Sprzedalnia.pl

Share
in IT

System zarządzania bezpieczeństwem informacji (SZBI) – co to jest i jak wdrożyć go w firmie?

by Redakcja Sprzedalnia.pl · 27.04.2026

W 2024 roku zespół CERT Polska zarejestrował 103 449 incydentów cyberbezpieczeństwa. To wzrost o 29% rok do roku i poziom, który zespół opisał jako „absolutnie rekordowy”. W tym samym roku 87 polskich firm padło ofiarą ataku ransomware – każde takie zdarzenie to dni przestoju i straty idące w setki tysięcy złotych.

Po stronie regulatora liczby też rosną. Prezes UODO nałożył w 2024 roku kary administracyjne o łącznej wartości 13,7 mln zł, a w 2025 roku – ponad 64 mln zł. Najwyższa pojedyncza kara w 2024 roku wyniosła 4,05 mln zł i dotyczyła firmy, która nie zawiadomiła klientów o naruszeniu ich danych.

Na te dwa fronty – techniczny i compliance’owy – odpowiada system zarządzania bezpieczeństwem informacji. SZBI to nie segregator z politykami. To zestaw decyzji o tym, co firma chroni, przed czym i czyimi rękami. W tym artykule pokazujemy, jak wygląda wdrożenie SZBI w praktyce, ile kosztuje i jakie błędy powtarzają polskie MŚP.

Czym jest system zarządzania bezpieczeństwem informacji (SZBI)

System zarządzania bezpieczeństwem informacji (SZBI) to formalny zestaw polityk, procedur i mechanizmów technicznych, które chronią dane firmy przed utratą, kradzieżą i nieautoryzowaną zmianą.

W skrócie: SZBI odpowiada na trzy pytania.

  1. Co w firmie jest cenne i wymaga ochrony.
  2. Co może się temu stać i z jakim prawdopodobieństwem.
  3. Co zrobimy, żeby to ograniczyć.

Trzy filary CIA – po polsku, na polskim przykładzie

Każdy SZBI opiera się na zasadzie CIA: poufność, integralność, dostępność.

Poufność (Confidentiality) oznacza, że dane widzi tylko ten, kto powinien. Przykład: w biurze rachunkowym deklaracje VAT klientów leżą na współdzielonym dysku, do którego dostęp ma cały dziesięcioosobowy zespół. Praktykantka pracująca dwa tygodnie też widzi wszystko. To naruszenie zasady poufności.

Integralność (Integrity) to gwarancja, że dane nie zostały zmienione bez śladu. Przykład: w hurtowni budowlanej księgowa modyfikuje cenę zakupu w fakturze sprzed trzech miesięcy, bo „klient się dogadał”. System nie loguje tej zmiany, więc miesiąc później audyt nie ma jak tego wychwycić. To naruszenie zasady integralności.

Dostępność (Availability) to obowiązek zapewnienia, że dane są pod ręką wtedy, gdy są potrzebne. Przykład: ransomware szyfruje serwer plikowy w spółce IT w piątek o 17:00. W poniedziałek 30 osób nie ma do czego usiąść. Brak działającej kopii zapasowej to klasyczne naruszenie zasady dostępności.

Czego SZBI nie obejmuje

Wokół SZBI narosło kilka mitów. Warto je odkręcić.

SZBI nie jest wyłącznie zbiorem dokumentów. Polityki bez wdrożenia to teatr dla audytora. SZBI nie jest też synonimem RODO – ochrona danych osobowych to tylko jego część. SZBI nie zwalnia z odpowiedzialności za incydenty. Jest narzędziem do ich ograniczania, nie polisą ubezpieczeniową. I wreszcie SZBI nie jest projektem z datą zakończenia. Po wdrożeniu zaczyna się utrzymanie, audyty wewnętrzne i przeglądy zarządcze.

