Ile kosztuje audyt ISO 27001?

Audyt ISO 27001 to proces weryfikacji zgodności systemu zarządzania bezpieczeństwem informacji (SZBI) organizacji z wymaganiami normy ISO 27001. Norma ta określa wymagania dla SZBI, który ma zapewnić poufność, integralność i dostępność informacji. Przeprowadzenie audytu ISO 27001 jest niezbędne, aby uzyskać i utrzymać certyfikat potwierdzający wdrożenie oraz skuteczność SZBI zgodnie z normą.

Spis treści

Bezpieczeństwo Twojej firmy jest dla nas priorytetem!

Skontaktuj się z naszymi specjalistami,

Chcesz z nami porozmawiać? Zadzwoń do nas!

+48 608 611 892

Audyt ISO 27001 składa się zazwyczaj z dwóch etapów:

Audytu wewnętrznego, przeprowadzanego przez pracowników organizacji w celu sprawdzenia gotowości do audytu zewnętrznego.
Audytu zewnętrznego, wykonywanego przez niezależną jednostkę certyfikującą w celu formalnego potwierdzenia zgodności.

Koszty audytu ISO 27001 zależą od wielu czynników, między innymi od zakresu i skali działalności organizacji podlegającej audytowi.

Elementy audytu	Opis	Przykłady
Zakres audytu	Obszary podlegające audytowi ISO 27001	– Dokumentacja – Procesy – Technologie – Lokalizacje
Kryteria audytu	Wymagania, według których prowadzony jest audyt	– Norma ISO 27001 – Przepisy prawne – Wymagania własne organizacji – Dobra praktyka branżowa
Metody audytu	Techniki zbierania dowodów podczas audytu	– Wywiady – Analiza dokumentów – Obserwacja – Testy – Próbkowanie
Koszty audytu	Czynniki wpływające na koszt audytu ISO 27001	– Zakres – Wielkość firmy – Branża – Doświadczenie audytora – Dodatkowe wymagania – Czas trwania – Lokalizacja
Korzyści audytu	Wartość dodana wynikająca z audytu	– Identyfikacja ryzyk – Zapewnienie zgodności – Utrzymanie certyfikatu – Poprawa systemu zarządzania bezpieczeństwem informacji

Pakiet	Zakres audytu	Cena netto
Podstawowy	– 1 lokalizacja – Do 100 pracowników – Do 5 systemów IT	15 000 PLN
Standardowy	– 1-3 lokalizacje – Do 250 pracowników – Do 10 systemów IT	25 000 PLN
Rozszerzony	– Powyżej 3 lokalizacji – Powyżej 250 pracowników – Powyżej 10 systemów IT	Wycena indywidualna

Dodatkowe opcje:

Audyt zagranicznej lokalizacji – 2 000 PLN za dzień audytu
Dodatkowy audytor – 1 000 PLN za dzień audytu
Audyt dodatkowego systemu IT – 2 000 PLN

Rabaty:

5% rabatu przy zamówieniu 2 audytów
10% rabatu przy zamówieniu 3 audytów
15% rabatu przy zamówieniu powyżej 3 audytów

Płatność:

Zaliczka 50% przed audytem
Pozostałość po audycie, 14 dni termin płatności

Ceny netto, do powyższych cen należy doliczyć 23% VAT.

Etapy audytu ISO 27001

Audyt ISO 27001 składa się zwykle z następujących etapów:

Przegląd wstępny

Na tym etapie audytorzy zapoznają się ze specyfiką i zakresem działalności organizacji, aby określić obszar audytu. Analizują dokumentację systemu zarządzania bezpieczeństwem informacji.

Audyt na miejscu

Podczas wizyty w organizacji audytorzy sprawdzają zgodność dokumentacji z rzeczywistym stanem wdrożenia SZBI. Przeprowadzają wywiady z pracownikami, przeglądają zapisy i obserwują procesy.

Raport z audytu

Audytorzy opracowują szczegółowy raport, w którym prezentują wyniki audytu. Wskazują ewentualne niezgodności i rekomendacje dotyczące poprawy SZBI.

