ISO/IEC 27001 – od certyfikatu do wartości biznesowej

Decyzja o wdrożeniu ISO/IEC 27001 w Soneta dojrzewała od dłuższego czasu i wynikała z kilku równoległych czynników. Z jednej strony obserwujemy wyraźny trend rynkowy – bezpieczeństwo, a szczególnie bezpieczeństwo informacji, stało się w ostatnich latach jednym z kluczowych obszarów funkcjonowania przedsiębiorstw. Rosnące wymagania regulacyjne, takie jak RODO czy ustawa o krajowym systemie cyberbezpieczeństwa, znacząco podniosły świadomość organizacji w zakresie odpowiedzialności za dane. Dziś nikt już nie traktuje bezpieczeństwa jako dodatku – to fundament działania firmy technologicznej.

W naszym przypadku decyzja miała charakter zarówno strategiczny, jak i bardzo pragmatyczny. Po pierwsze, jako jeden z wiodących producentów systemów ERP w Polsce doszliśmy do wniosku, że musimy jeszcze mocniej uporządkować i podnieść poziom bezpieczeństwa naszych wewnętrznych procesów. ISO 27001 okazało się do tego idealnym punktem wyjścia – daje jasną strukturę, precyzyjne wymagania i mierzalne kryteria.

Po drugie, bardzo wyraźnie widzieliśmy, że oczekiwania klientów – zwłaszcza tych średnich i dużych – idą w kierunku formalnego potwierdzenia, że dostawca oprogramowania nie tylko tworzy bezpieczny produkt, ale również sam funkcjonuje w sposób bezpieczny. Dla producenta ERP to naturalna odpowiedzialność: obsługujemy newralgiczne procesy biznesowe tysięcy firm, więc ochrona informacji musi być wpisana w nasze DNA.

Nie bez znaczenia była również presja rynkowa. Coraz częściej w przetargach pojawiał się wymóg posiadania certyfikowanego systemu zarządzania bezpieczeństwem informacji. Uzyskanie certyfikatu stało się więc dla nas nie tylko potwierdzeniem wysokich standardów, ale też realnym czynnikiem biznesowym – otwiera nam drzwi do projektów, w których bezpieczeństwo dostawcy jest jednym z kluczowych kryteriów wyboru.

Trudno o „zaskoczeniu” – raczej o wyzwaniach, które okazały się dużo bardziej wielowymiarowe niż początkowo przypuszczaliśmy. Jednym z kluczowych wniosków było to, że sam certyfikat ISO/IEC 27001 nie jest celem samym w sobie. Od początku najważniejsze było dla nas stworzenie jednolitego, spójnego i w pełni udokumentowanego systemu zarządzania bezpieczeństwem informacji, który realnie porządkuje pracę organizacji. Certyfikat jest naturalną konsekwencją dobrze przeprowadzonego procesu – ale nie jego sednem.

Dużym wyzwaniem okazała się skala procesów powiązanych z bezpieczeństwem. Część z nich funkcjonowała wcześniej jako wiedza nieformaln – ludzie wiedzieli, „jak to się u nas robi”, jednak brakowało jednolitej dokumentacji. ISO wymaga uporządkowania tego obszaru, więc musieliśmy zamienić niepisane praktyki w formalne procedury, instrukcje i polityki. To właśnie wtedy najlepiej widać, jak duże znaczenie ma dokumentacja jako narzędzie budowania wspólnego standardu pracy.

Kolejny element to analiza ryzyka. Choć teoretycznie wszyscy wiemy, na czym polega, to dopiero jej systemowe przejście uświadamia, jak wiele zależności i potencjalnych zagrożeń dotyczy codziennych procesów – nie tylko tych informatycznych. Zrozumienie, że bezpieczeństwo to nie incydent, ale ciągłe monitorowanie ryzyk i ich kontrolowanie, było ważnym krokiem w dojrzałości naszego systemu.

Bardzo istotny był również wymiar organizacyjny. Często panuje przekonanie, że ISO 27001 to „projekt IT” – wdrożenie kilku systemów i konfiguracji, które rozwiążą problem. To mit. Okazało się, że powodzenie projektu wymaga zaangażowania pracowników z bardzo różnych obszarów: HR, księgowości, marketingu, administracji, sprzedaży. Każdy z działów ma styczność z informacją, a więc każdy musi być częścią systemu bezpieczeństwa.