Po co firmie SZBI – cztery główne powody

Zgodność z RODO i ustawą o ochronie danych osobowych

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) oraz ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych nakładają na każdego administratora danych obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych. Maksymalna kara administracyjna z RODO to 20 mln EUR lub 4% rocznego światowego obrotu firmy – w zależności od tego, która kwota jest wyższa. Niższy próg to 10 mln EUR lub 2% obrotu.

Dla podmiotów publicznych z art. 9 ust. 1-12 i 14 ustawy o finansach publicznych górny limit to 100 tys. zł. Niewiele, dopóki nie zauważymy, że budżet niewielkiej gminy może odczuć taką karę bardzo realnie.

W 2024 roku UODO nałożył 25 kar na łączną kwotę 13,7 mln zł. Najwyższa wyniosła 4 053 173 zł i dotyczyła braku zawiadomienia osób, których dane wyciekły. Druga w kolejności – 3 819 960 zł dla Morele.net za niewystarczające środki bezpieczeństwa technicznego. W 2025 roku skala wzrosła pięciokrotnie – łączna wartość kar przekroczyła 64 mln zł, a ING Bank Śląski zapłacił 18,4 mln zł za skanowanie dokumentów tożsamości klientów.

SZBI nie gwarantuje braku kary. Daje natomiast udokumentowaną zgodność z art. 32 RODO – „odpowiednie środki techniczne i organizacyjne” – co przy ocenie wysokości sankcji jest jednym z kluczowych czynników łagodzących.

Wymogi klientów B2B

W przetargach publicznych i procedurach due diligence pojawia się coraz częściej wymóg posiadania certyfikatu ISO/IEC 27001 lub udokumentowanego SZBI. W sektorze finansowym, ubezpieczeniowym, medycznym i wśród dostawców usług dla operatorów infrastruktury krytycznej to standard od dawna.

Realna sytuacja: spółka z branży SaaS w 50-osobowym zespole obsługuje średnio 12 zapytań kwartalnie typu „prześlij swój SoC 2 lub ISO 27001″. Brak takiego dokumentu to w praktyce dyskwalifikacja na etapie kwalifikacji vendorów. Nie zawsze formalna – częściej cicha, czyli „dziękujemy, znaleźliśmy innego dostawcę”.

Łańcuch dostaw to kolejny powód. Dyrektywa NIS2, transponowana do polskiego prawa nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, nakłada na podmioty kluczowe i ważne obowiązek weryfikacji bezpieczeństwa łańcucha dostawców. Jeśli sprzedajesz coś dużej firmie z listy NIS2, wymóg dokumentowania zabezpieczeń spadnie i na ciebie.

Ciągłość biznesowa

Downtime ma cenę. Według badań branżowych średni koszt godziny przestoju w MŚP wynosi od kilku do kilkudziesięciu tysięcy złotych. W przypadku ataku ransomware mediana czasu przywrócenia operacyjności to 21 dni.

SZBI wymusza myślenie o ciągłości w kategoriach RTO (recovery time objective) i RPO (recovery point objective). Pierwsze to maksymalny dopuszczalny czas przywrócenia usługi, drugie – maksymalny dopuszczalny okres utraty danych. Bez tych dwóch parametrów decyzje o backupie i replikacji są strzelaniem na ślepo.

W 2024 roku CERT Polska zarejestrował 147 incydentów ransomware, z czego 87 dotyczyło firm. To liczba zgłoszeń – realna skala jest wielokrotnie wyższa, bo część ofiar płaci okup po cichu i nie informuje organów.

Przewaga konkurencyjna w branżach regulowanych

Finanse, ubezpieczenia, ochrona zdrowia, energetyka, telekomunikacja, sektor publiczny – w każdej z tych branż SZBI przestał być wartością dodaną i stał się minimum wejścia. Dla mniejszych firm współpracujących z dużymi graczami z tych sektorów posiadanie SZBI często otwiera drzwi do kontraktów, które wcześniej były niedostępne.

