ISO/IEC 27110 to międzynarodowa norma dostarczająca wytycznych dotyczących ram cyberbezpieczeństwa (Cybersecurity Framework). Standard opisuje koncepcje, zasady i język cyberbezpieczeństwa stosowany przez organizacje każdej wielkości. Multicert wspiera wdrożenie ISO/IEC 27110 oraz integruje tę normę z certyfikowanymi systemami zarządzania bezpieczeństwem informacji ISO 27001.
Co to jest ISO/IEC 27110 i czego dotyczy?
ISO/IEC 27110:2021 określa ramy koncepcyjne cyberbezpieczeństwa — zestaw definicji, zasad i struktury działań ochronnych stosowanych w systemach informacyjnych i teleinformatycznych. Norma stanowi bazę terminologiczną i strukturalną dla innych standardów z rodziny cyberbezpieczeństwa i jest w pełni spójna z ISO/IEC 27001.
Standard obejmuje pięć kluczowych funkcji: Identyfikacja (Identify), Ochrona (Protect), Wykrywanie (Detect), Reagowanie (Respond) i Odzyskiwanie (Recover). Ta struktura jest zgodna z amerykańskim NIST Cybersecurity Framework i coraz szerzej stosowanym podejściem do zarządzania ryzykiem cybernetycznym, wymaganym przez dyrektywę NIS2 i sektor finansowy.
ISO/IEC 27110 nie jest normą certyfikacyjną — stanowi wytyczne i ramy pojęciowe wspierające wdrożenie certyfikowanego ISO 27001 oraz dostosowanie do wymogów NIS2, DORA i innych regulacji cyberbezpieczeństwa.
Korzyści z wdrożenia ISO/IEC 27110
✔Gotowość na NIS2 i DORA — ustandaryzowana struktura cyberbezpieczeństwa ułatwia spełnienie wymogów dyrektywy NIS2 i rozporządzenia DORA w sektorze finansowym
✔Spójny język bezpieczeństwa — wspólne definicje i koncepcje ułatwiają komunikację wewnątrz organizacji i z partnerami zewnętrznymi
✔Integracja z ISO 27001 — ramy ISO/IEC 27110 uzupełniają i wzmacniają certyfikowany system zarządzania bezpieczeństwem informacji
✔Ustrukturyzowane zarządzanie ryzykiem — pięć funkcji cyberbezpieczeństwa zapewnia kompleksowe pokrycie zagrożeń — od identyfikacji po odzyskiwanie
✔Lepsza reakcja na incydenty — jasne procedury Respond i Recover skracają czas reakcji i ograniczają skutki ataków cybernetycznych
✔Wiarygodność wobec klientów — udokumentowane ramy cyberbezpieczeństwa budują zaufanie partnerów biznesowych i instytucji publicznych
Dla kogo jest ISO/IEC 27110?
ISO/IEC 27110 jest kierowana do organizacji, które zarządzają ryzykiem cybernetycznym, wdrażają ISO 27001 lub dostosowują się do wymogów NIS2 i DORA.
Sektor finansowy i ubezpieczeniowy — banki, firmy ubezpieczeniowe i fintech objęte rozporządzeniem DORA mają obowiązek wdrożenia ram zarządzania ryzykiem ICT; ISO/IEC 27110 stanowi ustrukturowaną podstawę tych ram.
Operatorzy usług kluczowych i dostawcy usług cyfrowych objęci dyrektywą NIS2 — energetyka, transport, infrastruktura cyfrowa, administracja, ochrona zdrowia — korzystają z ISO/IEC 27110 jako struktury cyberbezpieczeństwa wymaganej przez KRI i ustawę o KSC.
Firmy technologiczne i IT budujące systemy, usługi chmurowe i aplikacje, które muszą udokumentować dojrzałe podejście do cyberbezpieczeństwa wobec klientów korporacyjnych.
Organizacje posiadające ISO 27001, które chcą rozszerzyć i ustandaryzować podejście do cyberzagrożeń w sposób spójny z międzynarodowymi ramami.
Jak przebiega wdrożenie ISO/IEC 27110 w Multicert?
1
Analiza luk i ocena gotowości. Bezpłatna analiza obecnego stanu cyberbezpieczeństwa w organizacji względem pięciu funkcji ISO/IEC 27110 (Identify, Protect, Detect, Respond, Recover). Identyfikacja luk i priorytetów.
2
Mapowanie na wymagania regulacyjne. Powiązanie funkcji ISO/IEC 27110 z wymogami NIS2, DORA, KSC lub ISO 27001. Określenie, które kontrole wymagają dokumentacji, a które wdrożenia lub wzmocnienia.