Dlatego dużą wagę przykładaliśmy do przekonania pracowników, dlaczego w ogóle wdrażamy SZBI. Naturalne jest, że informacje o nowych obowiązkach, dokumentach, procedurach mogą być odbierane z dystansem – to normalna reakcja na zmianę. Od początku staraliśmy się więc budować podejście praktyczne: szkolenia w formie wideo, sesje Q&A, pokazywanie konkretnych przykładów, jak ISO pomaga w pracy, a nie ją utrudnia. Staraliśmy się, by ISO było „ludzkie” i bliskie realnym potrzebom.

W efekcie największym „zaskoczeniem” nie była złożoność wymagań normy – jej byliśmy świadomi. Raczej to, że wdrożenie ISO 27001 tak mocno wpływa na kulturę organizacyjną, na sposób myślenia o bezpieczeństwie i na codzienne nawyki pracowników. I to właśnie ten aspekt – budowanie świadomej, odpowiedzialnej organizacji – jest dla nas jedną z najważniejszych wartości całego projektu.

Wdrożenie ISO 27001 było dla nas przede wszystkim okazją do uporządkowania i ustrukturyzowania procesów, które już w organizacji funkcjonowały – często całkiem dobrze, ale nie zawsze w sposób w pełni formalny i spójny. To nie było tak, że przed wdrożeniem nic nie działało. Mieliśmy solidny fundament, wiele obszarów było opisanych, a część praktyk była wynikiem wieloletniego doświadczenia zespołów. ISO pozwoliło nam zebrać to w jedną całość, nadać strukturę i wprowadzić jednolite standardy.

Co ważne, wdrożenie systemu nie było rewolucją polegającą na zmianie sposobu pracy o 180 stopni. Wręcz przeciwnie – naszym celem było takie dostosowanie istniejących dobrych praktyk do wymagań normy, aby nie zaburzyć codziennej pracy, ale ją usprawnić. Oczywiście były procesy, które musieliśmy zbudować od zera, i tam zakres pracy był większy. Finalnie jednak udało się stworzyć spójny system, który realnie wspiera organizację.

Jednym z kluczowych obszarów, który zyskał na wdrożeniu, jest formalizacja i jasny podział odpowiedzialności. ISO 27001 wymaga precyzyjnego określenia ról, obowiązków oraz punktów decyzyjnych. To znacznie poprawiło przejrzystość działań, przewidywalność procesów oraz komunikację pomiędzy działami.

Dużo większy nacisk położyliśmy również na zarządzanie incydentami bezpieczeństwa. Stworzyliśmy dedykowany system do zgłaszania wszelkich nieprawidłowości, co pozwala nam reagować szybciej, skuteczniej i bardziej przewidywalnie. Dzięki temu mamy pełniejszy obraz tego, co dzieje się w organizacji, możemy śledzić trendy, analizować przyczyny i eliminować problemy u źródła.

Kolejnym istotnym efektem jest lepsza kontrola dostępu i zwiększona świadomość pracowników w zakresie bezpieczeństwa. System wymusił uporządkowanie wielu obszarów związanych z uprawnieniami, cyklicznymi przeglądami i oceną zasadności dostępów. To przekłada się na większe bezpieczeństwo, ale też mniejszy chaos organizacyjny.

ISO wpłynęło również pozytywnie na komunikację między działami. Wdrożenie systemu pokazało, że bezpieczeństwo informacji to nie jest temat „tylko IT”. To obszar, który dotyczy HR, księgowości, marketingu, sprzedaży, serwisu – wszystkich procesów, w których przetwarzana jest informacja. Dzięki wspólnemu projektowi i cyklicznym spotkaniom zespoły zaczęły ze sobą rozmawiać o bezpieczeństwie w bardziej praktyczny sposób, a współpraca wyraźnie się poprawiła.

Podsumowując: wdrożenie ISO 27001 dało nam większą przewidywalność działań, lepszą kontrolę nad procesami, formalne zarządzanie incydentami, jasny podział odpowiedzialności i bardziej świadomą organizację. To inwestycja, która uporządkowała nasze procesy i realnie zwiększyła bezpieczeństwo, a nie tylko spełniła wymagania normy.