W przetargach z sektora publicznego ISO 27001 bywa wymogiem formalnym lub kryterium punktowanym. W postępowaniach na dostawy IT dla administracji centralnej certyfikat potrafi przesądzić o wygranej.

SZBI a ISO 27001 – najczęstsze nieporozumienie

To dwa różne pojęcia, które ludzie mieszają na każdym spotkaniu. SZBI to system zarządzania – zbiór polityk, procesów i ludzi w organizacji. ISO/IEC 27001:2022 to międzynarodowa norma, która opisuje wymagania, jakie ten system powinien spełniać, oraz daje podstawę do jego niezależnej certyfikacji.

Można mieć SZBI bez certyfikatu. Można też formalnie wdrożyć ISO 27001 i dostać certyfikat – co jest dowodem dla rynku, że SZBI funkcjonuje zgodnie z międzynarodowym standardem.

Kiedy wystarczy sam SZBI

Sam SZBI – bez certyfikacji – sprawdza się, gdy firma chce uporządkować bezpieczeństwo informacji, spełnić wymogi RODO i NIS2, ale nie potrzebuje formalnego dowodu dla klientów lub regulatora. Dotyczy to większości MŚP, które nie startują w przetargach publicznych i nie obsługują dużych klientów korporacyjnych.

Kiedy potrzebujesz pełnej certyfikacji ISO 27001

Certyfikat ISO 27001 ma sens, gdy:

  • klienci B2B wymagają go w umowach lub procedurach vendor management;
  • firma startuje w przetargach publicznych, gdzie ISO 27001 jest punktowane;
  • działa w branży regulowanej (banki, ubezpieczenia, ochrona zdrowia, telekomunikacja);
  • planuje ekspansję zagraniczną i potrzebuje uznawanego międzynarodowo dowodu zgodności.

Realne koszty certyfikacji

Sam audyt certyfikacyjny w polskich realiach 2025 roku to 8 000–14 000 zł netto dla małej firmy. Cykl trzyletni (audyt certyfikujący plus dwa audyty nadzoru) zamyka się w 15 000–24 000 zł netto. Recertyfikacja co trzy lata to kolejny audyt w pełnym zakresie.

To koszt samej jednostki certyfikującej. Wdrożenie SZBI przed audytem (konsultanci, dokumentacja, narzędzia, szkolenia) to osobna pozycja, do której wracamy w sekcji o kosztach.

Jak wdrożyć SZBI w firmie – siedem kroków

Krok 1. Wsparcie zarządu i wyznaczenie pełnomocnika

SZBI wdraża się na decyzję zarządu, nie z inicjatywy działu IT. Brzmi banalnie, a jest najczęstszym powodem porażki wdrożeń.

Zarząd musi formalnie zatwierdzić politykę bezpieczeństwa informacji, zaakceptować budżet i wyznaczyć pełnomocnika ds. SZBI. Pełnomocnik to osoba odpowiedzialna za nadzór nad systemem – może to być wewnętrzny pracownik (CISO, IT manager, IOD) lub zewnętrzny konsultant. Kluczowe, żeby miał bezpośrednią ścieżkę raportowania do zarządu.

Krok 2. Inwentaryzacja zasobów informacyjnych

Nie zabezpieczysz tego, czego nie znasz. Pierwsze zadanie pełnomocnika to spisanie wszystkich zasobów informacyjnych firmy: bazy danych klientów, systemy CRM, ERP, dokumentacja papierowa, kody źródłowe, know-how, dane pracowników, dane finansowe, hasła, klucze API, konta w usługach chmurowych.

Każdemu zasobowi przypisuje się właściciela, klasyfikację (publiczne, wewnętrzne, poufne, ściśle poufne) i lokalizację. To podstawa rejestru aktywów, który będzie rdzeniem SZBI.

