Deklaracja zakresu to certyfikat
"Posiadamy certyfikację ISO 27001" nie jest stwierdzeniem typu tak/nie dotyczącym firmy. Rzeczywiste roszczenie zawarte jest w deklaracji zakresu na certyfikacie i jest ono weryfikowalne.

„Posiadamy certyfikację ISO 27001” jest traktowane jako stwierdzenie binarne zarówno przez sprzedawców, którzy je wypowiadają, jak i przez większość nabywców, którzy je słyszą. Tak jednak nie jest. Certyfikat nie potwierdza certyfikacji całej firmy; potwierdza certyfikację systemu zarządzania, którego granice sama firma określiła, a autorytatywnym oświadczeniem dotyczącym tych granic, jakie kiedykolwiek zobaczy nabywca, jest zakres określony w dokumentach certyfikacyjnych — zdanie, które, naszym zdaniem, niewielu nabywców zatrzymuje się, aby je przeczytać. Dwie organizacje mogą posiadać certyfikaty wydane przez ten sam akredytowany organ, wyświetlać ten sam znaczek i składać zupełnie różne oświadczenia: jedna ma certyfikowany system, który opracowuje i obsługuje produkt kupowany przez jej klientów, druga zaś certyfikowała funkcję IT w centrali, z którą klient nigdy nie będzie miał styczności. Obie są „posiadające certyfikację ISO 27001”. Tylko jeden z tych certyfikatów bezpośrednio potwierdza, że sprzedawana rzecz znajduje się wewnątrz zakresu.
Nasze stanowisko: deklaracja zakresu to certyfikat, w tym sensie, że niesie istotne roszczenie, jakie dokument składa, a zespoły, które określają zakres, pytając: „jaki jest najmniejszy system, który możemy obronić przed audytorem”, optymalizują niewłaściwą zmienną. Zakres jest decyzją budowania zaufania klientów, do której przypadkiem dołączony jest audyt, a nie decyzją dotyczącą kosztów audytu, która przypadkiem jest widoczna dla klientów.
Standard celowo jest liberalny
ISO/IEC 27001:2022 (trzecie wydanie, opublikowane 2022-10-25; poprawka dotycząca działań na rzecz klimatu Amd 1:2024, opublikowana 2024-02-23, pozostawia klauzulę niezmienioną) zajmuje się określaniem zakresu w klauzuli 4.3. Organizacja określa „granice i stosowalność” systemu ISMS w celu ustalenia jego zakresu, a przy tym musi wziąć pod uwagę kwestie zewnętrzne i wewnętrzne z klauzuli 4.1, wymagania zainteresowanych stron z klauzuli 4.2 oraz „interfejsy i zależności między działalnością wykonywaną przez organizację a tą wykonywaną przez inne organizacje”. Zakres musi być dostępny jako udokumentowane informacje. To cała klauzula.
Zauważ, czego w niej nie ma. Nic nie wymaga, aby zakres obejmował całą jednostkę prawną, każde biuro lub główny produkt. Standard celowo pozwala szpitalowi certyfikować swój dział dokumentacji, koncernowi certyfikować jedną spółkę zależną, a firmie programistycznej certyfikować jedną platformę. Ta liberalność jest cechą: sprawia, że certyfikacja jest osiągalna etapami i pozwala organizacjom zapewniać bezpieczeństwo tam, gdzie rzeczywiście występuje ryzyko.
Strona certyfikacyjna systemu następnie podejmuje ważną decyzję w oparciu o tę swobodę. ISO/IEC 17021-1:2015 (opublikowany 2015-06-08), standard, któremu muszą odpowiadać akredytowane jednostki certyfikujące, wymaga w klauzuli 8.2.2(f), aby dokumenty certyfikacyjne określały „zakres certyfikacji w odniesieniu do rodzaju działalności, produktów i usług, odpowiednio do każdego miejsca, bez wprowadzania w błąd lub niejednoznaczności”. ISO/IEC 27006-1:2024 (pierwsze wydanie, opublikowane 2024-03-01) dodaje specyficzne dla ISMS reguły dla tych jednostek. Zamysł projektowy jest jasny: organizacja może wyznaczyć granicę tam, gdzie jest w stanie ją uzasadnić, a w zamian dokumenty certyfikacyjne muszą precyzyjnie i czytelnie określać, gdzie granica się znajduje.
