Facebook-f Instagram Linkedin Youtube

Wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnego z ISO/IEC 27001 i KSC

Wdrażamy System Zarządzania Bezpieczeństwem Informacji zgodny z ISO/IEC 27001 oraz wymaganiami KSC tak, aby Twoja organizacja nie tylko „miała dokumentację”, ale realnie wiedziała, jak chronić dane, systemy, procesy i ciągłość działania.

Bez kopiowanych procedur. Bez martwych segregatorów. Bez teorii, której nikt w firmie nie rozumie.

Przygotujemy Twoją organizację do certyfikacji ISO 27001, audytu, kontroli oraz praktycznego spełnienia obowiązków wynikających z przepisów KSC/NIS2.

Wdrażamy ISO/IEC 27001:2022 od analizy ryzyka do dnia audytu certyfikującego. Bez kopiowanych polityk z internetu. Bez dokumentacji, która brzmi jak przetłumaczona norma. Od 2010 roku przeprowadziliśmy ponad 300 projektów wdrożeniowych i audytów — w firmach IT, produkcyjnych, medycznych i w administracji publicznej. Prowadzimy też wdrożenia IEC 62443 dla firm z systemami automatyki przemysłowej (OT).

Gotowe wzory dokumentów

Wzor dokumentacji systemu zarządzania bezpieczeństwem informacji zgodny z dyrektywą NIS2!

Kliknij i zobacz więcej

Co dostajesz w ramach wdrożenia ISO 27001

  • Analiza stanu obecnego bezpieczeństwa informacji Zaczynamy od sprawdzenia, gdzie naprawdę jesteście: jakie informacje przetwarzacie, jakie systemy są krytyczne, jakie ryzyka już istnieją i które obszary wymagają natychmiastowego uporządkowania.
  • Ocena zgodności z ISO/IEC 27001 i KSC Weryfikujemy wymagania normy ISO 27001 oraz obowiązki wynikające z Krajowego Systemu Cyberbezpieczeństwa. Sprawdzamy, czy organizacja może być podmiotem kluczowym lub ważnym i jakie działania należy wdrożyć w pierwszej kolejności.
  • Dokumentacja, która działa w praktyce Nie dostajesz pakietu dokumentów „pod normę”. Dostajesz system, który można pokazać audytorowi, zarządowi, klientowi enterprise, organowi kontrolnemu i własnemu zespołowi.
  • Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji Tworzymy i wdrażamy SZBI dopasowany do Twojej firmy: polityki, procedury, analizę ryzyka, plan postępowania z ryzykiem, deklarację stosowania zabezpieczeń, zasady kontroli dostępu, reagowania na incydenty i ciągłości działania.
  • Szkolenia dla pracowników i kadry zarządzającej Przeszkolimy zarząd, IT, właścicieli procesów i pracowników z ich realnych obowiązków. Tak, żeby ludzie wiedzieli, co robić z incydentem, phishingiem, dostępem, danymi klienta i dokumentacją.
  • Przygotowanie do audytu certyfikacyjnego ISO 27001 Prowadzimy organizację krok po kroku do audytu. Pomagamy zamknąć niezgodności, przygotować zapisy, przeprowadzić audyt wewnętrzny i przegląd zarządzania.
  • Wsparcie podczas certyfikacji i po wdrożeniu Pomagamy przełożyć wymagania prawne na konkretne działania: samoidentyfikację, klasyfikację obowiązków, proces obsługi incydentów, role odpowiedzialne, nadzór nad dostawcami i wymagane środki organizacyjne oraz techniczne.
  • Wsparcie przy KSC i NIS2 Nie zostawiamy Cię w dniu audytu. Pomagamy w kontakcie z jednostką certyfikującą, wspieramy podczas audytu i możemy dalej utrzymywać oraz doskonalić system.

Dla kogo jest wdrożenie SZBI

Firmy IT, SaaS i software house’y
Dla organizacji, które chcą wejść do większych klientów, przetargów i projektów enterprise, gdzie ISO 27001 jest już standardowym wymaganiem.

Podmioty objęte KSC/NIS2
Dla firm i instytucji, które muszą sprawdzić, czy są podmiotem kluczowym lub ważnym oraz wdrożyć wymagane środki bezpieczeństwa.