Działania po audycie

Organizacja analizuje wyniki audytu i podejmuje działania korygujące w celu usunięcia niezgodności. Następnie audytorzy weryfikują skuteczność tych działań.

Rodzaje audytów ISO 27001

Wyróżnia się dwa podstawowe rodzaje audytów ISO 27001:

Audyt wewnętrzny

Jest przeprowadzany przez wykwalifikowanych pracowników organizacji. Ma na celu sprawdzenie gotowości do audytu zewnętrznego.

Audyt zewnętrzny

Jest realizowany przez niezależną jednostkę certyfikującą w celu formalnego potwierdzenia zgodności z normą ISO 27001. Może być audytem certyfikującym lub nadzorczym.

Zakres audytu ISO 27001

Zakres audytu ISO 27001 powinien obejmować wszystkie procesy, działania i lokalizacje związane z zarządzaniem bezpieczeństwem informacji w organizacji. Najczęściej weryfikowane są:

Dokumentacja SZBI – polityki, procedury, instrukcje.
Mechanizmy zarządzania – role i odpowiedzialności, szkolenia, świadomość.
Procesy operacyjne – klasyfikacja informacji, analiza ryzyka, kontrola dostępu.
Zgodność techniczna – firewall, szyfrowanie, kopie zapasowe.
Zgodność fizyczna – kontrola dostępu, monitoring.
Mechanizmy pomiaru – audyt wewnętrzny, przegląd zarządzania.

Kryteria audytu ISO 27001

Podczas audytu ISO 27001 sprawdzana jest zgodność z następującymi wymaganiami:

Wymagania normy ISO 27001 – audytorzy sprawdzają wdrożenie 114 kontroli bezpieczeństwa informacji.
Wymagania prawne i regulacyjne – uwzględniane są przepisy branżowe i ogólne, np. RODO.
Wymagania własne organizacji – zapisane w politykach i procedurach wewnętrznych.
Dobre praktyki branżowe – uznane standardy i wytyczne dla danej branży.

Metody audytu ISO 27001

Audytorzy stosują różne metody, aby zebrać dowody zgodności z wymaganiami, między innymi:

Wywiady z pracownikami – uzyskanie informacji o procesach i kontrolach.
Analiza dokumentacji – przegląd polityk, procedur i zapisów.
Obserwacja – oględziny pomieszczeń i procesów biznesowych.
Badanie próbek – sprawdzenie konfiguracji systemów i rejestrów bezpieczeństwa.
Śledzenie – prześledzenie wybranych transakcji i operacji.
Testy – sprawdzenie mechanizmów kontroli i zabezpieczeń.

Kryteria wyboru audytora ISO 27001

Wybierając audytora ISO 27001, należy zweryfikować:

Akredytację – uprawnienia do certyfikacji systemów zarządzania bezpieczeństwem informacji.
Doświadczenie – udokumentowane przeprowadzenie audytów ISO 27001.
Znajomość branży – doświadczenie w obszarze, w którym działa organizacja.
Kompetencje audytorów – posiadanie certyfikatów i odpowiednich szkoleń.
Referencje – pozytywne opinie innych klientów.
Znajomość języka – możliwość komunikowania się w języku organizacji.
Elastyczność – dostosowanie zakresu i harmonogramu do potrzeb.
Cena – konkurencyjna oferta, ale nie najniższa z możliwych.

Koszty audytu ISO 27001

Koszty audytu ISO 27001 zależą od wielu czynników:

Zakres audytu

Im większy zakres audytu, tym wyższe koszty. Należy uwzględnić liczbę lokalizacji, systemów i procesów do sprawdzenia.

Wielkość organizacji

Większe firmy ponoszą wyższe koszty ze względu na złożoność i rozległość SZBI.

Branża

Branże mocno regulowane (np. finanse, medycyna) wymagają głębszego audytu, co podnosi koszty.

Doświadczenie audytora

Renomowane firmy audytorskie mają wyższe stawki za roboczogodziny.

Dodatkowe wymagania

Specjalne oczekiwania co do zakresu, metod lub kompetencji audytorów mogą zwiększyć koszty.

Czas trwania

Dłuższy audyt, zwłaszcza gdy wymaga podróży, jest droższy.

