• strona główna
  • ISMS – jak działa system zarządzania bezpieczeństwem informacji?

ISMS – jak działa system zarządzania bezpieczeństwem informacji?

Co to jest ISMS i dlaczego warto o nim myśleć jak audytor?

ISMS – czyli System Zarządzania Bezpieczeństwem Informacji – to nie tylko zbiór procedur czy polityk. To systematyczny proces zarządzania ryzykiem związanym z bezpieczeństwem informacji, oparty na międzynarodowym standardzie ISO/IEC 27001.

Jeśli Twoja organizacja przetwarza dane wrażliwe, podlega pod KSC, NIS2 lub RODO – ISMS to nie luksus, ale konieczność.

Dlaczego warto „myśleć jak audytor”? Bo audytor nie szuka błędów – szuka dowodów na działający system. Kiedy zrozumiesz, co on sprawdza i dlaczego, zaczniesz widzieć ISMS nie jako obowiązek, ale jako narzędzie zarządzania.

Zastanów się: Czy masz dokumentację analizy ryzyka? Czy kierownictwo zatwierdziło politykę bezpieczeństwa? Czy przeprowadzasz audyty wewnętrzne? Jeśli nie – audytor to zauważy. A Ty?

Chcesz głębiej zrozumieć ISMS? Przeczytaj: System Zarządzania Bezpieczeństwem Informacji – serce ISO 27001.

Jak działa ISMS? Kluczowy cykl PDCA

ISMS działa w cyklu PDCA (Plan-Do-Check-Act) – to podstawa każdej normy zarządzania jakością i bezpieczeństwem.

Przejdźmy ten cykl krok po kroku, tak jak to robi audytor:

Plan (Planowanie – kontekst i ryzyko)

  • Zidentyfikuj kontekst organizacji (wewnętrzne/ zewnętrzne czynniki)
  • Określ strony zainteresowane (np. KSC, operatorzy usług kluczowych)
  • Przeprowadź analizę ryzyka – wg metodologii akceptowanej w organizacji

Audytor zapyta: „Gdzie mam dowód na analizę kontekstu? Czy uwzględniliście nowelizację ustawy o KSC?”

Do (Wdrażanie – kontrola, szkolenia, technologie)

  • Wdrożenie kontroli z Załącznika A ISO 27001
  • Szkolenia pracowników (świadomość bezpieczeństwa)
  • Zarządzanie incydentami i dostępem do systemów

Audytor zapyta: „Czy każdy pracownik odbył szkolenie z cyberbezpieczeństwa? Gdzie są protokoły?”

Check (Sprawdzanie – audyty wewnętrzne, przeglądy kierownictwa)

  • Audyty wewnętrzne raz na rok (minimum)
  • Przeglądy kierownictwa – ocena skuteczności ISMS

Audytor zapyta: „Pokaż protokół przeglądu kierownictwa z marca 2025. Czy poruszono temat testów penetracyjnych?”

Act (Działanie – ciągła poprawa)

  • Korekta niezgodności
  • Aktualizacja analizy ryzyka
  • Doskonalenie procesów

Audytor szuka dowodów na ciągłą poprawę – nie doskonałość, ale reakcję na problemy. Dowiedz się więcej o ciągłym doskonaleniu ISMS.

Kontekst organizacji – pierwszy krok audytora

Zgodnie z ISO 27001:2022, zanim zaczniesz cokolwiek robić, musisz zrozumieć kontekst swojej organizacji.

To nie tylko „jesteśmy firmą IT”. To:

Audytor sprawdzi: Czy te czynniki są udokumentowane? Czy wpływają na ocenę ryzyka?

Liderstwo i zaangażowanie kierownictwa

Bez zaangażowania kierownictwa ISMS się nie utrzyma. To nie może być tylko „sprawa IT”.

Kierownictwo musi:

  • Zatwierdzić politykę bezpieczeństwa informacji
  • Wyznaczyć pełnomocnika ds. bezpieczeństwa informacji (S46) – co to jest system S46 i kogo dotyczy?
  • Zapewnić zasoby na wdrożenie ISMS

Audytor zapyta: „Gdzie jest podpis dyrektora na polityce bezpieczeństwa? Kto jest pełnomocnikiem S46 i jakie ma uprawnienia?”