Firmy produkcyjne i przemysłowe
Dla organizacji, które chronią know-how, dane technologiczne, ciągłość produkcji, systemy IT/OT i relacje z wymagającymi klientami.

Placówki medyczne i organizacje przetwarzające dane wrażliwe
Dla podmiotów, które muszą szczególnie dbać o poufność, integralność i dostępność danych.

Administracja publiczna i jednostki samorządowe
Dla organizacji, które potrzebują uporządkować cyberbezpieczeństwo, odpowiedzialności, incydenty, dokumentację i wymagania ustawowe.

Korzyści z wdrożenia ISO/IEC 27001 / KSC

  • Gotowość do certyfikacji ISO/IEC 27001

Przygotowujemy organizację tak, aby audyt certyfikacyjny nie był nerwowym egzaminem, tylko potwierdzeniem wykonanej pracy.

  • Zgodność z wymaganiami KSC/NIS2

Pomagamy uporządkować obowiązki wynikające z nowych regulacji i ograniczyć ryzyko kosztownych błędów, opóźnień oraz niezgodności.

  • Realną ochronę danych, systemów i reputacji

SZBI porządkuje dostęp do informacji, odpowiedzialności, reakcję na incydenty, zarządzanie ryzykiem i bezpieczeństwo dostawców.

  • Większe zaufanie klientów i partnerów

ISO 27001 coraz częściej decyduje o tym, czy firma zostanie dopuszczona do przetargu, rozmów z dużym klientem albo współpracy z sektorem regulowanym.

  • Przewagę w sprzedaży B2B

Certyfikat ISO 27001 i uporządkowany SZBI to konkretny argument handlowy: pokazujesz klientowi, że jego dane, procesy i dostęp są pod kontrolą.

  • Spokój zarządu

Zarząd dostaje jasny obraz ryzyk, obowiązków, priorytetów i decyzji, które trzeba podjąć. Bez chaosu i zgadywania.

  • Dokumentację dopasowaną do Twojej organizacji

Procedury są tworzone pod realne procesy, ludzi, systemy i skalę działalności, a nie pod idealny obraz z normy.

  • Wsparcie ekspertów od wdrożeń, audytów i bezpieczeństwa informacji

Pracujesz z ludźmi, którzy wiedzą, czego szuka audytor, czego oczekują klienci i gdzie firmy najczęściej tracą czas, pieniądze oraz kontrolę.

  • Oszczędność czasu Twojego zespołu

Nie musisz samodzielnie interpretować normy, przepisów i wymagań audytowych. Prowadzimy projekt od diagnozy po gotowość do certyfikacji.

Jak się z nami pracuje ?

Rozmowa

Telefonicznie, mailowo lub podczas wideokonferencji doprecyzowujemy zakres zlecenia. Usralamy najważniejsze fakty. W ten sposób przygotowujemy się do drugiego kroku.

Oferta

Przygotowujemy propozycje działań, które naszym zdaniem należałoby podjąć. Mogą być zupełnie inne niż to, o co nasz zapytasz! Zawsze działamy z myślą o interesie klienta i tak też przygotowujemy ofertę - rekomendujemy i doradzamy, nie jesteśmy tylko biernymi wykonawcami.

Umowa

Praca pracą, ale papierologia musi być w porządku!

Harmonogram i plan działania

Naszym zdaniem klient musi być poinformowany, co kiedy i dlaczego dzieje się z jego firmą. Dlatgo współpracę zaczynamy od przygotowania harmonogramu, który dokładnie określi, czym będziemy się po kolei zajmować oraz planu, który to prezentuje.

Działamy!

Zaczynamy pracę, ale cały czas pozostajemy w kontakcie, by ustalić jej kierunek i dopasować się do Twojego biznesu i specyfiki branży.

Chcesz poznać więcej szczegółów?

Skontaktuj się z nami poprzez formularz lub zadzwoń i porozmawiajmy

+48 739 002 450

Najczęściej zadawane pytania - FAQ

Koszt wdrożenia ISO 27001 w firmie SaaS/IT do 20 osób zaczyna się od około 18 000 zł netto za pracę konsultantów. Do tego dochodzi opłata dla jednostki certyfikującej (od 7 000 zł netto). Dla firm 20–100 osób budżet typowo wynosi 35 000–60 000 zł. ISO 27001 jest zwykle 1,5–2× droższy we wdrożeniu niż ISO 9001, bo wymaga analizy ryzyka, SoA i szczegółowego pokrycia ~93 zabezpieczeń z Załącznika A. Dokładną wycenę przygotowujemy po 30-minutowej rozmowie.