Krok 3. Analiza ryzyka

Najprostsza skuteczna metoda to macierz prawdopodobieństwo × skutek w skali 1–5. Dla każdej pary zasób–zagrożenie ocenia się:

  • Prawdopodobieństwo (1 – bardzo niskie, 5 – bardzo wysokie): jak realne jest to zdarzenie w ciągu 12 miesięcy.
  • Skutek (1 – nieistotny, 5 – krytyczny): jak duża byłaby strata, gdyby się zdarzyło.

Iloczyn obu wartości daje wartość ryzyka od 1 do 25. Wyniki dzieli się na strefy: zielona (1–6) – akceptujemy, żółta (7–14) – monitorujemy, czerwona (15–25) – działamy natychmiast.

Przykład dla firmy doradczej. Zasób: baza klientów w CRM. Zagrożenie: kradzież danych przez byłego pracownika. Prawdopodobieństwo: 3. Skutek: 5. Wartość ryzyka: 15. Czerwona strefa – wdrażamy MFA, logowanie zdarzeń i procedurę offboardingu.

Dokumentem wyjściowym jest plan postępowania z ryzykiem oraz Statement of Applicability (SoA) – deklaracja stosowalności, w której uzasadniamy wybór konkretnych zabezpieczeń z Załącznika A normy ISO 27001.

Krok 4. Polityki bezpieczeństwa

Minimalny zestaw dokumentów dla średniej firmy obejmuje:

  1. Polityka bezpieczeństwa informacji – dokument nadrzędny.
  2. Polityka kontroli dostępu i zarządzania uprawnieniami.
  3. Polityka haseł i uwierzytelniania (z wymogiem MFA dla kont uprzywilejowanych).
  4. Polityka kopii zapasowych (zgodna z regułą 3-2-1).
  5. Polityka pracy zdalnej i BYOD.
  6. Polityka zarządzania incydentami bezpieczeństwa.
  7. Polityka zarządzania dostawcami i łańcuchem dostaw.
  8. Polityka klasyfikacji informacji i czystego biurka.
  9. Procedura zgłaszania naruszeń ochrony danych osobowych (zgodnie z art. 33 RODO).
  10. Plan ciągłości działania (BCP) i odtwarzania po awarii (DRP).

Polityki powinny być krótkie. Dokument na 30 stron, którego nikt nie czyta, jest gorszy niż dwustronicowa instrukcja, do której pracownicy faktycznie zaglądają.

Krok 5. Wdrożenie zabezpieczeń technicznych i organizacyjnych

Norma ISO 27001:2022 w Załączniku A wskazuje 93 zabezpieczenia w czterech kategoriach: organizacyjne (37), osobowe (8), fizyczne (14) i technologiczne (34). Nie wszystkie trzeba wdrażać – decyduje wynik analizy ryzyka i SoA.

W praktyce każde MŚP powinno mieć minimum:

  • uwierzytelnianie wieloskładnikowe (MFA) na wszystkich kontach z dostępem zdalnym i kontach uprzywilejowanych;
  • kopie zapasowe w modelu 3-2-1 (trzy kopie, dwa nośniki, jedna poza siedzibą), z regularnym testowaniem odtwarzania;
  • segmentację sieci i odseparowanie sieci gościnnej;
  • ochronę endpointów (EDR/XDR) na wszystkich stacjach roboczych i serwerach;
  • szyfrowanie dysków laptopów i nośników wymiennych;
  • centralne zarządzanie urządzeniami mobilnymi (MDM);
  • filtrowanie poczty i ochronę przed phishingiem;
  • logowanie zdarzeń w systemach krytycznych przez minimum 12 miesięcy.

Krok 6. Szkolenia pracowników

W 2024 roku CERT Polska zarejestrował ponad 235 tys. przypadków phishingu. 95% wszystkich incydentów stanowiły oszustwa komputerowe – w większości oparte na inżynierii społecznej, a nie na technicznym łamaniu zabezpieczeń.