Integralność tej umowy zależy od tego, aby roszczenie podróżowało wraz z granicą, a mechanizm stara się o to: klauzula 8.3 normy ISO/IEC 17021-1 wymaga, aby jednostki certyfikujące regulowały sposób, w jaki ich klienci odnoszą się do certyfikacji i używają znaków, a jednostka certyfikująca może działać przeciwko wprowadzającemu w błąd użyciu. Jednakże deklaracja zakresu znajduje się w dokumentach certyfikacyjnych, podczas gdy główne roszczenie żyje w prezentacjach handlowych, stronach zaufania i jednoliterowych polach w kwestionariuszach, gdzie często jest skracana do „certyfikowany”. Naszym zdaniem luka ta jest egzekwowana nierównomiernie, a stroną, która najprawdopodobniej zauważy ją jako pierwszą, jest nabywca, który rzeczywiście przeczyta certyfikat.
Dlaczego zawężanie zakresu w celu zaliczenia audytu jest racjonalne i gdzie faktycznie zawodzi
Pokusa zawężania zakresu nie wynika z lenistwa; jest to kwestia arytmetyki. Model czasu audytu w normie ISO/IEC 27006-1:2024 (Załącznik C) bazuje na liczbie osób wykonujących pracę pod kontrolą organizacji, a następnie koryguje czynniki takie jak złożoność, lokalizacje i outsourcing, dlatego węższy zakres może zmniejszyć nakład pracy audytowej, choć nie gwarantuje konkretnego skrócenia czasu lub kosztu audytu. Mniej osób i procesów w zakresie generalnie oznacza mniej wywiadów, mniej dokumentów i mniejszy rachunek za wdrożenie, a chaotyczne części organizacji — grupa inżynieryjna z własnym zestawem narzędzi, niedawno przejęta spółka zależna, zespół wsparcia w innej jurysdykcji — są właśnie tymi, których włączenie do zakresu jest najkosztowniejsze. Według naszych doświadczeń zakres jest jednym z najskuteczniejszych dźwigni kosztowych w całym projekcie i często jest uruchamiany właśnie z tego powodu.
I może zadziałać, w wąskim sensie: wąsko określony system ISMS może zdać swój audyt na własnych warunkach. Jednostka certyfikująca ocenia zgodność zdefiniowanego przez Ciebie systemu, a nie ambicję definicji. Certyfikat dla „systemu ISMS wspierającego funkcję IT w centrali” może zostać wydany w dobrej wierze przez kompetentnego audytora, ponieważ jest prawdziwym oświadczeniem dotyczącym realnego systemu.
Klauzula jednak wywiera większą presję, niż zespoły się spodziewają. Klauzula 4.3 nie pozwala na wyznaczenie granic w próżni. Według klauzuli 4.2 klienci będą często istotnymi zainteresowanymi stronami, a ich stosowne wymagania dotyczące bezpieczeństwa mogą bezpośrednio wpływać na to, gdzie powinna znajdować się granica; punkt (c) z kolei zmusza Cię do uwzględnienia interfejsów i zależności, dlatego certyfikowana funkcja zależna od wyłączonej organizacji inżynieryjnej posiada interfejs, który dokumentacja musi uwzględnić. Zakres, który wyklucza produkt kupowany przez klientów, nie jest automatycznie nielegalny. Ale jest to stanowisko, które wymaga obrony: analiza zainteresowanych stron musi ustalić, z udokumentowaną podstawą, że wymagania klientów nie mają zastosowania lub są spełnione poza systemem ISMS, a według naszych doświadczeń, jak mocno audytorzy naciskają na 4.3(b) i (c), bywa różnie. Obrona jest testowana w momencie, gdy ktoś przeczyta to zdanie.