3
Opracowanie procedur i polityk. Przygotowanie lub aktualizacja polityk bezpieczeństwa, procedur reagowania na incydenty i planów odtwarzania w oparciu o strukturę ISO/IEC 27110. Dokumentacja spójna z wymaganiami audytów NIS2 i DORA.
4
Szkolenia i świadomość personelu. Warsztaty dla kadry IT i zarządczej z zakresu cyberbezpieczeństwa opartego na ISO/IEC 27110. Budowanie kultury bezpieczeństwa i gotowości na incydenty.
5
Integracja z ISO 27001 i audyt. Włączenie ram ISO/IEC 27110 do istniejącego lub planowanego ISMS. Audyt wewnętrzny potwierdzający dojrzałość wdrożenia i gotowość do certyfikacji ISO 27001.
Chcesz wdrożyć ramy cyberbezpieczeństwa i spełnić wymogi NIS2 lub DORA? Skontaktuj się z nami.
Bezpłatna konsultacja Koszt wdrożenia ISO/IEC 27110
Zakres i koszt wdrożenia zależy od wielkości organizacji, liczby systemów i stanu obecnego cyberbezpieczeństwa. Firmy posiadające już ISO 27001 mogą rozszerzyć istniejącą dokumentację o ramy ISO/IEC 27110 przy niższym nakładzie pracy. Bezpłatna analiza i wycena w ciągu 24 godzin.
FAQ — ISO/IEC 27110 Cyberbezpieczeństwo
Co to jest ISO/IEC 27110?
ISO/IEC 27110:2021 to norma określająca ramy koncepcyjne cyberbezpieczeństwa — definicje, zasady i pięć funkcji (Identify, Protect, Detect, Respond, Recover) stanowiących podstawę dla programów cyberbezpieczeństwa w organizacjach. Nie jest normą certyfikacyjną, lecz wytyczną wspierającą wdrożenie ISO 27001 i dostosowanie do regulacji NIS2 i DORA.
Czym ISO/IEC 27110 różni się od ISO 27001?
ISO 27001 to certyfikowalna norma systemu zarządzania bezpieczeństwem informacji (ISMS). ISO/IEC 27110 to wytyczne dotyczące ram cyberbezpieczeństwa — nie podlega certyfikacji, ale dostarcza struktury (5 funkcji) uzupełniającej ISO 27001 w obszarze cyberzagrożeń. Obie normy można wdrażać równolegle.
Czy ISO/IEC 27110 jest wymagane przez NIS2?
Dyrektywa NIS2 wymaga wdrożenia „odpowiednich środków zarządzania ryzykiem cyberbezpieczeństwa”, obejmujących m.in. zarządzanie incydentami i ciągłość działania. ISO/IEC 27110 dostarcza ustrukturowaną bazę do spełnienia tych wymogów, choć norma sama w sobie nie jest wymagana — liczy się faktyczna zgodność z NIS2.
Czym są pięć funkcji cyberbezpieczeństwa ISO/IEC 27110?
Norma opisuje pięć funkcji: Identify (identyfikacja aktywów i ryzyk), Protect (wdrożenie zabezpieczeń), Detect (wykrywanie incydentów), Respond (reagowanie na incydenty) i Recover (odtwarzanie po incydentach). To ta sama struktura co amerykański NIST Cybersecurity Framework, z którym ISO/IEC 27110 jest spójne.
Czy ISO/IEC 27110 dotyczy również DORA?
Tak. Rozporządzenie DORA (Digital Operational Resilience Act) obowiązujące instytucje finansowe od stycznia 2025 roku wymaga udokumentowanych ram zarządzania ryzykiem ICT i odporności cyfrowej. ISO/IEC 27110 dostarcza strukturę kompatybilna z wymaganiami DORA w zakresie identyfikacji ryzyk, ochrony, wykrywania, reagowania i odtwarzania.
Ile trwa wdrożenie ISO/IEC 27110?
Wdrożenie ram cyberbezpieczeństwa ISO/IEC 27110 trwa zwykle 1–3 miesiące w zależności od wielkości organizacji i stanu obecnego zabezpieczeń. Firmy posiadające ISO 27001 mogą przeprowadzić integrację szybciej — w 3–6 tygodni.
Czy małe firmy mogą wdrożyć ISO/IEC 27110?
Tak. ISO/IEC 27110 jest skalowalna i dostosowywana do rzeczywistej złożoności organizacji. Małe firmy mogą wdrożyć uproszczone ramy obejmujące kluczowe funkcje cyberbezpieczeństwa bez rozbudowanej dokumentacji korporacyjnej.