Szkolenia świadomościowe (security awareness) powinny obejmować całą organizację – od recepcji po zarząd. Minimum to roczne szkolenie wstępne plus kwartalne kampanie testowe (np. symulowane wiadomości phishingowe). Wyniki testów to materiał do raportów dla zarządu i wskaźnik skuteczności SZBI.

Krok 7. Audyt wewnętrzny i przegląd zarządczy

Norma wymaga corocznego audytu wewnętrznego oraz przeglądu SZBI przez zarząd (management review). To nie jest formalność – to moment, w którym sprawdza się, czy system działa i co należy poprawić.

Audyt wewnętrzny może prowadzić wyznaczony pracownik (po szkoleniu audytora wewnętrznego ISO 27001) lub zewnętrzny konsultant. Wynikiem są niezgodności, które trzeba zamknąć przed audytem certyfikacyjnym.

Przegląd zarządczy to formalne posiedzenie, na którym zarząd ocenia skuteczność SZBI, decyduje o zmianach polityki, zatwierdza budżet na kolejny rok i podejmuje decyzje o ewentualnych korektach zakresu systemu.

Najczęstsze błędy przy wdrażaniu SZBI

SZBI tylko jako papier. Najgorsza wersja wdrożenia: gruba teczka polityk, których nikt nie zna. Audytor zewnętrzny wystawi niezgodność po pierwszej rozmowie z pracownikiem, który nie wie, co to jest klasyfikacja informacji. Polityka działa wtedy, gdy ludzie ją stosują – nie wtedy, gdy ją podpiszą.

Zbyt rozbudowana dokumentacja. Częsty grzech firm konsultingowych, rozliczanych od liczby stron. Trzysta stron polityk w 30-osobowej spółce to gwarancja, że nikt tego nie przeczyta. Norma ISO 27001 nie wymaga konkretnej liczby dokumentów – wymaga skuteczności.

Brak zaangażowania zarządu. Jeśli prezes mówi „róbcie te ISO, byle szybko”, wdrożenie skończy się papierem. Zarząd musi rozumieć, czemu firma to robi, akceptować decyzje o ryzyku i wspierać pełnomocnika autorytetem.

Ignorowanie czynnika ludzkiego. Można wydać 200 tys. zł na firewall klasy enterprise i stracić dane przez przypadkowe kliknięcie pracownika w fałszywą fakturę. Pracownicy są pierwszą i ostatnią linią obrony – szkolenia i kultura bezpieczeństwa są niezbywalne.

Skupienie wyłącznie na IT. SZBI obejmuje też zasoby fizyczne, papierowe i ludzkie. Kontrahent, który ma dostęp do biura po godzinach, wydruki w drukarce sieciowej, klucze do serwerowni – to wszystko elementy systemu.

Wdrożenie raz na zawsze. SZBI wymaga utrzymania, przeglądów, aktualizacji po każdej istotnej zmianie organizacyjnej lub technologicznej. Zmiana dostawcy chmury, fuzja, nowa lokalizacja, zatrudnienie 20 osób – każde z tych wydarzeń to powód do aktualizacji analizy ryzyka.

Kopiowanie szablonów. Polityka pobrana z internetu nie odzwierciedla specyfiki firmy. Audytor to wyłapie w pierwszej rozmowie. Dokumentacja musi być pisana pod konkretną organizację – jej procesy, ludzi i technologie.

Ile kosztuje wdrożenie SZBI

Koszt zależy od wielkości firmy, dojrzałości obecnych zabezpieczeń, zakresu wdrożenia i tego, czy celem jest sama zgodność, czy pełna certyfikacja ISO 27001.

Małe firmy (do 20 osób), wdrożenie samodzielne lub minimalne wsparcie

Realny budżet: 5 000–15 000 zł na wdrożenie plus 8 000–14 000 zł netto na audyt certyfikacyjny, jeśli firma decyduje się na ISO 27001.

