Kiedy firma podejmuje decyzję o wdrożeniu systemu zarządzania bezpieczeństwem informacji (SZBI) zgodnego z normą ISO 27001, szybko napotyka na pojęcie Załącznika A. To właśnie tam – w jego 93 punktach – kryje się mapa zabezpieczeń, które mogą chronić Twoją organizację przed wyciekami danych, atakami hakerskimi i brakiem zgodności z wymogami prawnymi.
Jednak wiele osób odbiera Załącznik A jako suchy, techniczny wykaz, który trudno przełożyć na codzienną praktykę. W tym artykule pokażemy, że nie musi tak być. Pokażemy, jak czytać Załącznik A nie jako listę wymagań, ale jako praktyczny przewodnik dla właściciela firmy, menedżera IT lub pełnomocnika SZBI.
Czym jest Załącznik A i po co go analizować?
Załącznik A normy ISO/IEC 27001:2023 to zestawienie 93 środków ochrony, pogrupowanych w cztery główne obszary: ogólne zasady zarządzania, zarządzanie ludźmi, obsługa aktywów informacyjnych oraz zabezpieczenia techniczne. Nie są one obowiązkowe w 100% – ale musisz je przeanalizować i uzasadnić, które stosujesz, a które pomijasz.
To właśnie na podstawie tej analizy powstaje tzw. Deklaracja stosowalności (SoA) – kluczowy dokument w audycie. Bez niej nie udowodnisz, że rozumiesz wymagania normy. Załącznik A nie mówi „zrób to i to”, ale pomaga Ci odpowiedzieć na pytanie: Czy w mojej firmie są zabezpieczenia tam, gdzie są potrzebne?
Jak czytać Załącznik A – krok po kroku
Pierwszy krok to zrozumienie celu każdej kontroli. Weźmy przykład: A.5.1 – Polityka bezpieczeństwa informacji. Norma wymaga, by organizacja miała dokument, w którym zarząd deklaruje priorytet bezpieczeństwa. To nie jest formalność – to podstawa zaangażowania kierownictwa. Jeśli polityka nie istnieje albo nie jest komunikowana pracownikom, system SZBI nie funkcjonuje. Więcej o tej i innych politykach przeczytasz w naszym artykule o politykach bezpieczeństwa w ISO 27001.
Kolejny krok to ocena, czy dana kontrola dotyczy Twojej firmy. Na przykład A.8.23 – Zarządzanie bezpieczeństwem w chmurze jest kluczowa, jeśli korzystasz z Office 365, Google Workspace czy AWS. Jeśli wszystko masz lokalnie – możesz ją pominąć, ale musisz to udokumentować. Więcej o tym, jak zabezpieczyć dane w chmurze, znajdziesz w naszym przewodniku po cloud security w kontekście ISO 27001.
Trzeci krok to przetłumaczenie języka normy na język codzienności. Weźmy A.6.4 – Zakończenie lub zmiana stanowiska pracy. W praktyce oznacza to: gdy pracownik odchodzi, jego konto musi zostać natychmiast dezaktywowane, a sprzęt – np. laptop czy pendrive – zwrócony i sprawdzony. To nie tylko kwestia IT, ale także HR i zarządu. Taki proces powinien być częścią szerszej strategii zarządzania incydentami, o której więcej przeczytasz w naszym artykule o incident managementu w ISO 27001.
Główne obszary zabezpieczeń – co warto zrozumieć?
Załącznik A dzieli się na cztery grupy. Pierwsza – A.5 – Ogólne zasady zarządzania – to fundament. Bez niej system nie ma oparcia. Tu znajdziesz kontrole takie jak polityka bezpieczeństwa, organizacja odpowiedzialności (pełnomocnik SZBI), zarządzanie incydentami czy zgodność z wymogami prawnymi. To miejsce, od którego warto zacząć analizę – bo bez tych podstaw, reszta nie ma sensu. Więcej o roli pełnomocnika SZBI przeczytasz w artykule „Funkcja pełnomocnika SZBI”.
Druga grupa – A.6 – Zarządzanie ludźmi – często bywa pomijana, choć to właśnie pracownicy stanowią zarówno największe zagrożenie, jak i klucz do sukcesu. Szkolenia, warunki zatrudnienia, procedury przyjmowania i zwalniania pracowników – to nie tylko formalności, ale mechanizmy zapobiegające wyciekom danych. Pracownik, który nie wie, że nie powinien przesyłać danych przez e-mail bez szyfrowania, może przypadkiem naruszyć RODO – a to ryzyko, które trzeba kontrolować. Więcej o tym, jak edukować pracowników, znajdziesz w naszym wpisie o szkoleniach i edukacji w zakresie cyberbezpieczeństwa.
