Dlaczego na to pytanie nie ma jednej odpowiedzi
„Ile kosztuje ISO 27001?” to jedno z najczęstszych pytań na pierwszej rozmowie z klientem. I jedno z tych, na które uczciwa odpowiedź brzmi: zależy.
Zależy od wielkości firmy, sektora, liczby pracowników objętych zakresem, poziomu dojrzałości obecnych zabezpieczeń i od tego, czy angażujesz zewnętrznego konsultanta, czy próbujesz zrobić to wewnętrznie.
Ten artykuł rozkłada koszt na części składowe i podaje realne przedziały dla małych firm startupów SaaS, FinTech, firm do 50 pracowników.
Struktura kosztów co się składa na całość
Całkowity koszt ISO 27001 to suma czterech elementów:
1. Doradztwo / wdrożenie
Konsultant prowadzi projekt: ocena luk (gap analysis), budowa dokumentacji, zarządzanie ryzykiem, przygotowanie do audytu. To zwykle największa pozycja.
2. Audyt certyfikujący (jednostka certyfikująca)
Dwuetapowy audyt zewnętrzny przegląd dokumentacji (Etap 1) i audyt na miejscu (Etap 2). Koszt zależy od wielkości firmy i wybranej jednostki certyfikującej.
3. Audyty nadzoru (rok 2. i 3.)
Certyfikat jest ważny 3 lata. W tym czasie wymagane są coroczne audyty nadzoru mniejsze, ale obowiązkowe.
4. Koszty wewnętrzne
Czas Twojego zespołu, szkolenia pracowników, ewentualne narzędzia IT (systemy do zarządzania incydentami, SIEM, narzędzia GRC). Często niedoszacowane w planowaniu budżetu.
Przedziały kosztów dla małej firmy
Poniższe liczby dotyczą firmy do ~50 pracowników, zakres wdrożenia obejmuje główną działalność operacyjną.
Doradztwo zewnętrzne
Przy współpracy z zewnętrznym konsultantem lub firmą doradczą koszt projektu wdrożeniowego (od gap analysis do przygotowania do audytu) wynosi zazwyczaj 25 000–60 000 zł netto dla małej firmy. Zakres obejmuje dokumentację, zarządzanie ryzykiem, audyt wewnętrzny i asystę przy audycie certyfikującym.
Stawki dzienne konsultantów ISO 27001 w Polsce kształtują się w przedziale 1 500–3 500 zł/dzień netto, w zależności od doświadczenia i zakresu usług.
Audyt certyfikujący
Według danych rynkowych z 2025 r., audyt certyfikujący (Etap 1 + Etap 2) dla małej firmy kosztuje od 8 000 do 14 000 zł netto. Ceny różnią się między jednostkami certyfikującymi oferty warto porównywać, ale nie tylko pod kątem ceny, lecz też akredytacji i doświadczenia w sektorze.
(Źródło: certiget.pl, dane rynkowe 2025) – Polecamy te stronę pomoże wam przy wyborze jednostki certyfikującej.
Audyty nadzoru (rok 2. i rok 3.)
Coroczne audyty nadzoru kosztują zazwyczaj 3 500–5 000 zł netto rocznie przy tym samym profilu firmy.
Łączny koszt trzyletniego cyklu certyfikacji (sam audyt zewnętrzny, bez doradztwa) wynosi zatem orientacyjnie 15 000–24 000 zł netto.
(Źródło: certiget.pl, dane rynkowe 2025)
Całkowity koszt projektu – orientacyjne zestawienie
| Element | Przedział (netto) |
|---|---|
| Doradztwo / wdrożenie | 50 000 – 100 000 zł |
| Audyt certyfikujący (rok 1.) | 8 000 – 14 000 zł |
| Audyty nadzoru (rok 2. + rok 3.) | 7 000 – 10 000 zł |
| Łącznie (3-letni cykl) | ~65 000 – 124 000 zł |
Koszty wewnętrzne (czas zespołu, szkolenia, narzędzia) mogą dodać 10 000–30 000 zł w zależności od skali firmy i stanu wyjściowego.
Co najbardziej wpływa na koszt
Stan wyjściowy (dojrzałość bezpieczeństwa)
Firma, która ma już wdrożone podstawowe polityki, zarządzanie dostępami i historię zarządzania incydentami, zapłaci mniej za doradztwo niż firma zaczynająca od zera. Gap analysis na początku projektu pozwala precyzyjnie ocenić, jak duży jest ten dystans.
Zakres certyfikacji
Im węższy zakres (np. jeden produkt, jedno biuro, określona usługa), tym mniejszy koszt. Zakres można ograniczyć ale musi być uzasadniony i spójny z rzeczywistą działalnością.
Wybór konsultanta
Ceny na rynku są zróżnicowane. Tańsze oferty często oznaczają szablonową dokumentację nieprzystosowaną do Twojego modelu biznesowego co zwiększa ryzyko niezgodności na audycie lub systemu, który istnieje tylko na papierze.
Wybór jednostki certyfikującej
Różnice między ofertami jednostek mogą sięgać 30–40% przy tym samym zakresie. Jednostki akredytowane przez PCA lub równoważne organy zagraniczne (np. UKAS, DAkkS) są powszechnie uznawane przez klientów i partnerów.
Zaangażowanie wewnętrzne
Im więcej pracy wykona Twój zespół (zbieranie dowodów, wdrażanie polityk, komunikacja z pracownikami), tym mniejszy nakład pracy konsultanta i niższy koszt projektu.
Kiedy warto zacząć od gap analysis
Gap analysis to skrócona ocena stanu obecnego identyfikacja, co firma ma, czego jej brakuje i jaki jest szacunkowy zakres prac do certyfikacji. Trwa zazwyczaj 1–3 dni robocze i kosztuje ułamek pełnego projektu wdrożeniowego.
Daje Ci trzy rzeczy:
- realistyczny budżet projektu dopasowany do Twojej firmy (nie widełki z artykułu),
- listę priorytetów co wymaga pracy przed audytem,
- dokument, który możesz pokazać zarządowi lub inwestorowi jako podstawę decyzji.
Dla wielu firm gap analysis to pierwszy krok, który warto zrobić przed podpisaniem umowy z jakimkolwiek konsultantem na pełne wdrożenie.
Ile trwa wdrożenie?
Dla małej firmy realistyczny horyzont to 7–12 miesięcy od startu projektu do certyfikatu. Przyspieszone wdrożenia (4–6 miesięcy) są możliwe, ale wymagają bardzo wysokiego zaangażowania zespołu wewnętrznego i zwykle wyższych kosztów konsultingu.
Jak możemy pomóc
Nasz zespół realizuje wdrożenia ISO 27001 dla startupów SaaS i firm FinTech od gap analysis, przez budowę dokumentacji i zarządzanie ryzykiem, po asystę przy audycie certyfikującym.
Oferujemy też samodzielny Gap Analysis jako pierwszy krok bez zobowiązania do pełnego projektu.
Podane przedziały kosztów mają charakter orientacyjny i opierają się na danych rynkowych dostępnych w 2025 r. Koszt konkretnego projektu zależy od indywidualnej sytuacji firmy i wymaga wyceny po ocenie zakresu.