Przeczytaj więcej: Rola kierownictwa w procesie certyfikacji ISO 27001.

Analiza ryzyka i ocena luk – serce ISMS

Analiza ryzyka to nie jednorazowa czynność. To proces, który trwa.

Użyj metodologii takiej jak:

  • OCTAVE
  • ISO 27005
  • własny model oparty na Załączniku A

Sprawdź: aktywa informacyjne → zagrożenia → luki → ryzyko → kontrola.

Audytor zapyta: „Czy analiza uwzględnia testy penetracyjne? Jakie ryzyko zostało zaakceptowane i dlaczego?”

Więcej na temat: Zarządzanie ryzykiem w ISO 27001 – klucz do skutecznej ochrony danych.

Wdrożenie kontroli i zarządzanie incydentami

Załącznik A normy ISO 27001:2022 zawiera 93 kontrolki podzielone na 4 kategorie: organizacyjne, ludzkie, techniczne, fizyczne.

Przykłady kluczowych kontroli:

Audytor zapyta: „Pokaż raport z ostatniego testu penetracyjnego. Czy wyniki zostały włączone do analizy ryzyka?”

Pełna lista kontroli: Załącznik A ISO 27001 – jakie zabezpieczenia są kluczowe?

Audyt ISMS – na czym polega i jak się przygotować?

Audyty ISMS dzielą się na:

  • Wewnętrzne – przeprowadzane przez własny zespół
  • Zewnętrzne – certyfikacyjne, przeprowadzane przez jednostkę notyfikowaną

Etap audytu:

  1. Planowanie
  2. Zebranie dowodów (wywiady, dokumenty)
  3. Ocena zgodności
  4. Raport i zalecenia

Typowe pytania audytora:

  • „Gdzie jest lista aktywów informacyjnych?”
  • „Jak wygląda procedura reagowania na incydent?”
  • „Czy przeprowadzono przegląd kierownictwa w ciągu ostatnich 12 miesięcy?”

Przygotuj się: Audyt ISO 27001 – jak przygotować się na wizytę audytora.

Certyfikacja ISO 27001 – co dalej?

Certyfikat ISO 27001 potwierdza, że ISMS działa zgodnie z normą.

Aby go uzyskać:

  • Przeprowadź audyt wstępny (faza 1)
  • Audyt certyfikacyjny (faza 2)
  • Utrzymuj zgodność (nadzór co 6–12 miesięcy)

Pamiętaj: termin przejścia na ISO 27001:2022 to 31 października 2025. Jeśli masz starszą wersję – czas na aktualizację. Certyfikacja ISO 27001 – krok po kroku.

Podsumowanie: ISMS to nie tylko dokumenty – to kultura bezpieczeństwa

ISMS to nie tylko pliki na serwerze. To sposób myślenia, zarządzania i reagowania.

Kiedy myślisz jak audytor, widzisz ISMS przez pryzmat:

  • Dowodów
  • Skuteczności
  • Ciągłej poprawy

Zadam ostatnie pytanie:
Czy Twoja organizacja jest gotowa na audyt ISMS jutro?
Jeśli nie – czas zacząć działać.

Skontaktuj się z naszym ekspertem

Nie czekaj do ostatniej chwili – przygotowanie do audytu ISMS i NIS2 wymaga czasu i wiedzy prawniczej.

W Cyberpolex z Olsztyna oferujemy kompleksowe wsparcie:

  • Audyt wstępny i wewnętrzny ISMS
  • Pomoc w dokumentacji i analizie ryzyka
  • Szkolenia dla pracowników i pełnomocników S46
  • Reprezentację przed organami nadzoru

Umów się na bezpłatną konsultację z naszym ekspertem:

Kamil Kołodziejczak – radca prawny, specjalista ds. cyberbezpieczeństwa i NIS2
📧 kamil.kolodziejczak@cyberpolex.pl
📞 +48 665 805 912