Składowe: szablony dokumentacji (1 000–3 000 zł), konsultacje punktowe (3 000–8 000 zł), szkolenia online dla pracowników (1 000–3 000 zł), narzędzia open source lub niskobudżetowe (od 0 do kilku tysięcy zł rocznie).

Średnie firmy (20–250 osób), wdrożenie z konsultantem

Realny budżet: 30 000–80 000 zł na wdrożenie plus 15 000–24 000 zł netto na trzyletni cykl certyfikacji ISO 27001.

Składowe: konsultant zewnętrzny (15 000–40 000 zł, w zależności od zakresu i czasu trwania projektu), narzędzia (system do zarządzania politykami, narzędzie do analizy ryzyka, system EDR – łącznie 10 000–25 000 zł rocznie), szkolenia stacjonarne (5 000–15 000 zł), czas własny pracowników (najczęściej 200–400 roboczogodzin).

Duża średnia firma lub mała korporacja (200+ osób), pełne wdrożenie pod klucz

Realny budżet: 80 000–150 000 zł na wdrożenie plus 25 000–50 000 zł netto rocznie na audyty i utrzymanie certyfikacji.

W tym segmencie pojawiają się dodatkowe koszty: dedykowany system GRC, profesjonalne narzędzia do testów penetracyjnych i symulowanego phishingu, etat CISO (lub CISO-as-a-service), rozbudowane szkolenia dla zarządu i kluczowych pracowników.

Jak ograniczyć koszty bez utraty zgodności

  1. Zacznij od analizy luk (gap analysis) we własnym zakresie. Lista 93 zabezpieczeń z Załącznika A normy ISO 27001:2022 jest publicznie dostępna. Sprawdzenie samodzielnie, co już mamy, oszczędza kilkanaście tysięcy złotych konsultacji.
  2. Wybierz mniejszy zakres certyfikacji. Certyfikujesz nie całą firmę, tylko konkretną jednostkę organizacyjną lub usługę. Mniejszy zakres = krótszy audyt = niższy koszt.
  3. Wykorzystaj istniejące zabezpieczenia. Jeśli masz już Microsoft 365 z licencją Business Premium albo E3, masz w komplecie MFA, MDM, DLP, ochronę poczty, klasyfikację dokumentów. Nie kupuj drugi raz tego, co masz.
  4. Szkolenia online zamiast stacjonarnych. Platformy security awareness (KnowBe4, Sophos Phish Threat, polskie odpowiedniki) kosztują od kilkudziesięciu do kilkuset złotych rocznie na pracownika.
  5. Konsultant w trybie nadzoru, nie wykonawczym. Zamiast zlecać firmie zewnętrznej napisanie wszystkiego, kupujesz 20–40 godzin konsultacji rozłożone na cały projekt. Pracę wykonujecie sami, konsultant tylko weryfikuje.

Podsumowanie

Trzy rzeczy warto zapamiętać. Po pierwsze, SZBI to system zarządzania, a nie zbiór dokumentów. O jego skuteczności decyduje praktyka codziennego stosowania, nie liczba podpisanych polityk. Po drugie, ISO 27001 i SZBI to nie synonimy – samo wdrożenie SZBI wystarczy w wielu firmach, certyfikat ma sens tam, gdzie wymaga go rynek lub regulacje. Po trzecie, koszt wdrożenia rozkłada się na bardzo szeroki przedział: od 5 tys. zł w małej firmie po 150 tys. zł w średnim podmiocie z certyfikacją – więc decyzja budżetowa powinna iść za analizą ryzyka, nie odwrotnie.

Konkretny next step: wykonaj samodzielnie analizę luk wobec listy 93 zabezpieczeń z Załącznika A normy ISO 27001:2022. Zajmie to 2–4 dni roboczogodzin. Wynik powie, jak daleko twoja firma jest od zgodności i ile realnie wynosi budżet wdrożenia. Dopiero z taką wiedzą warto rozmawiać z konsultantami lub dostawcami narzędzi.

Comments are closed.

Zobacz także

Search