Bezpłatna konsultacja
Audyt wewnętrzny ISO 27001

Audyt wewnętrzny ISO 27001 —
obiektywna ocena
przed certyfikacją

Audyt wewnętrzny to wymóg normy ISO 27001 i kluczowy element przygotowania do audytu certyfikującego. Przeprowadzany przez niezależnego specjalistę — bez konfliktu interesów, z konkretnym raportem i planem działań korygujących.

Zapytaj o wycenę → Zobacz proces audytu

Audyt wewnętrzny — kluczowe fakty

Wymóg normy ISO 27001 klauzula 9.2
Kiedy wymagany Przed certyfikacją i cyklicznie
Audytor Niezależny od SZBI
Certyfikat prowadzącego Lead Auditor BSI/IRCA
Wynik Raport + plan działań korygujących
💡 Wycena indywidualna zależna od zakresu i wielkości organizacji.
Korzyści

Co daje audyt wewnętrzny ISO 27001

🔍

Kompleksowa ocena SZBI

Dokładna analiza wszystkich elementów systemu bezpieczeństwa — technicznych, organizacyjnych i proceduralnych — pod kątem zgodności z ISO 27001.

🎯

Wykrycie luk przed audytorem certyfikującym

Identyfikacja niezgodności zanim zrobi to audytor certyfikujący — bez nieprzyjemnych niespodzianek podczas certyfikacji.

📋

Konkretny raport i plan działań

Spersonalizowane rekomendacje i plan działań korygujących — nie ogólne obserwacje, ale konkretne kroki do wdrożenia.

⚖️

Zapobieganie ryzykom prawnym i finansowym

Audyt pomaga uniknąć kosztów naruszenia bezpieczeństwa — kar finansowych, strat reputacyjnych i odpowiedzialności regulacyjnej.

🔄

Dostosowanie do zmieniających się zagrożeń

Regularne audyty pozwalają na bieżąco weryfikować, czy system bezpieczeństwa nadąża za nowymi zagrożeniami i zmianami w organizacji.

🤝

Wiarygodność wobec klientów i partnerów

Przeprowadzany cyklicznie audyt wewnętrzny pokazuje, że certyfikat ISO 27001 jest realnie utrzymywany — nie tylko zdobyty raz i zapomniany.

Jak przebiega audyt

Proces audytu wewnętrznego ISO 27001

Ustandaryzowany proces zgodny z wymaganiami normy — od przygotowania po raport i działania poaudytowe.

1

Przygotowanie do audytu

min. 5 dni przed

Spotkanie organizacyjne z pełnomocnikiem SZBI, ustalenie zakresu i harmonogramu, weryfikacja dostępności zasobów i dokumentacji.

  • Opracowanie planu i programu audytu
  • Weryfikacja zakresu i potwierdzenie dostępności audytowanych
  • Przegląd raportów z poprzednich audytów
  • Przygotowanie list kontrolnych
2

Spotkanie otwierające

Dzień audytu

Formalne otwarcie audytu z udziałem kluczowego personelu — omówienie zakresu, celów, metodologii i oczekiwanych wyników.

  • Rejestracja obecności i przedstawienie audytora
  • Omówienie zakresu, celów i procesu audytu
  • Przegląd rejestru niezgodności i działań korygujących
  • Potwierdzenie terminu spotkania zamykającego
3

Przeprowadzenie audytu

Serce procesu

Szczegółowa ocena wdrożonego SZBI — analiza dokumentacji, rozmowy z personelem, obserwacja działań, weryfikacja zgodności z normą.

  • Analiza procedur operacyjnych i instrukcji pod kątem ISO 27001
  • Zbieranie obiektywnych dowodów (rozmowy, dokumenty, obserwacja)
  • Dokumentowanie niezgodności i obszarów do poprawy
  • Weryfikacja krzyżowa informacji z różnych źródeł
4

Spotkanie zamykające i raport

Po audycie

Prezentacja wyników audytu dla kluczowego personelu, omówienie niezgodności i rekomendacji. Następnie dostarczenie pisemnego raportu.

  • Prezentacja wszystkich stwierdzonych niezgodności
  • Klasyfikacja: niezgodności poważne, drobne, możliwości poprawy, mocne strony
  • Odpowiedzi na pytania i wyjaśnienie wątpliwości
  • Raport z audytu — numer, data, ustalenia, rekomendacje
5

Działania poaudytowe

Opcjonalnie

Analiza raportu, wdrożenie działań korygujących i monitorowanie ich skuteczności. Możemy wesprzeć wdrożenie wybranych rekomendacji jako osobna usługa.

  • Plan działań korygujących dla stwierdzonych niezgodności
  • Monitorowanie wdrożenia i ocena skuteczności
  • Aktualizacja systemu i dokumentacji
  • Przegląd wyników na spotkaniu zarządzania
Dlaczego PushSec

Audyt prowadzony przez praktyka, nie teoretyka

Audytor z certyfikatem Lead Auditor ISO 27001 — wie czego szukają jednostki certyfikujące i jak to uniknąć przed właściwym audytem.

