Czy macie referencje?

Tak. Liczba audytów: 47 w 2024 r., 31 w 2025 r. Klienci to instytuty PAN, samorządy, firmy produkcyjne, kancelarie prawne, biura rachunkowe, firmy logistyczne. Referencje pisemne udostępniamy po podpisaniu NDA z naszej strony — większość projektów objęta jest klauzulą poufności klienta. Część rekomendacji jest publiczna (rekomendacja-1.jpg do rekomendacja-7-gmina-kamiensk.jpg na stronie głównej).

Audyt bezpieczeństwa informatycznego — 10 obszarów, raport zgodny z RODO, NIS2, ISO 27001

Niezależny audyt bezpieczeństwa informatycznego firm w całej Polsce. Pokrywamy 10 obszarów technicznych i organizacyjnych — od audytu sieci i serwerów po analizę polityk i łańcucha dostaw. Audytor Wiodący ISO/IEC 27001:2023 + Audytor IT z dyplomem IPI PAN. Raport zgodny z wymaganiami RODO art. 32, NIS2 art. 21, ISO 27001 Annex A. Cennik od 5000 zł netto, raport w 4–8 tygodni.

Krótka odpowiedź — czym jest audyt bezpieczeństwa informatycznego

Audyt bezpieczeństwa informatycznego (audyt bezpieczeństwa IT) to niezależna, kompleksowa ocena stanu zabezpieczeń systemów IT w firmie. W Sztorm IT pokrywamy 10 obszarów: 1) bezpieczeństwo sieci, 2) serwery i systemy operacyjne, 3) aplikacje i bazy danych, 4) dane i klasyfikacja, 5) IAM (kontrola dostępu, MFA, PAM), 6) monitoring i detekcja incydentów, 7) ciągłość działania (BCP/DRP), 8) bezpieczeństwo fizyczne, 9) łańcuch dostaw IT, 10) organizacja (polityki, procedury, świadomość pracowników).

Raport zgodny z 3 standardami — RODO art. 32 (bezpieczeństwo przetwarzania), NIS2 art. 21 (środki zarządzania ryzykiem cybernetycznym), ISO/IEC 27001:2022 (93 kontrole z Annex A). Format: executive summary 1-2 strony dla zarządu + szczegółowa analiza techniczna 30-80 stron z dowodami + plan działań naprawczych z priorytetami + roadmapa wdrożenia 30/60/90 dni. Akceptowany przez UODO, UKE, KNF, akredytowane jednostki certyfikujące.

Cennik 3 pakiety: podstawowy od 5000 zł netto (do 50 stanowisk), rozszerzony od 12 000 zł (do 250 stanowisk + OT + łańcuch dostaw), enterprise od 25 000 zł (250+ stanowisk + pentest + red team + dokumentacja dla regulatora). Czas realizacji: 4-12 tygodni. Bezpłatna konsultacja wstępna 1 godzina, wycena ostateczna w 24 godziny po podpisaniu NDA. Audyt prowadzą Izabela Burzyńska (Audytor Wiodący ISO 27001:2023) i Paweł Burzyński (Audytor IT, IPI PAN). 78 audytów w ostatnich 2 latach.

Ludzie pytają również — audyt bezpieczeństwa informatycznego

Co to jest audyt bezpieczeństwa informatycznego?

Audyt bezpieczeństwa informatycznego (audyt bezpieczeństwa IT) to niezależna ocena stanu zabezpieczeń systemów informatycznych firmy. Sprawdza 10 obszarów: bezpieczeństwo sieci, serwerów i systemów operacyjnych, aplikacji i baz danych, danych i ich klasyfikację, IAM (kontrola dostępu, MFA, PAM), monitoring i detekcję incydentów, ciągłość działania (BCP/DRP), bezpieczeństwo fizyczne, łańcuch dostaw IT oraz organizację (polityki, procedury, świadomość).

Ile kosztuje audyt bezpieczeństwa informatycznego?

Audyt bezpieczeństwa informatycznego w Sztorm IT: pakiet podstawowy od 5000 zł netto (firma do 50 stanowisk), rozszerzony od 12 000 zł (50-250 stanowisk + OT), enterprise od 25 000 zł (250+ stanowisk, infrastruktura krytyczna, wymagana certyfikacja). Pełne testy penetracyjne jako osobny moduł od 8 000 zł netto. Cena zależy od skali, lokalizacji i wymaganego poziomu zgodności.

Czy audyt bezpieczeństwa jest obowiązkowy?

Dla podmiotów objętych dyrektywą NIS2 (18 sektorów: energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa, administracja publiczna i in.) — audyty wewnętrzne i regularne oceny ryzyka są wymogiem. RODO art. 32 wymaga regularnej oceny środków bezpieczeństwa. Dla firm certyfikowanych ISO 27001 — audyt wewnętrzny co najmniej raz w roku.

