ISO/IEC 27001:2022 to międzynarodowa norma określająca wymagania dla systemu zarządzania bezpieczeństwem informacji (SZBI). Obejmuje 93 kontrole bezpieczeństwa z Załącznika A (cztery grupy: organizacyjne, ludzie, fizyczne, technologiczne).

ISO 27001:2022 — co to jest, 93 kontrole z Załącznika A, wdrożenie (2026)

Q: Czy ISO 27001 jest wymagany przez NIS2 i RODO?

Nie bezpośrednio — żadna z tych regulacji nie wymaga konkretnej normy. Stanowi jednak najczęstszą formę udokumentowanego dowodu zgodności z art. 21 NIS2 oraz art. 32 RODO (środki techniczne i organizacyjne ochrony danych).

Q: Jakie są główne zmiany w ISO 27001:2022?

Nowy Załącznik A: 93 kontrole zamiast 114 (część została skonsolidowana). Cztery nowe kategorie: organizacyjne, ludzie, fizyczne, technologiczne. Dodano 11 nowych kontroli (m.in. analiza zagrożeń, bezpieczeństwo usług chmurowych, gotowość ICT do zachowania ciągłości działania).

Q: Czy można certyfikować ISO 27001 łącznie z ISO 9001?

Tak — zestaw IT (9001 + 27001 + opcjonalnie 27017/27018) stanowi standardowe połączenie dla firm tworzących oprogramowanie, dostawców SaaS oraz hostingu. Audyt zintegrowany skraca czas postępowania o 20–30%.

Q: Ile kosztuje certyfikacja ISO 27001?

Koszt składa się z wdrożenia (elastyczny — zależy od dojrzałości infrastruktury IT) oraz certyfikacji w jednostce akredytowanej. Czas audytu SZBI regulowany jest normą ISO/IEC 27006 — zależy od liczby pracowników, lokalizacji i złożoności środowiska IT. Wycena indywidualna: multicert.pl/kontakt, pisemna oferta w 2 godziny.

W skrócie · 4wnioski

1ISO/IEC 27001:2022 to międzynarodowa norma systemu zarządzania bezpieczeństwem informacji (SZBI) — wersja 2022 zastąpiła 27001:2013 z terminem przejścia do 31 października 2025 r. Po tej dacie certyfikaty na 27001:2013 wygasły.
2Załącznik A to katalog 93 kontroli bezpieczeństwa w 4 kategoriach: organizacyjne (37), ludzie (8), fizyczne (14), technologiczne (34). 11 z nich to nowe kontrole (analiza zagrożeń, bezpieczeństwo chmury, gotowość ICT do BCM, bezpieczne tworzenie oprogramowania).
3Stanowi najczęstszą udokumentowaną odpowiedź na art. 21 NIS2 oraz art. 32 RODO — nie jest formalnie wymagany przez te regulacje, ale jest najlepiej uznawanym standardem spełniającym ich wymagania środków technicznych i organizacyjnych.
4Wdrożenie 6-12 miesięcy. Audyt zintegrowany ISO 9001 + 27001 (typowy zestaw IT dla SaaS, firm tworzących oprogramowanie, hostingu) skraca czas o 20-30% dzięki wspólnym sekcjom 4-10 (HLS).

ISO/IEC 27001:2022 to obecnie obowiązująca wersja normy systemu zarządzania bezpieczeństwem informacji (SZBI). Organizacje posiadające certyfikat na wersji 2013 miały czas do 31 października 2025 roku na przejście do nowej wersji. Norma stanowi dziś standardową odpowiedź rynkową na pytania klientów korporacyjnych dotyczące ochrony powierzanych danych.

Struktura — sekcje 4–10 + 93 kontrole z Załącznika A

ISO 27001 ma dwie warstwy. Sekcje 4–10 opisują wymagania systemu zarządzania (kontekst, przywództwo, planowanie, wsparcie, działania, ocena, doskonalenie) — identycznie jak w ISO 9001/14001/45001.

Załącznik A to katalog 93 kontroli bezpieczeństwa pogrupowanych w cztery kategorie:

Kategoria	Liczba kontroli	Przykłady
Organizacyjne	37	Polityki SZBI, role i odpowiedzialności, klasyfikacja informacji, zarządzanie dostępem, analiza zagrożeń (ENISA)
Ludzie	8	Weryfikacja kandydatów, szkolenia z bezpieczeństwa informacji, umowy o poufności, postępowanie dyscyplinarne
Fizyczne	14	Strefy bezpieczne, kontrola dostępu fizycznego, ochrona sprzętu i nośników
Technologiczne	34	Kryptografia, kopie zapasowe, logowanie, bezpieczne tworzenie oprogramowania, ochrona przed złośliwym oprogramowaniem, MFA, EDR

Organizacja sama decyduje, które kontrole stosuje (na podstawie analizy ryzyk) — to dokumentuje w Deklaracji Stosowania (SoA).

