Przewodnik po normach ISO serii 27000

Rodzina norm ISO/IEC 27000 to rozbudowany ekosystem standardów wspierających projektowanie, wdrażanie, utrzymanie i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z PN-EN ISO/IEC 27001:2023. Opracowywana przez International Organization for Standardization (ISO) oraz International Electrotechnical Commission (IEC), obejmuje nie tylko wymagania certyfikacyjne, lecz także normy wspierające zarządzanie ryzykiem, prywatność, bezpieczeństwo chmury, sektory regulowane, metody pomiaru, wytyczne audytowe oraz dokumenty interpretacyjne.

Co istotne, rodzina ta wykracza poza „czyste” 27001 – obejmuje również normy powiązane (np. z obszaru zarządzania ryzykiem czy ciągłości działania), które pomagają w prawidłowej analizie i implementacji wymagań.

Status dokumentów – znaczenie praktyczne

Status	Znaczenie
IS	Pełnoprawna norma
TS	Specyfikacja techniczna
TR	Raport techniczny
DIS	Projekt normy
FDIS	Projekt końcowy
CD	Committee Draft
WD	Working Draft
AWI	Approved Work Item

I. RDZEŃ SYSTEMU (Fundament SZBI)

Podstawy i terminologia

ISO/IEC 27000:2018 – słownik i przegląd rodziny 27000

Wymagania i zabezpieczenia

ISO/IEC 27001:2022 – wymagania (jedyna norma certyfikacyjna)
- PN-EN ISO/IEC 27001:2023 – polska norma okładkowa (wersja EN)
ISO/IEC 27001:2022/Amd 1:2024 – zmiany klimatyczne
- PN-EN ISO/IEC 27001:2023-08/A1:2025-02 – polska norma okładkowa (wersja EN)
ISO/IEC 27002:2022 – wytyczne do zabezpieczeń (załącznik A)

Wdrożenie i utrzymanie

ISO/IEC 27003:2017 – Wytyczne w zakresie SZBI
- ISO/IEC CD 27003.2 – Wytyczne w zakresie SZBI (w przygotowaniu)
ISO/IEC 27004:2016 – Monitorowanie, pomiary, analiza i ocena SZBI
ISO/IEC 27005:2022 – Wytyczne dotyczące zarządzania ryzykiem związanym z bezpieczeństwem informacji
ISO 31000:2018 – zarządzanie ryzykiem

II. AUDYT I CERTYFIKACJA

Normy wspierające audytorów i jednostki certyfikujące – określają jak oceniać zgodność z 27001 i 27002.

ISO/IEC 27006-1:2024 – Wymagania dotyczące organów zapewniających audyt i certyfikację systemów zarządzania bezpieczeństwem informacji, część 1: Ogólna
ISO/IEC 27007:2020 – Wytyczne dotyczące audytu systemów zarządzania bezpieczeństwem informacji
ISO/IEC TS 27008:2019 – Wytyczne dotyczące oceny środków kontroli bezpieczeństwa informacji
- ISO/IEC CD TS 27008.3 – Wytyczne dotyczące oceny środków kontroli bezpieczeństwa informacji (w przygotowaniu)

III. ŁAD KORPORACYJNY I INTEGRACJA SYSTEMOWA

~~ISO/IEC 27009:2020~~ – Sektorowe zastosowanie normy ISO/IEC 27001 — Wymagania (Wycofana w 2020)
ISO/IEC 27013:2021 – Wytyczne dotyczące zintegrowanego wdrożenia norm ISO/IEC 27001 i ISO/IEC 20000-1
- ISO/IEC 27013:2021/Amd 1:2024 – Wytyczne dotyczące zintegrowanego wdrożenia norm ISO/IEC 27001 i ISO/IEC 20000-1
ISO/IEC 27014:2020 – Zarządzanie bezpieczeństwem informacji
ISO/IEC TR 27016:2014 – Ekonomia organizacyjna
~~ISO/IEC TR 27023~~ – Mapowanie poprawionych wydań norm ISO/IEC 27001 i ISO/IEC 27002 (Wycofana w 2015)

IV. SEKTOROWE I MIĘDZYORGANIZACYJNE

ISO/IEC 27010:2015 – Zarządzanie bezpieczeństwem informacji w komunikacji międzysektorowej i międzyorganizacyjnej
ISO/IEC 27011:2024 – Kontrola bezpieczeństwa informacji oparta na normie ISO/IEC 27002 dla organizacji telekomunikacyjnych
ISO/IEC 27017:2015 – Kodeks postępowania dotyczący kontroli bezpieczeństwa informacji oparty na normie ISO/IEC 27002 dla usług w chmurze
ISO/IEC 27018:2025 – Wytyczne dotyczące ochrony danych osobowych (PII) w chmurach publicznych pełniących funkcję podmiotów przetwarzających dane osobowe
ISO/IEC 27019:2024 – Kontrola bezpieczeństwa informacji dla branży energetycznej