Lokalizacja

Audyt zagranicznych lokalizacji wiąże się z kosztami podróży i pobytu audytorów.

Przykładowe koszty audytu ISO 27001

Oto przykładowe koszty audytu ISO 27001:

Mała firma (do 50 osób) – od 8 000 do 15 000 zł
Średnia firma (50-250 osób) – od 15 000 do 30 000 zł
Duża firma (powyżej 250 osób) – od 30 000 do 150 000 zł
Audyt zagranicznych lokalizacji – od 2 000 euro za dzień audytu
Dodatkowy personel dzień audytu – od 2 000 do 4 000 zł
Koszt roboczogodziny audytora – od 250 do 500 zł

Na kosztorys audytu ISO 27001 wpływają jednak także inne czynniki, dlatego ostateczną kwotę najlepiej ustalić z firmą audytorską.

Podsumowanie kosztów audytu ISO 27001

Koszty audytu ISO 27001 są znaczącą, choć opłacalną inwestycją w bezpieczeństwo informacji i wiarygodność organizacji. Zależą od wielu czynników i powinny zostać dostosowane do indywidualnych potrzeb firmy. Profesjonalny audyt daje pewność zgodności z wymaganiami i identyfikuje obszary do poprawy SZBI. Przynosi to wymierne korzyści i ochronę przed ryzykami utraty poufności, integralności i dostępności kluczowych informacji.

Pytania i odpowiedzi FAQ:

Jakie są korzyści z przeprowadzenia audytu ISO 27001?

Przeprowadzenie audytu ISO 27001 i uzyskanie certyfikatu daje organizacji szereg korzyści:

Zapewnienie zgodności z międzynarodowymi standardami bezpieczeństwa informacji.
Spełnienie wymagań klientów i partnerów biznesowych.
Poprawa bezpieczeństwa danych klientów i poufności informacji.
Ograniczenie ryzyka wystąpienia incydentów bezpieczeństwa.
Zwiększenie zaufania i wiarygodności firmy na rynku.
Usprawnienie procesów zarządzania bezpieczeństwem informacji.

Jak przebiega audyt ISO 27001?

Audyt ISO 27001 składa się zazwyczaj z następujących etapów:

Przegląd dokumentacji systemu zarządzania bezpieczeństwem informacji.
Audyt na miejscu – wywiady, obserwacje, sprawdzenie zabezpieczeń.
Przygotowanie raportu z ustaleniami i zaleceniami.
Weryfikacja wdrożenia działań naprawczych przez organizację.
Wydanie certyfikatu, jeśli system spełnia wymagania normy.

Jak długo trwa audyt ISO 27001?

Czas trwania audytu ISO 27001 zależy od wielkości organizacji i złożoności jej systemów IT. Audyt w niewielkiej firmie może zająć 1-2 dni. W dużej organizacji, zwłaszcza o rozproszonej strukturze, audyt może potrwać nawet kilka tygodni. Typowy audyt trwa 2-5 dni roboczych.

Kto może przeprowadzić audyt ISO 27001?

Audyt ISO 27001 musi być przeprowadzony przez niezależną jednostkę certyfikującą, która posiada akredytację do certyfikacji systemu zarządzania bezpieczeństwem informacji. Audytorzy muszą mieć odpowiednie kompetencje i doświadczenie w audytowaniu ISO 27001.

Ile kosztuje audyt ISO 27001?

Koszt audytu ISO 27001 waha się zwykle od kilkunastu do kilkudziesięciu tysięcy złotych w przypadku polskich firm. Na cenę wpływają m.in. wielkość organizacji, zakres audytu i doświadczenie audytorów. Audyt zagranicznych lokalizacji jest droższy.

Jak przygotować się do audytu ISO 27001?

Aby dobrze przygotować się do audytu ISO 27001 należy:

Opracować i wdrożyć dokumentację systemu zarządzania bezpieczeństwem informacji.
Przeprowadzić audyt wewnętrzny w celu identyfikacji luk.
Zapewnić zasoby i przeszkolić pracowników.
Wdrożyć wymagane kontrole bezpieczeństwa informacji.
Zebrać i uporządkować dowody zgodności z wymaganiami.