Standardowe wdrożenie ISO 27001 trwa 4–8 miesięcy. Firma SaaS do 20 osób z dobrze udokumentowanymi procesami DevOps — 4 miesiące. Firma 50–100 osób ze średnią złożonością infrastruktury — 6 miesięcy. Organizacje z wieloma lokalizacjami lub infrastrukturą hybrydową (IT + OT) — 8 miesięcy i więcej. Czas zależy w dużej mierze od dostępności zespołu IT — bo to oni muszą wdrożyć zabezpieczenia techniczne.

Nie, ISO 27001 nie jest formalnie wymagany przez RODO. Art. 32 RODO mówi o „odpowiednich środkach technicznych i organizacyjnych” — nie nakazuje konkretnej normy. Jednak wdrożenie ISO 27001 pokrywa ~80% wymagań art. 32 i znacząco ułatwia rozliczalność przed UODO w razie kontroli lub incydentu. W praktyce ISO 27001 stanowi najmocniejszy dowód, że firma stosuje właściwe środki bezpieczeństwa danych osobowych.

W wersji 2022 Załącznik A został przeorganizowany — ze 114 zabezpieczeń w 14 kategoriach na 93 zabezpieczenia w 4 grupach tematycznych (organizacyjne, osobowe, fizyczne, techniczne). Dodano 11 nowych zabezpieczeń — m.in. threat intelligence, data masking, monitoring aktywności użytkowników i bezpieczeństwo chmury. Firmy z certyfikatem w wersji 2013 muszą przejść na 2022 do października 2025 r. — inaczej stracą ważność certyfikatu.

Audyt certyfikujący jest dwuetapowy. Etap 1 (1 dzień) — audytor sprawdza dokumentację SZBI, SoA, analizę ryzyka i gotowość do pełnego audytu. Dostajesz listę obserwacji do poprawy przed etapem 2. Etap 2 (2–5 dni zależnie od wielkości firmy) — audytor rozmawia z pracownikami, sprawdza wdrożenie zabezpieczeń w praktyce, weryfikuje zapisy, testuje procedury incident response. Na koniec — raport i decyzja o wydaniu certyfikatu. Nasi konsultanci są obecni podczas całego audytu.

ISO 27001 to norma międzynarodowa z formalną certyfikacją wydawaną przez akredytowaną jednostkę. SOC 2 to raport audytu wg standardów AICPA (USA) — nie certyfikat, tylko opinia audytora. ISO 27001 rozpoznawany jest globalnie i jest preferowany w Europie. SOC 2 dominuje w USA i jest częściej wymagany przez amerykańskich klientów enterprise. Firmy SaaS sprzedające na oba rynki często mają oba dokumenty — można je wdrożyć w dużym stopniu na wspólnej bazie.

IEC 62443 to seria norm dla cyberbezpieczeństwa systemów automatyki przemysłowej (ICS, SCADA, PLC). Dotyczy warstwy OT, którą ISO 27001 pokrywa tylko powierzchownie. Firmy produkcyjne, energetyka, wod-kan, transport — czyli wszyscy z krytyczną infrastrukturą OT — powinni łączyć ISO 27001 (dla IT biurowego) z IEC 62443 (dla sieci OT / automatyki). Regulacja NIS2 dodatkowo wymusza takie podejście dla operatorów usług kluczowych.

Tak, i to znacząco. ISO 27001 pokrywa większość wymagań NIS2 dotyczących zarządzania ryzykiem, zgłaszania incydentów, bezpieczeństwa łańcucha dostaw i ciągłości działania. DORA dla sektora finansowego — podobnie. Wdrożenie ISO 27001 nie zwalnia z formalnej zgodności z tymi regulacjami, ale skraca drogę: zamiast budować compliance od zera, dokładasz do działającego SZBI brakujące elementy specyficzne dla danej regulacji.