8 kwietnia 2026 r. • ISO 27001
Często mówi się o normach ISO 27001 i ISO 27002 w jednym tchu, ale to nie to samo. Jedna z nich to norma certyfikacyjna, a druga – praktyczny przewodnik. Każdy, kto poważnie podchodzi do kwestii bezpieczeństwa informacji, skorzysta na obu, ale w różny sposób.
Czym jest norma ISO 27001?
ISO 27001 to międzynarodowa norma dotycząca bezpieczeństwa informacji. Określa ona wymagania dotyczące systemu zarządzania bezpieczeństwem informacji (ISMS): spójnego zestawu zasad, procesów i środków służących ochronie informacji. Organizacje mogą uzyskać certyfikat zgodności z normą ISO 27001, co oznacza, że niezależny audytor sprawdza, czy spełniają one jej wymagania.
Norma określa, co musisz zapewnić, a nie w jaki sposób. Pomyśl o: ocenie ryzyka, audytach wewnętrznych, zaangażowaniu kierownictwa oraz szkoleniach pracowników z zakresu świadomości bezpieczeństwa. Ta ostatnia kwestia jest wyraźnie wymieniona w załączniku A do normy.
Czym jest norma ISO 27002?
Norma ISO 27002 stanowi praktyczne rozwinięcie środków kontroli bezpieczeństwa wymaganych przez normę ISO 27001. Tam, gdzie norma 27001 nakazuje podjęcie określonych działań, norma 27002 wyjaśnia, jak je wdrożyć. Nie można uzyskać certyfikatu zgodności z normą ISO 27002: jest to wytyczna, a nie norma certyfikacyjna.
W 2022 roku norma ISO 27002 została gruntownie zaktualizowana. Liczba środków kontroli spadła ze 114 do 93 i została podzielona na cztery kategorie: organizacyjne, personalne, fizyczne i technologiczne. Szkolenia z zakresu świadomości bezpieczeństwa należą do kategorii środków personalnych.
Różnice w skrócie
| ISO 27001 | ISO 27002 | |
|---|---|---|
| Typ | Norma certyfikacyjna | Wytyczne |
| Cel | Wymagania dotyczące systemu zarządzania bezpieczeństwem informacji (ISMS) | Wskazówki dotyczące wdrażania środków kontroli |
| Czy można uzyskać certyfikat? | Tak | Nie |
| Liczba elementów sterujących | 93 (zgodnie z załącznikiem A) | 93 (w podziale na grupy kontrolne) |
| Czy to obowiązkowe? | Do certyfikacji: tak | Warto mieć pod ręką |
| Grupa docelowa | Kierownictwo, audytorzy | Zespoły ds. bezpieczeństwa, osoby odpowiedzialne za wdrażanie |
Który standard ci potrzebny?
Jeśli chcesz pokazać klientom, partnerom lub organom regulacyjnym, że poważnie podchodzisz do kwestii bezpieczeństwa informacji, certyfikat ISO 27001 jest tym, do czego powinieneś dążyć. Norma ISO 27002 stanowi punkt odniesienia podczas wdrażania: pomaga zrozumieć, które środki kontroli są uzasadnione i jak je wprowadzić w życie.
Te dwie normy wzajemnie się uzupełniają. ISO 27001 bez ISO 27002 to jak budowanie bez planu. ISO 27002 bez ISO 27001 to wiedza o tym, jak coś zrobić, ale bez zrozumienia, dlaczego.
Rola szkolenia security awareness
Zarówno norma ISO 27001, jak i ISO 27002 wymagają, żeby pracownicy przeszli szkolenie z zakresu bezpieczeństwa informacji. Norma ISO 27001 określa to jako wymóg (załącznik A, środek kontroli 6.3), natomiast norma ISO 27002 wyjaśnia, jak sprawić, by szkolenie to było skuteczne: powinno być regularne, dostosowane do pełnionych funkcji i możliwe do zmierzenia.
W praktyce pojedyncze szkolenia online czy coroczne warsztaty rzadko spełniają te wymagania. Guardey pomaga firmom spełnić wymagania normy ISO 27001 dotyczące świadomości bezpieczeństwa, oferując cotygodniowe mikroszkolenia, symulacje ataków phishingowych oraz raporty gotowe do audytu.
Szkolenie z zakresu świadomości bezpieczeństwa zgodne z normą ISO 27001
Guardey pomaga firmom spełnić wymagania szkoleniowe normy ISO 27001 bez zbędnych kłopotów. Poproś o prezentację i przekonaj się sam, co ta platforma może zrobić dla Twojej firmy.
Zaplanuj demo