Z perspektywy naszych klientów certyfikat ISO 27001 ma ogromne znaczenie, ponieważ systemy klasy ERP – takie jak enova365 – należą do najbardziej krytycznych zasobów informacyjnych w firmach. To narzędzia, które przetwarzają dane finansowe, kadrowe, księgowe, operacyjne – często dane wrażliwe, których utrata lub naruszenie może mieć bardzo poważne konsekwencje biznesowe, prawne i wizerunkowe. Dlatego klienci słusznie oczekują, że producent oprogramowania będzie traktował bezpieczeństwo absolutnie priorytetowo.

Z roku na rok widzimy, że zarówno obecni, jak i potencjalni klienci mają coraz większą świadomość zagrożeń, w szczególności związanych z cyberatakami. Pytania o bezpieczeństwo stały się stałym elementem rozmów handlowych, audytów dostawców czy oceny ryzyka w organizacjach. Producent ERP musi być w stanie wykazać, że nie tylko tworzy bezpieczny produkt, ale również wewnętrznie działa zgodnie z najlepszymi praktykami. Właśnie dlatego enova365 od wielu lat poddawana jest regularnym testom bezpieczeństwa – zarówno zewnętrznym, jak i wewnętrznym. Aktywnie monitorujemy podatności, reagujemy na zagrożenia i stale podnosimy poziom ochrony.

Wdrożenie i certyfikacja systemu zarządzania bezpieczeństwem informacji jeszcze bardziej nas uwiarygadniają. Certyfikat ISO 27001 to dla klientów jasny sygnał, że Soneta traktuje bezpieczeństwo strategicznie, procesowo i w sposób zgodny z uznanym międzynarodowym standardem. To nie jest deklaracja – to potwierdzenie spełnienia bardzo konkretnych wymagań, regularnie weryfikowanych przez niezależnych audytorów.

Co szczególnie ważne, widzimy, że certyfikat wspiera nas w rozwoju biznesu. Otwiera drzwi do nowych grup klientów – zwłaszcza większych organizacji i instytucji stawiających mocno na weryfikację bezpieczeństwa swoich dostawców. Widzimy wzrost zaufania zarówno do samego systemu enova365, jak i do Soneta jako partnera technologicznego.

ISO 27001 nie jest dla naszych klientów symbolem – jest praktycznym dowodem, że bezpieczeństwo traktujemy poważnie. W branży ERP to kluczowy element przewagi konkurencyjnej i fundament długoterminowego zaufania.

Zdecydowanie tak – świadomość pracowników w obszarze bezpieczeństwa informacji wyraźnie wzrosła, choć, jak wspominałem wcześniej, nie był to proces łatwy. Naturalną reakcją na zmianę jest opór, zwłaszcza gdy w grę wchodzą nowe obowiązki, procedury czy konieczność zapoznania się z dokumentacją. Dlatego od początku zależało nam na tym, aby przełożyć formalne wymagania ISO na język zrozumiały i praktyczny.

Ważne było dla nas pokazanie pracownikom, po co właściwie to wszystko robimy. Zamiast mówić o paragrafach i zapisach normy, pokazywaliśmy konkretne przykłady z ich codziennej pracy:

– co wynika z zasad bezpiecznego korzystania ze służbowego telefonu,
– dlaczego samodzielne instalowanie aplikacji na laptopie służbowym może być ryzykowne,
– jak proste działania użytkownika wpływają na całą organizację.

To podejście sprawdziło się znakomicie. Szkolenia, komunikacja wewnętrzna, sesje pytań i odpowiedzi – ale przede wszystkim jasne wyjaśnienie, dlaczego wdrażamy SZBI – były kluczem do zbudowania odpowiedzialności indywidualnej.

Warto również podkreślić rolę kultury organizacyjnej. Mocno postawiliśmy na budowanie kultury zgłaszania incydentów i nieprawidłowości. Pracownicy wiedzą dziś, że zgłoszenie potencjalnego problemu nie jest donosem, ale elementem dbania o bezpieczeństwo całej firmy. Temu właśnie służy m.in. nasz dedykowany system do zgłaszania incydentów.