Czym różni się audyt bezpieczeństwa od testu penetracyjnego?

Audyt to szeroka ocena 10 obszarów — techniczne (skanowanie podatności) + organizacyjne (polityki, procedury, świadomość). Test penetracyjny to wąska, aktywna próba włamania do konkretnego celu (aplikacja webowa, sieć, kompromitacja konta). Pentest jest częścią audytu rozszerzonego/enterprise lub można go zlecić osobno. Audyt = szerokość, pentest = głębokość.

Jak długo trwa audyt bezpieczeństwa informatycznego?

Audyt podstawowy: 4 tygodnie (zbieranie 1-2 tyg, analiza i testy 1-2 tyg, raport 1 tydzień). Audyt rozszerzony: 6 tygodni (+ audyt OT, audyt łańcucha dostaw). Audyt enterprise: 8-12 tygodni (+ testy penetracyjne, red team, dokumentacja dla regulatora). Sam audyt produkcyjny (zbieranie danych on-site i zdalnie) trwa 1-3 tygodnie zależnie od pakietu.

Czy raport audytu jest gotowym dokumentem dla regulatora?

Tak. Raport zawiera sekcje wymagane przez RODO (art. 32 — bezpieczeństwo przetwarzania), NIS2 (art. 21 — środki zarządzania ryzykiem), ISO/IEC 27001:2022 (93 kontrole z Annex A). Format: executive summary dla zarządu + szczegółowa analiza techniczna z dowodami + plan działań naprawczych + roadmapa 30/60/90 dni. Akceptowany przez UODO, UKE, KNF i akredytowane jednostki certyfikujące (DEKRA, BSI, TÜV).

Czy mogę zlecić tylko audyt cząstkowy?

Tak. Klienci często zlecają cząstkowe audyty: tylko audyt sieci (od 3000 zł), tylko audyt serwerów Linux/Windows (od 4000 zł), tylko audyt aplikacji webowej z pentestem (od 8000 zł), tylko audyt polityk i procedur (od 4000 zł), tylko audyt zgodności z NIS2 (od 6000 zł). Pełny audyt 10-obszarowy zaczyna się od 5000 zł — to lepszy stosunek wartości do ceny niż osobne audyty cząstkowe.

Cennik audytu bezpieczeństwa — 3 pakiety

Pakiet	Dla kogo	Cena netto	Czas realizacji
Podstawowy	Firma do 50 stanowisk, 1-3 serwery, 1-2 lokalizacje, jednolita infrastruktura. Pokrycie 10 obszarów audytu.	od 5000 zł	4 tygodnie
Rozszerzony	Firma 50-250 stanowisk, klastry HA, OT/SCADA, do 5 lokalizacji. Dodatkowo audyt łańcucha dostaw, phishing test, skan podatności CIS.	od 12 000 zł	6 tygodni
Enterprise	Firma 250+ stanowisk, infrastruktura krytyczna, klastry rozproszone. Dodatkowo: testy penetracyjne (web/sieć/aplikacje), red team exercise, dokumentacja dla regulatora, wsparcie powdrożeniowe 12 miesięcy.	od 25 000 zł	8–12 tygodni

10 obszarów audytu bezpieczeństwa informatycznego

1. Bezpieczeństwo sieci

Topologia, segmentacja VLAN, polityki firewall, IDS/IPS, monitoring ruchu, VPN (WireGuard/OpenVPN/IPSec), Wi-Fi enterprise (WPA3, 802.1X). Audyt zgodnie z CIS Benchmarks dla Cisco/Fortinet/MikroTik/Ubiquiti.

2. Serwery i systemy operacyjne

Hardening CIS Linux (Debian, Ubuntu LTS, RHEL, Rocky) i Windows Server (2016-2025), patch management, audyt usług krytycznych (DC, Exchange, baz danych), audyt logów (rsyslog, journald, Windows Events), audyt SELinux/AppArmor.

3. Aplikacje i bazy danych

Inwentaryzacja aplikacji business-critical, audyt aktualności (CVE, EOL), audyt licencyjny, audyt baz danych (uprawnienia, szyfrowanie, backup, audit logs, encryption-at-rest). Opcjonalnie pentest aplikacji webowych (OWASP Top 10, OWASP ASVS).

4. Dane i klasyfikacja

Inwentaryzacja danych osobowych (RODO), danych biznesowych, klasyfikacja krytyczności i wrażliwości, audyt szyfrowania (at-rest, in-transit, key management), audyt DLP (Data Loss Prevention), audyt retention policies i archiwizacji.