Zdanie jest teraz weryfikowalne
Czytanie zdania staje się łatwiejsze. Baza danych IAF CertSearch, opracowana i prowadzona przez Quality Trade jako wspólny partner ISO i IAF, wspiera weryfikację uczestniczących akredytowanych certyfikatów, w tym ich statusu i zakresu, z zastrzeżeniem ograniczeń dotyczących zakresu i poufności: nie każdy certyfikat jest przesyłany, a rekordy mogą być oznaczone jako poufne. (Osobno IAF i ILAC zostały zastąpione przez jedną organizację, Global Accreditation Cooperation Incorporated, która rozpoczęła pełną działalność 2026-01-01.) Dane certyfikacyjne jednak konsolidują się: ISO Survey, coroczne zestawienie liczby certyfikatów ISO, od 2024 roku (opublikowane w 2025) korzysta z danych CertSearch, które wykazały 96 709 ważnych certyfikatów ISO/IEC 27001 wobec 48 671 z 2023 roku. Te dwie liczby nie są bezpośrednio porównywalne, a różnica nie dowodzi, że liczba certyfikacji się podwoiła: wynik z 2023 roku został obciążony brakiem udziału chińskiego organu akredytacyjnego, a metodyka gromadzenia danych uległa zmianie między edycjami. Konsolidacja to właśnie ta zmiana metodyki, jeden wspólny system bazodanowy, który coraz częściej stoi za zarówno weryfikacją, jak i oficjalnym zestawieniem.
Tymczasem strona popytowa się profesjonalizuje. Według naszych doświadczeń kwestionariusze bezpieczeństwa coraz częściej proszą o sam certyfikat, a nie o stwierdzenie typu tak/nie, a deklaracja zakresu na nim się znajduje. Analityk ds. zakupów, który ją przeczyta, nie potrzebuje wiele czasu, aby zauważyć, że platforma SaaS będąca przedmiotem oceny nie jest w rozsądny sposób objęta określonymi działalnościami, usługami i granicami.
Oto asymetria, która sprawia, że jest to decyzja dotycząca zaufania, a nie zgodności. Dostawca bez certyfikatu i z uczciwym oświadczeniem „pracujemy nad certyfikacją platformy” znajduje się w pozycji, z której można się odbudować. Dostawca, który powiedział „posiadamy certyfikację ISO 27001”, a którego certyfikat — po sprawdzeniu — obejmuje funkcję back-office w innym budynku, jest w znacznie słabszej sytuacji, ponieważ nabywcy rzadko klasyfikują to odkrycie jako subtelność. Może to brzmieć jak zapożyczone zapewnienie, próba, aby znaczek pokrywał więcej, niż dokumenty certyfikacyjne potwierdzają, a gdy nabywca odczyta to w ten sposób, każda inna odpowiedź w kwestionariuszu dziedziczy wątpliwość. Wąski zakres był legalny. To wrażenie budowane na jego podstawie w całej firmie było tym, co nie przetrwało czytelnika, a ten właśnie się pojawił.
Określanie zakresu, który coś znaczy
Naprawa polega na odwróceniu kierunku ćwiczenia. Określanie zakresu w celu zaliczenia audytu zaczyna się od schematu organizacyjnego i pyta, co można wyciąć. Określanie zakresu, który coś znaczy, zaczyna się od zdania, które musisz móc wręczyć klientowi, czegoś w rodzaju „system ISMS obejmujący rozwój, działanie i wsparcie [produktu, który kupują]”, i działa wstecz, aby określić osoby, procesy, lokalizacje i dostawców, do których to zdanie Cię zobowiązuje. Klauzula 4.3(c) wykonuje wówczas pożyteczną pracę za Ciebie zamiast przeciwko Tobie: śledzenie interfejsów i zależności na zewnątrz od usługi skierowanej do klienta to dokładnie sposób, w jaki znajdziesz to, co należy uwzględnić w granicach.