Ogromną rolę odegrało również najwyższe kierownictwo. W wielu firmach bywa tak, że zarząd „każe wdrożyć ISO”, ale sam działa poza zasadami – wtedy pracownicy natychmiast tracą motywację, bo widzą, że wymagania obowiązują tylko „na dole”. W Soneta było inaczej. Zarząd był aktywnie zaangażowany w cały proces wdrożenia SZBI, a przykład idący z góry zdecydowanie ułatwił pracownikom przyjęcie nowych zasad i zrozumienie sensu całego systemu.

Podsumowując: świadomość pracowników wzrosła nie dzięki dokumentom czy formalizmom, ale dzięki praktycznemu podejściu, konsekwentnej komunikacji i realnemu zaangażowaniu całej organizacji – od zespołów operacyjnych po najwyższe kierownictwo.

Przygotowanie do audytu certyfikującego ISO 27001 to proces, do którego trzeba podejść bardzo metodycznie. W naszym przypadku powołany został dedykowany zespół projektowy, którego miałem przyjemność być liderem. Od początku blisko współpracowaliśmy również z firmą All for One Poland, która wspierała nas merytorycznie i pomagała przełożyć wymagania normy na realia naszej organizacji.

Prace projektowe polegały na regularnych spotkaniach, podczas których krok po kroku identyfikowaliśmy procesy funkcjonujące w Soneta i mapowaliśmy je na wymagania normy ISO 27001. Efektem tych działań było stworzenie kompletnej dokumentacji – polityk, procedur, instrukcji oraz rejestrów – ale także skonstruowanie procesów, które w niektórych obszarach należało zbudować od podstaw.

Kluczową rolę w przygotowaniach odegrali właściciele aktywów oraz poszczególnych procesów biznesowych. To oni najlepiej rozumieli specyfikę swojej pracy, dlatego wspólnie analizowaliśmy ryzyka, testowaliśmy założenia i opracowywaliśmy adekwatne środki bezpieczeństwa. Gdy pracowaliśmy nad procesami HR, zaangażowany był HR Manager; przy obszarach finansowych – dział księgowości; przy procesach technicznych – zespoły IT i deweloperskie. Wdrożenie SZBI wymagało współpracy całej organizacji, nie tylko jednego działu.

Bardzo ważnym etapem przygotowań był audyt wewnętrzny, który przeprowadziliśmy w listopadzie 2025 roku. Jego celem było sprawdzenie, jak nasze założenia funkcjonują w praktyce – czy procedury są zrozumiałe, czy procesy działają, czy dokumentacja odpowiada stanowi faktycznemu. Audyt wewnętrzny okazał się dla nas niezwykle wartościowy, bo pokazał miejsca wymagające dopracowania. Dzięki temu mogliśmy przeprowadzić korekty, ponownie przetestować procedury i upewnić się, że system funkcjonuje spójnie.

W kolejnym kroku przygotowywaliśmy się już bezpośrednio do audytu certyfikującego, który odbył się w styczniu 2026 roku. Na tym etapie istotna była również współpraca z jednostką certyfikującą – omówienie harmonogramu, zakresu audytu, sposobu weryfikacji procesów czy przygotowanie zespołów, które miały być zaangażowane w rozmowy z audytorami.

Dzięki bardzo dobremu przygotowaniu, szerokiemu zaangażowaniu pracowników oraz wsparciu All for One Poland audyt przebiegł sprawnie, a jego wynik okazał się sukcesem dla naszej organizacji. Dzisiaj możemy powiedzieć, że profesjonalne przygotowania były jednym z kluczowych czynników powodzenia całego projektu.

Powołanie mnie na kierownika projektu wdrożenia ISO 27001, a następnie na pełnomocnika SZBI było dla mnie ogromnym wyróżnieniem, ale też jednym z największych wyzwań zawodowych ostatnich lat. Zarząd powierzył mi odpowiedzialność za projekt o dużym znaczeniu strategicznym dla firmy, a ja jednocześnie uczyłem się normy i jej praktycznego stosowania „na żywym organizmie”. To doświadczenie dało mi kilka kluczowych wniosków, które nazwałbym moimi lessons learned.