5. IAM — Identity & Access Management

Audyt RBAC/ABAC, kontroli dostępu, MFA (TOTP/WebAuthn/FIDO2), PAM (Privileged Access Management), polityki haseł, single sign-on (SAML, OIDC, OAuth), zarządzanie cyklem życia kont (joiner-mover-leaver), audyt kont uprzywilejowanych.

6. Monitoring i detekcja

Audyt SIEM (Splunk, ELK, Wazuh, Graylog), korelacja zdarzeń, threat intelligence, EDR/XDR, monitoring usług krytycznych (Zabbix, Prometheus), alerting i procedury eskalacji, czas detekcji (MTTD) i reagowania (MTTR).

7. BCP/DRP — ciągłość działania

Plan ciągłości działania (BCP), plan odzyskiwania po awarii (DRP), audyt backupu (3-2-1, immutability, air-gapped), testy restore, RTO/RPO, klasyfikacja procesów krytycznych, alternative locations, ćwiczenia tabletop.

8. Bezpieczeństwo fizyczne

Audyt serwerowni (kontrola dostępu, CCTV, UPS, klimatyzacja, gaszenie), bezpieczeństwo biura (RFID, czujniki, alarmy), zarządzanie wizytami, audyt nośników (laptopy, telefony, USB), Mobile Device Management (MDM).

9. Łańcuch dostaw IT

Ocena ryzyka dostawców (SaaS, MSP, hosting, integratorzy), analiza umów SLA, klauzul bezpieczeństwa, prawa do audytu, plany ciągłości u dostawców, OAuth integrations, API keys management. Wymóg NIS2 art. 21.

10. Organizacja, polityki, świadomość

Audyt polityki bezpieczeństwa informacji, polityki haseł, procedur reagowania na incydenty, klasyfikacji danych, BYOD/pracy zdalnej. Audyt szkoleń pracowników, kultura bezpieczeństwa, phishing-test, klauzule poufności w umowach.

Zgodność audytu z trzema standardami

Każdy nasz raport mapuje znaleziska do wymagań trzech głównych standardów bezpieczeństwa informatycznego — dzięki czemu jest akceptowany przez regulatora i może być użyty jako dowód due-diligence.

RODO art. 32 — bezpieczeństwo przetwarzania danych osobowych. Audyt sprawdza środki techniczne i organizacyjne: pseudonimizacja, szyfrowanie, poufność, integralność, dostępność, regularne testowanie skuteczności. Wymóg dla każdej firmy przetwarzającej dane osobowe.
NIS2 art. 21 — środki zarządzania ryzykiem cybernetycznym. 13 obszarów: analiza ryzyka, polityki bezpieczeństwa, reagowanie na incydenty, ciągłość działania, bezpieczeństwo łańcucha dostaw, bezpieczeństwo w cyklu życia, ocena skuteczności środków, praktyki cyber-higieny, kryptografia, bezpieczeństwo zasobów ludzkich, kontrola dostępu, MFA, komunikacja awaryjna. Patrz: audyt NIS2.
ISO/IEC 27001:2022 Annex A — 93 kontrole bezpieczeństwa w 4 grupach: organizational (37), people (8), physical (14), technological (34). Nasz audyt mapuje znaleziska do każdej z 93 kontroli wskazując poziom dojrzałości (1-5).

Dlaczego Sztorm IT

78audytów w 2 lata

ISO 27001Audytor Wiodący

22+lat doświadczenia

NDApoufność informacji

Izabela Burzyńska — Audytor Wiodący ISO/IEC 27001:2023 (certyfikat IRCA/PECB) z ponad 10-letnim doświadczeniem w audytach bezpieczeństwa informacji. Specjalizacja: zgodność z dyrektywą NIS2, ISO 27001, audyty SZBI w sektorach regulowanych (bankowość, ochrona zdrowia, administracja publiczna).

Paweł Burzyński — Audytor IT (Dyplom uzyskany w Instytucie Podstaw Informatyki PAN), 22+ lat doświadczenia w administracji bezpieczeństwa systemów. Authorized Reseller Proxmox. Specjalizacja: audyt infrastruktury wirtualizacyjnej, klastrów HA, środowisk DevOps, audyt techniczny serwerów Linux/Windows.

Pracujemy z firmami produkcyjnymi, instytutami badawczymi PAN, instytucjami publicznymi, kancelariami prawnymi, biurami rachunkowymi i samorządami. Wszystkie projekty pod NDA. Liczba audytów bezpieczeństwa: 47 w 2024 r., 31 w 2025 r., w tym audyty zgodności z NIS2 dla podmiotów kluczowych z infrastruktury krytycznej.