ISO 27001 vs SOC 2 vs ISO 27017/27018 — które dla mojej firmy

Norma / standard	Zakres	Wydawca	Akredytacja PL	Typowy klient
ISO/IEC 27001:2022	Pełen SZBI (organizacyjny + techniczny)	ISO	PCA	Klienci EU, B2B korporacyjny
SOC 2 Type II	Trust Services Criteria (security/availability/processing/privacy/confidentiality)	AICPA	Audytor CPA (USA)	Klienci USA, fundusze VC
ISO/IEC 27017	Bezpieczeństwo usług chmurowych (rozszerzenie 27001)	ISO	PCA + zakres chmurowy	Dostawcy usług chmurowych, SaaS
ISO/IEC 27018	Ochrona PII w chmurze publicznej	ISO	PCA + zakres chmurowy	Procesory danych w chmurze
ISO/IEC 27701	PIMS (system zarządzania informacjami o prywatności) — pomost do RODO	ISO	PCA + zakres prywatności	Administratorzy/procesory danych pod RODO

Cykl wdrożenia: 6–12 miesięcy

Etap 1 — analiza ryzyk i polityki (2–3 mies.): inwentaryzacja aktywów informacyjnych, identyfikacja zagrożeń i podatności, ocena ryzyk, wybór kontroli z Załącznika A, opracowanie polityk SZBI.

Etap 2 — wdrożenie kontroli (3–6 mies.): konfiguracja IT (firewall, MFA, EDR, SIEM, backup), szkolenia z bezpieczeństwa informacji, procedury reagowania na incydent, klasyfikacja danych, kontrola dostępu fizycznego.

Etap 3 — audyt wewnętrzny + przegląd zarządzania (1 mies.): obowiązkowe przed audytem certyfikacyjnym.

Etap 4 — certyfikacja (1–2 mies.): audyt etapu 1 (dokumentacja), etap 2 (na miejscu), wystawienie certyfikatu.

Koszt certyfikacji ISO 27001

Pełen koszt składa się z dwóch komponentów — analogicznie jak przy ISO 9001:

Koszt wdrożenia — analiza ryzyk, polityki SZBI, wdrożenie kontroli technicznych (MFA, EDR, backup, logowanie), szkolenia. Realizowane samodzielnie lub z konsultantem; w organizacjach z dojrzałą infrastrukturą IT znacząco niższy.
Koszt certyfikacji — opłata jednostki certyfikującej: audyt etapu 1 i 2, decyzja certyfikacyjna, audyty nadzoru po roku 1 i 2, recertyfikacja w roku 3. Czas audytu SZBI jest regulowany normą ISO/IEC 27006 (załącznik B) — zależy od liczby pracowników, liczby lokalizacji i złożoności środowiska IT, dlatego wszystkie akredytowane jednostki kalkulują go według tych samych zasad. Zakres i przebieg audytu przedstawia strona certyfikacji ISO 27001 w LL-C Polska.

Na cenę wpływa również zakres certyfikacji (cała organizacja czy wybrane usługi) oraz łączenie norm: audyt zintegrowany ISO 9001 + 27001 obniża łączny koszt o 20–30% względem dwóch osobnych postępowań. Wycena jest sporządzana indywidualnie po analizie zgłoszenia — formularz wyceny, pisemna oferta w 2 godziny w godzinach pracy.

ISO 27001 jako baza dla NIS2 i RODO

Dyrektywa NIS2 (UE 2022/2555) wymaga od podmiotów kluczowych i ważnych wdrożenia środków zarządzania ryzykiem cyberbezpieczeństwa (art. 21). RODO (art. 32) wymaga „odpowiednich środków technicznych i organizacyjnych” ochrony danych osobowych. ISO 27001 jest najczęstszą udokumentowaną odpowiedzią na obie regulacje — nie jest formalnie wymagany, ale jest najlepiej uznawanym standardem spełniającym te wymagania.

Rozszerzenia: 27017, 27018, 27701

Organizacje świadczące usługi chmurowe często rozszerzają certyfikację o ISO 27017 (bezpieczeństwo usług chmurowych) oraz ISO 27018 (ochrona danych osobowych w chmurze publicznej). Organizacje przetwarzające duże ilości danych osobowych dodają ISO 27701 (PIMS — system zarządzania informacjami o prywatności) jako pomost do wymagań RODO.

Szczegóły procesu: certyfikacja ISO 27001.

Powiązane artykuły:

Najczęstsze pytania

Czym jest ISO 27001? +

ISO/IEC 27001:2022 to międzynarodowa norma SZBI z 93 kontrolami z Załącznika A.

Czy ISO 27001 jest wymagany przez NIS2 i RODO? +

Nie bezpośrednio; stanowi jednak najczęstszą udokumentowaną odpowiedź na art. 21 NIS2 oraz art. 32 RODO.

Jakie są główne zmiany w ISO 27001:2022? +

93 kontrole zamiast 114, cztery nowe kategorie, 11 nowych kontroli (analiza zagrożeń, bezpieczeństwo usług chmurowych, gotowość ICT do zachowania ciągłości działania).

Ile trwa wdrożenie ISO 27001? +

Zwykle 6–12 miesięcy w średniej organizacji. Organizacje o dojrzałej infrastrukturze IT wdrażają szybciej.

Czy można certyfikować ISO 27001 łącznie z ISO 9001? +

Tak — zestaw IT (9001 + 27001 + 27017/27018) stanowi standardowe połączenie dla firm tworzących oprogramowanie, dostawców SaaS i hostingu.

Ile kosztuje certyfikacja ISO 27001? +

Koszt = wdrożenie (elastyczne) + certyfikacja w jednostce akredytowanej. Czas audytu SZBI reguluje ISO/IEC 27006; audyt zintegrowany z ISO 9001 obniża łączny koszt o 20–30%. Wycena indywidualna w 2 godziny.

Autor artykułu

Zespół Multicert

Redakcja Multicert · Akredytacja PCA AC 210

Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.

← Wszystkie artykuły 4 listopada 2025