⚖️

Neutralna i obiektywna ocena

Jako zewnętrzny audytor nie mamy konfliktu interesów wobec Twojego SZBI. Norma wymaga niezależności — zapewniamy ją strukturalnie, nie tylko deklaratywnie.

🎓

Lead Auditor BSI/IRCA — wiemy czego szukają audytorzy

Certyfikat Lead Auditor oznacza, że znamy proces certyfikacji od drugiej strony. Audyt wewnętrzny przygotowujemy pod realne wymagania jednostek certyfikujących.

💡

Konkretne doradztwo, nie tylko lista niezgodności

Po audycie oferujemy profesjonalne wsparcie przy implementacji rekomendacji — wiemy jak wdrożyć poprawki, nie tylko jak je zidentyfikować.

💰

Niższy koszt niż utrzymanie audytora wewnętrznego

Płacisz tylko za wykonaną pracę — bez kosztów utrzymania kompetencji audytora na co dzień, bez czasu pracownika oderwanego od bieżących zadań.

Profesjonalne podejście i bardzo dobra znajomość normy. Audyt wewnętrzny przeprowadzony sprawnie, raport z konkretnymi wskazówkami — bez lania wody.

D
DS Stream Audyt i doradztwo ISO 27001
ISO 27001 · Audyt wewnętrzny

Usługa przeprowadzona zgodnie ze standardami audytu wewnętrznego, z należytą starannością. Doświadczenie, wiedza i komunikatywność audytora w pełni zasługuje na rekomendację.

P
Pactum Audyt wewnętrzny ISO 27001
Audyt wewnętrzny
FAQ

Najczęściej zadawane pytania

Przed pierwszym audytem certyfikującym wymagany jest pełny audyt wewnętrzny całego SZBI. Po certyfikacji większość jednostek certyfikujących akceptuje audyty wewnętrzne przeprowadzane w cyklu rocznym, w ramach trzyletniego okresu recertyfikacji. Norma wymaga, aby organizacja opracowała program audytu określający, które obszary są audytowane i kiedy.

Nie jest to wymóg normy — ale norma wymaga, aby audytor był niezależny od audytowanego systemu. Oznacza to, że osoba wdrażająca SZBI nie może audytować własnej pracy. Dlatego wiele organizacji zleca audyt na zewnątrz — to prostsze i daje gwarancję niezależności. Dodatkową korzyścią jest wiedza zewnętrznego audytora o wymaganiach jednostek certyfikujących.

Czas zależy od zakresu audytu, wielkości organizacji i liczby lokalizacji. Dla małej lub średniej firmy z jedną lokalizacją audyt wraz z raportem zajmuje zwykle 1–3 dni robocze. Wliczamy w to czas na zbieranie dowodów, rozmowy z personelem i sporządzenie raportu z ustaleniami.

Szczegółowy raport audytowy zawierający: numer referencyjny i datę audytu, zestawienie stwierdzonych niezgodności (poważnych i drobnych), możliwości poprawy, mocne strony systemu oraz rekomendacje. Oferujemy też pomoc przy wdrożeniu wybranych działań korygujących jako osobną usługę.

Audytor certyfikujący sprawdzi, czy przeprowadzasz audyty wewnętrzne zgodnie z harmonogramem i czy masz dowody audytowe (raporty, niezgodności). Sprawdzi też, czy wyniki audytów są przeglądane na przeglądach zarządzania. Audyt wewnętrzny przeprowadzony przez zewnętrznego specjalistę eliminuje ryzyko przeoczenia niezgodności, które mogłyby zaskoczyć na certyfikacji.

Raport pozostaje ważny do czasu kolejnego audytu zaplanowanego w harmonogramie — lub do momentu istotnych zmian w systemie, które mogłyby wpłynąć na stan bezpieczeństwa (np. nowe procesy, systemy IT, zmiany organizacyjne). Takie zmiany mogą wymagać przeprowadzenia audytu poza regularnym harmonogramem.

Zakres może obejmować cały SZBI lub wybrane procesy — zależnie od potrzeb, złożoności organizacji i poziomu zgodności. Przed certyfikacją wymagany jest audyt całego systemu. W kolejnych latach możliwe jest audytowanie wybranych obszarów w ramach rocznego programu audytu, tak aby w cyklu trzyletnim objąć cały system.

Następny krok

Zapytaj o wycenę audytu

Koszt zależy od zakresu i wielkości organizacji — wyceniamy indywidualnie. Pierwsza rozmowa bezpłatna.

Zapytaj o wycenę → Formularz kontaktowy
✉️ info@pushsec.pl 📞 (+48) 780 519 553