadzoru (2 lata)	Łączny koszt w 3-letnim cyklu*
Mikroprzedsiębiorstwo	do 10	1	3–5	8 000 – 10 000 zł	4 000 – 6 000 zł	16 000 – 22 000 zł
Mała firma	11–50	1	5–7	12 000 – 16 000 zł	6 000 – 9 000 zł	24 000 – 34 000 zł
Średnia firma	51–250	1–3	7–10	18 000 – 35 000 zł	10 000 –19 000 zł	38 000 – 73 000 zł
Duża organizacja	251–1000	kilka	10–15	38 000 – 60 000 zł	16 000 – 36 000 zł	70 000 – 132 000 zł
Organizacja wielooddziałowa	powyżej 1000	wiele	ustalane indywidualnie	od 60 000 zł	od 40 000 zł	od 140 000 zł

* Podane kwoty są orientacyjne i obejmują wyłącznie usługi jednostki certyfikującej w standardowym trzyletnim cyklu certyfikacji. Nie uwzględniają kosztów wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji, usług doradczych, szkoleń ani działań przygotowujących organizację do certyfikacji.

Jak przygotować się do audytu certyfikacyjnego ISO 27001?

Dobre przygotowanie do audytu certyfikacyjnego zwiększa szanse na sprawne przejście procesu i ogranicza ryzyko wykrycia niezgodności. Przed rozpoczęciem audytu warto upewnić się, że System Zarządzania Bezpieczeństwem Informacji (SZBI) został nie tylko wdrożony, ale również funkcjonuje w praktyce i jest poparty odpowiednimi zapisami.

Przed audytem certyfikacyjnym warto zweryfikować następujące obszary:

✔ Analiza ryzyka

Organizacja powinna posiadać aktualną analizę ryzyka oraz udokumentowany sposób postępowania z zidentyfikowanymi zagrożeniami. Auditorzy sprawdzają, czy ryzyka zostały właściwie ocenione i czy wdrożono odpowiednie środki bezpieczeństwa.

✔ Polityki bezpieczeństwa

Należy upewnić się, że obowiązujące polityki i zasady bezpieczeństwa informacji są aktualne, zatwierdzone przez kierownictwo oraz znane pracownikom.

✔ Procedury i dokumentacja

Dokumentacja Systemu Zarządzania Bezpieczeństwem Informacji powinna odpowiadać rzeczywistym procesom funkcjonującym w organizacji. Auditorzy weryfikują nie tylko jej kompletność, ale również praktyczne stosowanie procedur.

✔ Szkolenia pracowników

Pracownicy powinni znać swoje obowiązki związane z bezpieczeństwem informacji oraz potrafić wykazać, że stosują obowiązujące procedury podczas wykonywania codziennych zadań.

✔ Audyt wewnętrzny

Przed audytem certyfikacyjnym należy przeprowadzić audyt wewnętrzny, który pozwala wykryć ewentualne niezgodności i obszary wymagające poprawy. Jest to jeden z kluczowych elementów potwierdzających gotowość organizacji do certyfikacji.

✔ Działania korygujące

Wszystkie niezgodności i spostrzeżenia z audytu wewnętrznego powinny zostać przeanalizowane, a działania korygujące wdrożone i udokumentowane przed rozpoczęciem audytu certyfikacyjnego.

Wskazówka: Przed wizytą auditorów warto przeprowadzić wewnętrzny przegląd dokumentacji oraz przygotować osoby odpowiedzialne za poszczególne procesy do odpowiedzi na pytania dotyczące funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji.

Potrzebujesz audytu lub wdrożenia SZBI?

Chcesz poznać koszt audytu i lub wdrożenia ISO 27001 w swojej organizacji?
Zaprojektuj swój system zarządzania bezpieczeństwem informacji przy pomocy naszego Kalkulatora ISO i uzyskaj bezpłatną wycenę i indywidualny plan wdrożenia ISO 27001.

KALKULATOR ISO

Czy certyfikat ISO 27001 jest obowiązkowy?

Nie, certyfikat ISO/IEC 27001 nie jest obowiązkowy. Norma ma charakter dobrowolny, a decyzja o przystąpieniu do certyfikacji zależy od potrzeb i celów organizacji.

W praktyce certyfikacja jest jednak często wymagana przez klientów, partnerów biznesowych lub zamawiających w postępowaniach przetargowych. Posiadanie certyfikatu może stanowić warunek nawiązania współpracy, zwłaszcza w branży IT, usługach chmurowych, outsourcingu, finansach, ochronie zdrowia oraz sektorze publicznym.

Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z ISO/IEC 27001 może również ułatwić spełnienie wymagań wynikających z przepisów i regulacji, takich jak NIS2, DORA, RODO czy KRI. Sam certyfikat nie oznacza jednak automatycznej zgodności z tymi aktami prawnymi – potwierdza jedynie, że organizacja stosuje systemowe podejście do zarządzania bezpieczeństwem informacji.