Trzecia grupa – A.7 – Aktywa informacyjne – dotyczy tego, jak organizacja zarządza informacjami. Kto decyduje, co jest poufne, a co publiczne? Jakie są zasady obsługi nośników danych? Co robić, gdy pracownik pracuje w kawiarni z laptopem otwartym na całą salę? Te kontrole pomagają wprowadzić porządek tam, gdzie dane są najbardziej narażone – czyli tam, gdzie są używane. Warto tu wspomnieć o polityce czystego biurka, która znacząco redukuje ryzyko utraty dokumentów fizycznych.
Czwarta grupa – A.8 – Zabezpieczenia techniczne – to miejsce, gdzie IT wchodzi na plan główny. Zarządzanie hasłami, ochrona przed oprogramowaniem złośliwym, konfiguracja systemów, bezpieczeństwo sieci – to środki, które chronią infrastrukturę. Ale nie chodzi tylko o technologię. Chodzi o to, by te środki były systematyczne, monitorowane i dostosowane do ryzyka. Na przykład: czy każdy pracownik musi mieć dostęp do wszystkich danych? Czy hasła są zmieniane regularnie? Czy systemy są aktualizowane? Więcej o technologicznych aspektach bezpieczeństwa znajdziesz w artykule o technologii w służbie ISO 27001.
Typowe błędy i jak ich uniknąć
Jeden z najczęstszych błędów to traktowanie Załącznika A jako „listy zakupowej” – jakby wystarczyło zaznaczyć „tak” przy 93 punktach i gotowe. Tymczasem norma wymaga analizy, a nie formalnego spełnienia wymagań. Pomijanie kontroli bez uzasadnienia – np. „bo nie mamy chmury” – to ryzyko podczas audytu. Kluczem jest przeprowadzenie rzetelnej analizy ryzyka, która pomoże Ci uzasadnić podejście do każdej kontroli.
Inny błąd to traktowanie Załącznika A wyłącznie jako sprawy IT. W rzeczywistości wiele kontroli dotyczy HR, finansów, zarządu czy działu zakupów. Bez współpracy między działami system nie będzie działał.
Trzeci błąd to jednorazowe podejście. Wdrożenie kontroli to nie koniec drogi. Bez regularnych szkoleń, przeglądów polityk i aktualizacji zabezpieczeń system traci na skuteczności. ISO 27001 to nie „jednorazowy projekt”, ale proces ciągłego doskonalenia. Więcej o tym, jak utrzymać wysoki poziom bezpieczeństwa, przeczytasz w artykule o ciągłym doskonaleniu SZBI.
Podsumowanie: Załącznik A to mapa, a nie recenzja
Załącznik A nie mówi, jak dokładnie ma wyglądać Twój system – mówi, na co warto zwrócić uwagę. To mapa ryzyka, a nie gotowy plan działania. Jego siła leży w kompletności: nie zapomnisz o czymś ważnym, np. o szkoleniach, zarządzaniu hasłami czy procedurze reagowania na incydenty.
Klucz do sukcesu to nie ilość wdrożonych kontroli, ale jakość ich zrozumienia i dostosowania do kontekstu Twojej firmy. Warto więc podejść do Załącznika A nie z kartką do zaznaczania, ale z myślą: Czy to dotyczy nas? Czy rozumiemy cel tej kontroli? Czy możemy to udokumentować i wdrożyć?
Potrzebujesz pomocy w interpretacji Załącznika A?
Jeśli chcesz upewnić się, że Twoje podejście do Załącznika A jest zgodne z normą i przygotuje Cię do audytu – porozmawiaj z naszym ekspretem.
➡️ Zadzwoń: +48 665 805 912
➡️ Napisz: kamil.kolodziejczak@cyberpolex.pl
Pomogę Ci:
- zrozumieć, które kontrole są kluczowe dla Twojej branży,
- przygotować dokumentację zgodną z ISO 27001,
- przeprowadzić analizę ryzyka i zaplanować skuteczne zabezpieczenia.
Źródła:
– ISO 27001 – oficjalna strona normy
– ISAPP – Urząd ds. Bezpieczeństwa RP
– Dyrektywa NIS2 – tekst unijny
