Kompletny SZBI: od analizy ryzyka po audyt certyfikacyjny
Norma wymaga systemu zarządzania, nie stosu dokumentów. Budujemy go na platformie, którą Twój zespół będzie faktycznie używać.
Analiza ryzyka
Warsztatowo identyfikujemy aktywa i zagrożenia, budujemy rejestr ryzyka i plan postępowania – fundament całego systemu.
Polityki i SoA
Deklaracja stosowania i polityki na sprawdzonych szablonach, dopasowane do organizacji zamiast kopiuj-wklej z internetu.
Załącznik A w praktyce
Kontrole techniczne i organizacyjne wdrażamy realnie: dostępy, kopie, szyfrowanie, dostawcy, ciągłość działania.
Automatyczne dowody
Platforma monitoruje kontrole i zbiera dowody 24/7. Przygotowanie do przeglądu zarządzania spada z tygodni do godzin.
Szkolenia i świadomość
Wymagane normą szkolenia pracowników spinamy z programem security awareness – jeden program, dwa wymogi załatwione.
Audyt i utrzymanie
Pomagamy wybrać jednostkę certyfikującą, towarzyszymy w audycie i utrzymujemy system w kolejnych latach.
Realistyczna droga do certyfikatu
Czas zależy od wielkości organizacji i punktu startowego – poniżej typowy przebieg dla firmy 50–250 osób.
Analiza luk
Przegląd obecnych praktyk względem normy. Dostajesz mapę braków i kosztorys całości.
2 tygodnie
Budowa SZBI
Analiza ryzyka, polityki, wdrożenie kontroli i platformy monitorującej. Najintensywniejszy etap.
2–4 miesiące
Działanie systemu
System pracuje: przegląd zarządzania, audyt wewnętrzny, obsługa incydentów. Zbieramy dowody skuteczności.
2–3 miesiące
Audyt certyfikacyjny
Dwuetapowy audyt jednostki certyfikującej. Jesteśmy z Tobą na sali (lub na callu).
2–4 tygodnie
Automatyzacja Vanta + wdrożenie ICWT
Vanta monitoruje kontrole ISO 27001 automatycznie i utrzymuje dowody w porządku audytowym. ICWT dokłada to, czego platforma sama nie zrobi: analizę ryzyka, procesy i doświadczenie z polskich certyfikacji.
Najczęstsze pytania
Czym różni się to od klasycznego wdrożenia z konsultantem?
Efekt ten sam (certyfikat), ale system żyje na platformie: kontrole są monitorowane automatycznie, dowody zbierają się same, a kolejne audyty nadzoru przestają być projektem.
Czy ISO 27001 wystarczy pod NIS2?
W dużej części tak – wymagania się pokrywają i certyfikat mocno ułatwia wykazanie zgodności. Mapujemy oba reżimy w jednym wdrożeniu, żeby nie robić dwóch projektów.
Ile firma musi zaangażować własnych ludzi?
Lider projektu po Twojej stronie na kilka godzin tygodniowo plus punktowo właściciele obszarów (IT, HR, zarząd). Resztę bierzemy na siebie.
Mamy część dokumentacji z wcześniejszej próby wdrożenia. Do wyrzucenia?
Zwykle nie – w analizie luk oceniamy, co można przenieść. Częsty wynik: 30–50% materiału da się wykorzystać po aktualizacji.
Certyfikat, który zwraca się w pierwszym przetargu
Coraz więcej zamówień – publicznych i prywatnych – wprost punktuje ISO 27001. Sprawdź, ile dzieli Cię od certyfikatu.