V. CIĄGŁOŚĆ I CYBERBEZPIECZEŃSTWO OPERACYJNE

ISO/IEC 27031:2025 – gotowość ICT do wsparcia ciągłości
ISO/IEC 27032:2023 – Wytyczne dotyczące bezpieczeństwa w Internecie
ISO/IEC 27035 – zarządzanie incydentami
- ISO/IEC 27035-1:2023 – Część 1: Zasady i procesy
- ISO/IEC 27035-2:2023 – Część 2: Wytyczne dotyczące planowania i przygotowania się do reagowania na incydenty
- ISO/IEC 27035-3:2020 – Część 3: Wytyczne dotyczące działań w zakresie reagowania na incydenty związane z technologiami informacyjno-komunikacyjnymi
- ISO/IEC 27035-4:2024 – Część 4: Koordynacja

VI. BEZPIECZEŃSTWO SIECI

ISO/IEC 27033-1:2015 – Część 1: Przegląd i pojęcia
ISO/IEC 27033-2:2012 – Część 2: Wytyczne dotyczące projektowania i wdrażania zabezpieczeń sieciowych
ISO/IEC 27033-3:2010 – Część 3: Scenariusze sieci referencyjnych — zagrożenia, techniki projektowania i kwestie związane z kontrolą
ISO/IEC 27033-4:2014 – Część 4: Zabezpieczanie komunikacji między sieciami za pomocą bram bezpieczeństwa
ISO/IEC 27033-5:2013 – Część 5: Zabezpieczanie komunikacji w sieciach za pomocą wirtualnych sieci prywatnych (VPN)
ISO/IEC 27033-6:2016 – Część 6: Zabezpieczanie dostępu do bezprzewodowej sieci IP
ISO/IEC 27033-7:2023 – Część 7: Wytyczne dotyczące bezpieczeństwa wirtualizacji sieci

VII. BEZPIECZEŃSTWO APLIKACJI

ISO/IEC 27034-1:2011 – Część 1: Przegląd i pojęcia
ISO/IEC 27034-2:2015 – Część 2: Ramy normatywne organizacji
ISO/IEC 27034-3:2018 – Część 3: Proces zarządzania bezpieczeństwem aplikacji
ISO/IEC 27034-5:2017 – Część 5: Struktura danych protokołów i zabezpieczeń aplikacji
- ISO/IEC TS 27034-5-1:2018 – Część 5-1: Protokoły i struktura danych kontroli bezpieczeństwa aplikacji, schematy XML
ISO/IEC 27034-6:2016 – Część 6: Studium przypadków
ISO/IEC 27034-7:2018 – Część 7: Ramy prognozowania pewności

VIII. RELACJE Z DOSTAWCAMI

ISO/IEC 27036-1:2021 – Część 1: Przegląd i pojęcia
ISO/IEC 27036-2:2022 – Część 2: Wymagania
ISO/IEC 27036-3:2023 – Część 3: Wytyczne dotyczące bezpieczeństwa łańcucha dostaw sprzętu, oprogramowania i usług
ISO/IEC 27036-4:2016 – Część 4: Wytyczne dotyczące bezpieczeństwa usług w chmurze

IX. INFORMATYKA ŚLEDCZA I DOWODY CYFROWE

ISO/IEC 27037:2012 – Wytyczne dotyczące identyfikacji, gromadzenia, pozyskiwania i zabezpieczania dowodów cyfrowych
ISO/IEC 27038:2014 – Specyfikacja dotycząca redagowania cyfrowego
ISO/IEC 27039:2015 – Wybór, wdrożenie i obsługa systemów wykrywania i zapobiegania włamaniom (IDPS)
ISO/IEC 27040:2024 – Bezpieczeństwo przechowywania danych
ISO/IEC 27041:2015 – Wytyczne dotyczące zapewnienia odpowiedniości i adekwatności metod badania zdarzeń
ISO/IEC 27042:2015 – Wytyczne dotyczące analizy i interpretacji dowodów cyfrowych
ISO/IEC 27043:2015 – Zasady i procesy dochodzenia w sprawie incydentów