Po pierwsze – absolutnie nie odkładać porządkowania dokumentacji. Dokumentacja jest fundamentem ISO 27001. Jeśli zostawi się ją „na później”, projekt zaczyna się rozjeżdżać. W naszym przypadku sprawdziło się podejście systematyczne: regularne spotkania zespołu, omawianie statusów, przegląd tego, co zostało zrobione, co nie zostało i dlaczego. Można powiedzieć, że metodyka zwinna, którą stosujemy na co dzień w organizacji, odegrała dużą rolę również w tym projekcie.

Po drugie – silne zaangażowanie zarządu od samego początku. W wielu organizacjach ISO jest wdrażane „odgórnie”, ale bez realnego udziału najwyższego kierownictwa. Efekt jest łatwy do przewidzenia: pracownicy nie czują sensu działań, traktują je jako narzucony obowiązek, a motywacja spada. U nas było inaczej – zarząd był zaangażowany, uczestniczył w procesie i dawał przykład. To kluczowe, bo jeśli przykład idzie z góry, pracownicy dużo łatwiej angażują się w zmianę.

Po trzecie – precyzyjne zdefiniowanie zakresu (scope). ISO 27001 to bardzo szeroka norma i niezwykle ważne jest jasne określenie, czego system ma dotyczyć. Dzięki właściwie zdefiniowanemu scope’owi uniknęliśmy niepotrzebnego komplikowania projektu i mogliśmy skoncentrować się na obszarach naprawdę krytycznych dla naszej działalności.

Po czwarte – nie traktować ISO jako projektu „IT-only”. To jedna z najważniejszych lekcji. Choć intuicyjnie kojarzy się bezpieczeństwo z działem IT, to w rzeczywistości SZBI dotyczy całej organizacji. HR, księgowość, marketing, sprzedaż, administracja – każdy z tych obszarów pracuje z informacjami i każdy musi być włączony w system. Bez ich zaangażowania wdrożenie nie byłoby możliwe.

I po piąte – warto współpracować z doświadczonym partnerem. My takim partnerem mieliśmy szczęście dysponować. All for One Poland odegrało ogromną rolę w przygotowaniu nas do wdrożenia i audytu. Nie mieliśmy wcześniej doświadczenia z projektami tego typu, a ich wiedza i praktyczne spojrzenie były nieocenione. Jestem przekonany, że bez tego wsparcia proces byłby dużo trudniejszy i bardziej rozciągnięty w czasie.

Podsumowując: ISO 27001 to nie tylko projekt wdrożeniowy, ale przede wszystkim zmiana sposobu myślenia o bezpieczeństwie informacji w organizacji. Najważniejsze wnioski to systematyczność, pełne wsparcie kierownictwa, jasny scope, szerokie zaangażowanie pracowników i współpraca z ekspertami. To właśnie te elementy zadecydowały o sukcesie naszego wdrożenia.

Współpracę z All for One Poland oceniam bardzo wysoko. Tak jak wspomniałem wcześniej – bez wsparcia wdrożenie ISO 27001 byłoby dla nas znacznie trudniejsze. To partner, który nie tylko zna normę, ale przede wszystkim potrafi przełożyć ją na praktyczne działania dopasowane do realiów firmy.

All for One wniósł do projektu uporządkowaną metodykę, dzięki której proces wdrożenia przebiegał konsekwentnie i bez chaosu. Od samego początku było jasne, co, kiedy i w jaki sposób powinno powstać. Mocno doceniliśmy również ich doświadczenie w realizacji podobnych projektów. W wielu momentach mogliśmy korzystać z ich praktycznych wskazówek – nie podręcznikowych, ale wynikających z realnych wdrożeń w innych organizacjach.

Dużą wartością było merytoryczne wsparcie w analizie ryzyka, które jest jednym z najważniejszych elementów ISO 27001. Wspólnie przechodziliśmy przez proces identyfikacji zagrożeń, oceny ryzyk i planowania odpowiednich działań. Dzięki temu mogliśmy spojrzeć na nasze procesy bardziej systemowo i precyzyjnie określić, co faktycznie jest krytyczne z punktu widzenia bezpieczeństwa informacji.

