Pre-audit ISO 27001

Przygotowujemy Twoją organizację do certyfikacji ISO/IEC 27001 przez akredytowaną jednostkę — gap analysis, dokumentacja, audyt wewnętrzny i wsparcie w Stage 1 i Stage 2.

Co robimy

Pre-audit ISO 27001 to przygotowanie organizacji do certyfikacji — od mapy luk po wsparcie audytora.

Gap analysis

Mapujemy obecny stan kontroli pod wszystkie wymagania ISO/IEC 27001:2022 — Annex A oraz klauzule 4–10. Raport z priorytetowym planem remediation w 2 tygodnie.

KROK 1

Risk assessment + SoA

Ocena ryzyka zgodna z ISO 31000 / ISO 27005. Statement of Applicability — co stosujemy, co wykluczamy i dlaczego. Bez generycznych szablonów.

RYZYKO

Polityki i procedury

Opracowujemy lub aktualizujemy zestaw polityk i procedur ISMS dopasowany do organizacji — dokumenty zgodne z Twoim sposobem pracy, nie wzorzec z półki.

DOKUMENTACJA

Audyt wewnętrzny

Formalny audyt wewnętrzny wymagany klauzulą 9.2. Raport z findings, klasyfikacja niezgodności, plan closing przed Stage 1.

KLAUZULA 9.2

Wsparcie procesu certyfikacji

Asystujemy w Stage 1 i Stage 2 z akredytowaną jednostką certyfikującą. Przygotowanie zespołu, dokumentacji i odpowiedzi na findings audytora. Certyfikat wystawia jednostka.

STAGE 1 + 2

Etapy procesu

Cztery fazy — czasy orientacyjne, zależne od dojrzałości startowej organizacji.

Mapa luk

Pełen przegląd obecnego stanu kontroli, polityk i procesów pod ISO/IEC 27001:2022. Raport z findings i priorytetowym planem remediation.

Risk + dokumentacja

Ocena ryzyka, SoA, polityki, procedury, evidence collection. Głębokość zależy od dojrzałości startowej organizacji.

Audyt + remediation

Internal audit zgodnie z klauzulą 9.2. Closing nonconformities przed kontaktem z akredytowaną jednostką certyfikującą.

Audyt certyfikacyjny

Asystujemy w obu etapach audytu certyfikacyjnego. Certyfikat wystawia akredytowana jednostka — my pomagamy Twojemu zespołowi przejść proces bez niespodzianek.

Dla kogo

Trzy segmenty, w których pre-audit ISO 27001 daje największą wartość.

SMB w sektorach regulowanych

Firmy podlegające NIS2/DORA, którym regulator lub klient enterprise wymaga ISO 27001 jako baseline compliance.

SaaS i fintech w fazie wzrostu

Spółki przed serią B/C, dla których ISO 27001 to akcelerator sprzedaży do klientów enterprise i sygnał dojrzałości w due diligence inwestorów.

Organizacje w RFI/RFP

Firmy potrzebujące ISO 27001 jako kwalifikatora w przetargach publicznych lub kontraktach korporacyjnych.

Najczęstsze pytania

Czy wystawiacie certyfikat ISO 27001?

Nie. Certyfikat wystawia wyłącznie akredytowana jednostka certyfikująca — członek krajowy IAF/PCA lub równoważnik. Nasza rola to przygotowanie organizacji do procesu i wsparcie w Stage 1 i Stage 2.

Jak długo trwa cały proces?

Zwykle 3–6 miesięcy w zależności od dojrzałości startowej organizacji. Najszybciej idą firmy z istniejącymi politykami i częściową dokumentacją; najwolniej organizacje, dla których to pierwszy formalny zestaw polityk bezpieczeństwa.

Z jakimi jednostkami akredytowanymi współpracujecie?

Pracujemy z każdą akredytowaną jednostką wybraną przez klienta. Możemy doradzić w wyborze pod kątem doświadczenia w Twoim sektorze i lokalizacji audytorów, ale decyzja należy do Twojej organizacji.

Co po certyfikacji?

Surveillance audits w roku 1. i 2., recertyfikacja w roku 3. Bieżące utrzymanie ISMS najlepiej obsługuje stała funkcja CISO lub jej równoważnik — patrz vCISO. Alternatywnie wspieramy okresowo przy audytach nadzorczych.

Umów konsultację pre-audit

Bezpłatna konsultacja wstępna — przyjrzymy się obecnemu stanowi i zaproponujemy plan.

Umów konsultację