Patrz też: audyt IT (szerszy zakres), audyt NIS2, cennik audytu bezpieczeństwa, audyt IT Łódź, cyberbezpieczeństwo.

Najczęstsze pytania o audyt bezpieczeństwa

Czy audyt obejmuje aplikacje SaaS i chmurę (Office 365, Google Workspace, AWS)?

Tak. W audycie chmury sprawdzamy: konfigurację MFA, SSO, polityki dostępu, audit logs, klasyfikację danych w SaaS, integracje OAuth, klucze API, ekspozycję bucketów S3/Azure Blob, wycieki konfiguracji. Dla AWS/Azure/GCP używamy CIS Benchmarks i Cloud Security Posture Management (CSPM).

Czy audytujecie systemy OT/SCADA?

Tak. Audyt systemów OT (Operational Technology) — PLC, SCADA, HMI, MES — jest w pakiecie rozszerzonym. Specyfika OT wymaga ostrożności (testy aktywne mogą wpłynąć na produkcję) — pracujemy w trybie passive (analiza ruchu sieciowego, konfiguracji urządzeń) i tylko w uzgodnionych oknach serwisowych. Standardy: IEC 62443, NIST SP 800-82.

Czy audyt zawiera socjotechnikę i phishing-test?

Tak — opcjonalnie. Phishing test (wysłanie kontrolowanych maili phishingowych do pracowników, mierzenie kliknięć, podawania haseł, otwierania załączników) to standardowy moduł w audycie rozszerzonym. Pełny social engineering (telefon, fizyczna próba wejścia do biura) — tylko w pakiecie enterprise lub jako osobny projekt red team exercise. Wszystko zgodnie z umową i etyką.

Co dokładnie pokażecie w raporcie końcowym?

Raport 30-80 stron z 5 sekcjami: 1) executive summary 1-2 strony dla zarządu, 2) ocena ogólna z punktacją (0-100) per obszar, 3) szczegółowe znaleziska z dowodami (screenshots, fragmenty konfiguracji, output skanerów), 4) plan działań naprawczych z priorytetami (krytyczne/wysokie/średnie/niskie) i szacowaną pracochłonnością, 5) roadmapa wdrożenia 30/60/90 dni z kamieniami milowymi. Plus załączniki: raporty narzędzi (Nessus, OpenVAS), porównanie z benchmarkami.

Czy audyt skutkuje certyfikatem ISO 27001?

Nie bezpośrednio. Audyt wewnętrzny przez Audytora Wiodącego ISO 27001 (Izabela Burzyńska) jest pierwszym krokiem przygotowania firmy do audytu certyfikującego. Certyfikat ISO 27001 wystawia akredytowana jednostka zewnętrzna (DEKRA, BSI, TÜV) po dwustopniowym audycie. Nasz raport audytu jest akceptowany jako dowód due-diligence w postępowaniach certyfikacyjnych i regulacyjnych.

Jak działa wsparcie powdrożeniowe?

Po raporcie oferujemy wsparcie we wdrażaniu rekomendacji. W pakiecie enterprise — 12 miesięcy w cenie (priorytetowy kontakt, konsultacje, ponowny audyt cząstkowy po 6 miesiącach). W innych pakietach jako osobny kontrakt obsługi IT od 500 zł/mc lub jednorazowe konsultacje 250 zł/h. Klient może też wdrażać sam — raport zawiera szczegółowe instrukcje techniczne.

Zapytaj o audyt bezpieczeństwa informatycznego

Bezpłatna konsultacja wstępna — 1 godzina. Wycena w 24 godziny od podpisania NDA. Zadzwoń lub wypełnij formularz.

Formularz kontaktowy 699 715 046

Źródła i dokumentacja

RODO art. 32 — bezpieczeństwo przetwarzania danych osobowych: eur-lex.europa.eu (Rozporządzenie 2016/679)
Dyrektywa NIS2 (2022/2555) art. 21 — środki zarządzania ryzykiem: eur-lex.europa.eu/eli/dir/2022/2555/oj
ISO/IEC 27001:2022 — System Zarządzania Bezpieczeństwem Informacji: iso.org/standard/27001
ISO/IEC 27002:2022 — 93 kontrole bezpieczeństwa: iso.org/standard/75652
IEC 62443 — bezpieczeństwo systemów automatyki przemysłowej (OT): isa.org/iec-62443
NIST SP 800-82 — przewodnik bezpieczeństwa systemów kontroli przemysłowej: csrc.nist.gov/sp-800-82
CIS Benchmarks — standardy hardeningu: cisecurity.org/cis-benchmarks
OWASP Top 10 — najczęstsze podatności webowe: owasp.org/Top10
CSIRT NASK — krajowy zespół reagowania na incydenty: incydent.cert.pl