Ważnym etapem była także współpraca przy przygotowaniu do audytu certyfikującego. All for One pomogło nam przejść przez checklisty, przygotować zespoły, upewnić się, że rozumiemy oczekiwania audytorów i odpowiednio potrafimy przedstawić działanie systemu. To podejście bardzo ułatwiło cały proces – i jak pokazał rezultat, było skuteczne.

Co szczególnie cenne – All for One nie tworzyło nadmiernej biurokracji. Zachowano pragmatyczne podejście: koncentrowaliśmy się na tym, co realnie przynosi wartość, a nie na generowaniu dokumentów „dla dokumentów”. To sprawiło, że system jest nie tylko zgodny z normą, ale też praktyczny i wygodny w codziennym funkcjonowaniu.

Podsumowując: All for One było dla nas partnerem merytorycznym, organizacyjnym i doradczym. Połączenie uporządkowanej metodyki, bogatego doświadczenia, pragmatycznego podejścia oraz świetnej współpracy osobistej w dużej mierze przesądziło o sukcesie naszego projektu.

Firmom IT, które dopiero zastanawiają się nad wdrożeniem ISO 27001, mogę polecić kilka kluczowych zasad wynikających z naszego doświadczenia. Przede wszystkim – nie traktować tego jako projektu „na papierze”. ISO 27001 to nie dokumentacja, którą można odłożyć na półkę, ale realny system zarządzania bezpieczeństwem informacji. Jeśli firma od początku potraktuje to jako obowiązek formalny, efekt będzie powierzchowny i nietrwały.

Warto koncentrować się na budowie systemu, a nie „produkcji dokumentów”. Dokumenty są istotne, ale tylko wtedy, gdy odzwierciedlają rzeczywiste procesy. Jeśli coś nie działa w praktyce, sam zapis tego nie naprawi. W naszym przypadku dobrze sprawdziło się pragmatyczne podejście i dostosowanie normy do realiów firmy, a nie odwrotnie.

Drugą ważną radą jest angażowanie ludzi od początku. ISO 27001 nie jest projektem IT – to projekt całej organizacji. HR, księgowość, marketing, sprzedaż, administracja, serwis – każdy dział ma udział w bezpieczeństwie informacji. Im wcześniej pracownicy rozumieją sens zmian i ich rolę w systemie, tym łatwiej przebiega wdrożenie. Komunikacja, edukacja i jasne tłumaczenie „dlaczego” są absolutnie kluczowe.

Równocześnie trzeba myśleć o bezpieczeństwie długofalowo. ISO 27001 nie kończy się na certyfikacie – to ciągłe doskonalenie, monitoring, analiza ryzyka, przeglądy okresowe, audyty. Jeśli firma nie jest gotowa myśleć o bezpieczeństwie jako o stałym procesie, a nie jednorazowej inicjatywie, wdrożenie straci swoją wartość.

I wreszcie – zachęcam, by patrzeć na ISO 27001 jako element strategii, a nie tylko compliance. Dla firm IT bezpieczeństwo jest fundamentem zaufania klientów i przewagi konkurencyjnej. Certyfikat jest potwierdzeniem dojrzałości organizacji, ale to właśnie sposób pracy, świadomość pracowników i uporządkowane procesy stanowią o realnej wartości systemu.

Podsumowując: budować system, a nie dokumenty; angażować ludzi; myśleć strategicznie; nie odkładać prac; i jeśli to możliwe – współpracować z doświadczonym partnerem. Te elementy były kluczowe dla sukcesu naszego wdrożenia.

Rozmawiała: Mirosława Huk, All for One Poland

Robert Czuła, Prezes Zarządu Soneta, podsumowuje: „Jednym z filarów strategii Soneta jest bezpieczeństwo informacji – traktowane jako integralny element jakości oferowanych rozwiązań, zaufania klientów oraz stabilnego rozwoju organizacji. Firma dba o to, aby dane, procesy i systemy były chronione zgodnie z najlepszymi praktykami oraz obowiązującymi standardami. Certyfikat ISO/IEC 27001 jest naszym zobowiązaniem wobec klientów oraz potwierdzeniem dojrzałości organizacyjnej naszej firmy”.