To nie jest argument, że każdy zakres musi pochłonąć całą firmę. Naprawdę odrębne linie biznesowe, z rzeczywistą organizacyjną i techniczną separacją, są legalnymi wyłączeniami, a etapowa certyfikacja pozostaje sensowna. Test, który byśmy zaproponowali dla każdego wyłączenia, jest symetryczny z problemem zaufania: czy mógłbyś wyjaśnić wyłączenie, w jednym akapicie, klientowi, którego dane znajdują się najbliżej granicy, i czy wyjaśnienie przetrwałoby jego następne pytanie? Wyłączenie, które przejdzie ten test („dzielba produktów przemysłowych nie współdzieli żadnych systemów, personelu ani danych z platformą”), zostało określone z powodów strukturalnych. Wyłączenie, które nie przejdzie („inżynieria była poza zakresem w tym cyklu”), wskazuje na zakres podyktowany zaliczeniem audytu, a akapit, którego nie możesz napisać, mówi Ci, do czego wyłączenie tak naprawdę służyło.
Etapowość, przeprowadzona uczciwie, podporządkowuje się tej samej regule: etap pierwszy powinien już obejmować usługę skierowaną do klienta, ponieważ to jest roszczenie, które rynek usłyszy. Według naszych doświadczeń poszerzanie znaczącego zakresu w późniejszych cyklach jest mniej zakłócającym kierunkiem podróży i brzmi jak dojrzałość. Naprawianie pustego zakresu jest trudniejsze: według ISO/IEC 17021-1:2015 (klauzula 9.6.4.1) jednostka certyfikująca przegląda wniosek i określa, jaką aktywność audytową wymaga rozszerzenie, które może być połączone z audytem nadzoru, a dokumentacja certyfikacyjna jest aktualizowana dopiero po przyznaniu rozszerzenia. Okres pośredni, w którym certyfikat mówi jedno, a klienci uwierzyli w coś innego, jest najkosztowniejszy.
Zasada, którą warto zachować
Certyfikat certyfikuje swój zakres i nic więcej. Standard przyznaje realną swobodę w określaniu granic, a jedyne nieprzetargowe wymaganie systemu certyfikacyjnego, które ma tu znaczenie, z klauzuli 8.2.2 normy ISO/IEC 17021-1, polega na tym, aby granica była określona bez wprowadzania w błąd lub niejednoznaczności. Stosowanie tego samego testu do własnych roszczeń dotyczących certyfikatu nie jest obowiązkiem regulacyjnym. Jest to po prostu jedyna strategia określania zakresu, która nadal wygląda dobrze po tym, jak potencjalny klient przeczyta certyfikat, a czytanie to staje się coraz łatwiejsze.
Wyznaczanie granicy, którą możesz obronić w obu pomieszczeniach — sali audytu i rozmowie handlowej — to praca zgodna z klauzulą 4.3: zainteresowane strony, zależności i udokumentowane zdanie, które przetrwa obie lektury. To właśnie taki rodzaj pytań dotyczących zakresu ISMS Copilot został stworzony, aby z Tobą przeanalizować, wymaganie po wymaganiu. Znaczek jest identyczny na każdym certyfikacie. Zdanie pod nim to produkt.
Powiązane artykuły

CRA to problem 2026, a nie 2027
Obowiązek raportowania wynikający z rozporządzenia CRA (Cyber Resilience Act) wchodzi w życie 11 września 2026 r. – ponad rok przed wymogami zasadniczymi. Zespoły planujące prace wstecz od terminu oznakowania CE w 2027 r. układają je w niewłaściwej kolejności.

Macierz ryzyka 5x5 przechodzi audyty, ale nie krytyczną analizę
ISO 27001 nigdy nie wymaga mapy cieplnej. To, czego standard rzeczywiście wymaga (spójne, trafne i porównywalne wyniki), jest testem, któremu większość macierzy ryzyka nie jest w stanie sprostać.

Opóźnienie dotyczące systemów wysokiego ryzyka w AI Act nie jest odroczeniem
UE przesunęła terminy dotyczące systemów wysokiego ryzyka na grudzień 2027 i sierpień 2028. Powód, dla którego to zrobiono, powinien zmienić sposób, w jaki to interpretujesz: to ostrzeżenie dotyczące zakresu, a nie luz dla Twojego harmonogramu.