Certyfikat ISO 27001 a NIS2

Certyfikacja ISO/IEC 27001 może znacząco ułatwić spełnienie części wymagań wynikających z dyrektywy NIS2, ponieważ opiera się na systemowym zarządzaniu bezpieczeństwem informacji, analizie ryzyka oraz wdrażaniu odpowiednich środków organizacyjnych i technicznych.

Należy jednak pamiętać, że posiadanie certyfikatu ISO/IEC 27001 nie oznacza automatycznej zgodności z wymaganiami NIS2. Organizacje objęte dyrektywą powinny dodatkowo zweryfikować spełnienie wszystkich obowiązków wynikających z obowiązujących przepisów oraz wdrożyć wymagane środki bezpieczeństwa.

Certyfikat ISO 27001 a RODO

Certyfikat ISO/IEC 27001 potwierdza, że organizacja stosuje System Zarządzania Bezpieczeństwem Informacji zgodny z wymaganiami międzynarodowej normy. Wdrożenie tego systemu wspiera ochronę danych osobowych i może ułatwić realizację wielu obowiązków wynikających z RODO, takich jak zarządzanie ryzykiem, kontrola dostępu czy reagowanie na incydenty.

Należy jednak pamiętać, że certyfikat ISO/IEC 27001 nie jest równoznaczny ze zgodnością z RODO. Spełnienie wymagań rozporządzenia wymaga również realizacji obowiązków prawnych związanych z przetwarzaniem danych osobowych.

Najczęściej zadawane pytania (FAQ)

Czy certyfikat ISO/IEC 27001 jest obowiązkowy?

Nie. Certyfikacja ISO/IEC 27001 jest dobrowolna, jednak w wielu branżach stanowi wymóg klientów, partnerów biznesowych lub zamawiających w postępowaniach przetargowych.

Kto wydaje certyfikat ISO/IEC 27001?

Certyfikat wydaje niezależna jednostka certyfikująca po pozytywnym zakończeniu audytu certyfikacyjnego i potwierdzeniu zgodności Systemu Zarządzania Bezpieczeństwem Informacji z wymaganiami normy.

Ile kosztuje certyfikacja ISO/IEC 27001?

Koszt zależy przede wszystkim od liczby pracowników, liczby lokalizacji, zakresu certyfikacji, złożoności procesów oraz liczby dni audytu. Dla małych organizacji całkowity koszt trzyletniego cyklu certyfikacji wynosi zwykle od kilku do kilkunastu tysięcy złotych, natomiast dla dużych przedsiębiorstw może być znacznie wyższy.

Jak długo ważny jest certyfikat ISO/IEC 27001?

Certyfikat jest ważny przez 3 lata, pod warunkiem pozytywnego przechodzenia corocznych audytów nadzoru. Po upływie tego okresu konieczne jest przeprowadzenie audytu recertyfikacyjnego.

Czy można stracić certyfikat ISO/IEC 27001?

Tak. Certyfikat może zostać zawieszony lub cofnięty, jeśli organizacja nie usuwa wykrytych niezgodności, nie przechodzi audytów nadzoru lub przestaje spełniać wymagania normy.

Czy certyfikat ISO/IEC 27001 jest uznawany międzynarodowo?

Tak. ISO/IEC 27001 jest międzynarodową normą, dlatego certyfikaty wydane przez akredytowane jednostki certyfikujące są powszechnie uznawane przez organizacje i partnerów biznesowych na całym świecie. W przypadku certyfikatu wydanego bez akredytacji, może zostać uznany, ale niekoniecznie.

Czy certyfikat ISO/IEC 27001 ma numer?

Tak. Każdy certyfikat posiada indywidualny numer identyfikacyjny oraz zawiera informacje o organizacji, zakresie certyfikacji, dacie wydania i terminie ważności.

Jak sprawdzić ważność certyfikatu ISO/IEC 27001?

Ważność certyfikatu można zweryfikować na podstawie daty ważności wskazanej na dokumencie lub w publicznym rejestrze prowadzonym przez jednostkę certyfikującą, która wydała certyfikat.

Czy certyfikat ISO/IEC 27001 trzeba odnawiać?

Tak. Po zakończeniu trzyletniego okresu ważności organizacja musi przejść audyt recertyfikacyjny. Jego pozytywny wynik umożliwia odnowienie certyfikatu na kolejny trzyletni cykl.

Ile trwa audyt certyfikacyjny ISO/IEC 27001?

Czas trwania audytu zależy od wielkości organizacji, liczby pracowników, zakresu certyfikacji oraz złożoności procesów. W przypadku małych firm audyt trwa zazwyczaj od jednego do kilku dni, natomiast w dużych organizacjach może obejmować kilkanaście dni audytowych.