X. E-DISCOVERY (elektroniczne ujawnianie dowodów)

ISO/IEC 27050-1:2019 – Część 1: Przegląd i pojęcia
ISO/IEC 27050-2:2018 – Część 2: Wytyczne dotyczące zarządzania i administrowania elektronicznym ujawnianiem dowodów
ISO/IEC 27050-3:2020 – Część 3: Kodeks postępowania w zakresie elektronicznego ujawniania dowodów
ISO/IEC 27050-4:2021 – Część 4: Gotowość techniczna

XI. IOT I CYBERRESILIENCE

ISO/IEC 27400:2022 – Wytyczne
ISO/IEC 27402:2023 – Podstawowe wymagania dotyczące urządzeń IoT
ISO/IEC 27403:2024 – Wytyczne dotyczące automatyki domowej IoT

XII. PRYWATNOŚĆ I OCHRONA DANYCH

ISO/IEC 27701:2025 – Wymagania i wytyczne dot. zarządzania prywatnością
ISO/IEC TR 27550:2019 – Inżynieria prywatności dla procesów cyklu życia systemu
ISO/IEC 27551:2021 – Wymagania dotyczące uwierzytelniania podmiotów opartego na atrybutach, którego nie można powiązać
ISO/IEC 27553-1:2022 – Wymagania dotyczące bezpieczeństwa i prywatności w zakresie uwierzytelniania za pomocą danych biometrycznych na urządzeniach mobilnych
ISO/IEC 27554:2024 – Zastosowanie normy ISO 31000 do oceny ryzyka związanego z tożsamością
ISO/IEC 27555:2021 – Wytyczne dotyczące usuwania danych osobowych
- ISO/IEC CD 27555 – Wytyczne dotyczące usuwania danych osobowych (w przygotowaniu)
ISO/IEC 27557:2022 – Zastosowanie normy ISO 31000:2018 w zarządzaniu ryzykiem prywatności w organizacji
ISO/IEC 27559:2022 – Ramy zwiększające prywatność poprzez anonimizację danych
ISO/IEC TS 27560:2023 – Struktura informacji dotyczących rejestru zgód
- ISO/IEC CD 27560 – Struktura rejestrów przetwarzania danych osobowych (PII) (w przygotowaniu)
ISO/IEC 27561:2024 – Model operacyjny prywatności i metoda inżynierii (POMME)
ISO/IEC 27562:2024 – Wytyczne dotyczące prywatności w usługach fintech
ISO/IEC TR 27563:2023 – Bezpieczeństwo i prywatność w zastosowaniach sztucznej inteligencji – najlepsze praktyki
ISO/IEC 27565:2026 – Wytyczne dotyczące ochrony prywatności oparte na dowodach zerowej wiedzy
ISO/IEC TS 27570:2021 – Wytyczne dotyczące prywatności w inteligentnych miastach

XIII. NORMY OGÓLNE CYBERSECURITY

ISO/IEC TS 27100:2020 – Przegląd i pojęcia
ISO/IEC 27102:2019 – Wytyczne dotyczące stosowania normy ISO/IEC 27001 i powiązanych norm w zakresie wsparcia ubezpieczeń cybernetycznych
- ISO/IEC WD 27102 – Wytyczne dotyczące stosowania normy ISO/IEC 27001 i powiązanych norm w zakresie wsparcia ubezpieczeń cybernetycznych (w przygotowaniu)
ISO/IEC TS 27103:2026 – Wytyczne dotyczące stosowania norm ISO i IEC w ramach cyberbezpieczeństwa
ISO/IEC AWI TR 27109 – Edukacja i szkolenia w zakresie cyberbezpieczeństwa (w przygotowaniu)
ISO 22301:2019 – system zarządzania ciągłością działania (norma niezwiązana bezpośrednio z rodziną ISO 27000)
- ISO 22301:2019/Amd 1:2024 – zmiany klimatyczne
ISO/IEC TS 27110:2021 – Wytyczne dotyczące opracowywania ram bezpieczeństwa cybernetycznego

XIV. Inne normy

ISO/IEC 27021:2017 – Wymagania kompetencyjne dla specjalistów ds. systemów zarządzania bezpieczeństwem informacji
ISO/IEC TS 27022:2021 – Wytyczne dotyczące procesów systemu zarządzania bezpieczeństwem informacji
ISO/IEC CD TR 27024 – Wykorzystanie norm ISO/IEC 27001, ISO/IEC 27002 i innych norm bezpieczeństwa informacji przez rząd i organy regulacyjne