Czy oferujecie audyt z certyfikatem?

Wystawiamy zaświadczenie wykonania audytu przez Audytora Wiodącego ISO/IEC 27001:2023 (Izabela Burzyńska, certyfikat IRCA/PECB). Pełna certyfikacja ISO 27001 dla firmy klienta wymaga audytu certyfikującego przez akredytowaną jednostkę (DEKRA, BSI, TÜV) — pomagamy w przygotowaniu firmy do takiego audytu. Nasze raporty są akceptowane jako dowód due-diligence w postępowaniach RODO, przetargach publicznych i procedurach wewnętrznych.

Czy macie referencje?

Tak — referencje od klientów objętych NDA udostępniamy po podpisaniu NDA z naszej strony. Część rekomendacji jest publiczna i widoczna na stronie głównej (instytuty PAN, urząd miasta, firmy produkcyjne). Liczba przeprowadzonych audytów: 47 w 2024 roku, 31 w 2025 roku.

Audyt IT — audyt informatyczny firm. Cennik 5000–25000 zł, raport w 4 tygodnie

Niezależny audyt IT i audyt informatyczny firm w całej Polsce. Analiza infrastruktury, bezpieczeństwa, polityk, dokumentacji i zgodności (RODO, NIS2, ISO 27001). Audytor Wiodący ISO/IEC 27001:2023 + Audytor IT z dyplomem IPI PAN. 22+ lat doświadczenia, **78 audytów (47 w 2024, 31 w 2025)**, 200+ serwerów pod opieką.

Krótka odpowiedź — czym jest audyt IT i ile kosztuje

Audyt IT (informatyczny) to niezależna ocena stanu infrastruktury, bezpieczeństwa, polityk i procedur IT w firmie. W Sztorm IT obejmuje: inwentaryzację sprzętu i oprogramowania, audyt sieci i serwerów, audyt aplikacji i baz danych, audyt polityk bezpieczeństwa (hasła, MFA, kontrola dostępu, backup), audyt dokumentacji oraz ocenę zgodności (RODO, NIS2, ISO/IEC 27001:2023).

Cennik 3 pakiety: podstawowy od 5000 zł netto (do 50 stanowisk, 1-3 serwery, 1-2 lokalizacje), rozszerzony od 12 000 zł (50-250 stanowisk, klastry HA, OT/PLC), enterprise od 25 000 zł (250+ stanowisk, infrastruktura krytyczna). Czas realizacji: 3-12 tygodni. Bezpłatna konsultacja wstępna 1 h, wycena ostateczna w 24 h od podpisania NDA.

Audyty prowadzą Izabela Burzyńska (Audytor Wiodący ISO/IEC 27001:2023) i Paweł Burzyński (Audytor IT z dyplomem IPI PAN). Raport końcowy: executive summary dla zarządu + szczegółowa analiza techniczna (30-80 stron z dowodami) + plan działań naprawczych z priorytetami + 2 h spotkanie omówienia. Akceptowany przez UODO, UKE, KNF i akredytowane jednostki w postępowaniach due-diligence.

Ludzie pytają również — audyt IT

Ile kosztuje audyt IT?

Audyt IT w Sztorm IT zaczyna się od 5000 zł netto za audyt podstawowy (firma do 50 stanowisk, 1-3 serwery, 1-2 lokalizacje). Audyt rozszerzony (50-250 stanowisk, OT, klastry) od 12 000 zł, audyt enterprise (250+ stanowisk, infrastruktura krytyczna) od 25 000 zł. Cena zależy od skali infrastruktury, liczby lokalizacji i wymaganego zakresu (RODO, NIS2, ISO 27001).

Czym jest audyt IT i co obejmuje?

Audyt IT (informatyczny) to niezależna ocena stanu infrastruktury, bezpieczeństwa, polityk i procedur IT w firmie. Obejmuje: inwentaryzację sprzętu i oprogramowania, audyt sieci i serwerów, audyt aplikacji i baz danych, audyt polityk bezpieczeństwa (hasła, MFA, kontrola dostępu, backup), audyt dokumentacji, ocenę zgodności (RODO, NIS2, ISO 27001) oraz raport z rekomendacjami priorytetowanymi.

Ile trwa audyt IT?

Audyt podstawowy: 3-4 tygodnie (zbieranie danych 1 tydzień, analiza i testy 1-2 tygodnie, raport 1 tydzień). Audyt rozszerzony: 5-6 tygodni. Audyt enterprise: 8-12 tygodni przy dużych klastrach i wielu lokalizacjach. Sam audyt produkcyjny (zbieranie danych) trwa zwykle 5-10 dni, reszta to analiza i pisanie raportu.

Czy audyt IT zakłóci pracę firmy?

Nie. 90% prac wykonujemy w trybie passive (analiza logów, konfiguracji, dokumentacji) bez wpływu na działanie systemów. Testy aktywne (skanowanie sieci, próby penetracyjne) wykonujemy w uzgodnionych oknach serwisowych — nocą lub w weekend. Wszystko jest zaplanowane z administratorem klienta przed startem.

Czy audyt IT to to samo co audyt bezpieczeństwa?

Pokrywają się w około 60-70%. Audyt IT jest szerszy — obejmuje też infrastrukturę, efektywność, koszty, zgodność z licencjami. Audyt bezpieczeństwa IT skupia się na zagrożeniach: vulnerabilities, polityki dostępu, monitoring, BCP/DRP, audyt łańcucha dostaw. Dla pełnego obrazu rekomendujemy łączyć oba, ale można je zlecić osobno. Patrz: audyt bezpieczeństwa informatycznego.

Kto wykonuje audyt IT w Sztorm IT?

Audyty prowadzą Izabela Burzyńska (Audytor Wiodący ISO/IEC 27001:2023 z 10+ lat doświadczenia w audytach bezpieczeństwa) oraz Paweł Burzyński (Audytor IT z dyplomem IPI PAN, 22+ lata w administracji systemami). Plus zespół ekspertów technicznych (Linux, Windows Server, Proxmox, sieci, bazy danych). Wszystko pod NDA.

Co dostanę po audycie IT?

Raport końcowy z 4 sekcjami: 1) executive summary dla zarządu (1-2 strony, ocena ogólna, top ryzyka, szacunkowy budżet napraw), 2) szczegółowa analiza techniczna (30-80 stron z dowodami: screenshots, log fragments, konfiguracje), 3) plan działań naprawczych z priorytetami i szacunkową pracochłonnością, 4) konkretna roadmapa wdrożenia na 30/60/90 dni. Plus 2-godzinne spotkanie omówienia raportu z zarządem.

Cennik audytu IT — 3 pakiety

Wybierasz pakiet dopasowany do skali firmy. Wycena ostateczna po bezpłatnej konsultacji wstępnej (1 godzina) — w 24 godziny od podpisania NDA.

Pakiet	Dla kogo	Cena netto	Czas realizacji
Podstawowy	Firma do 50 stanowisk, 1-3 serwery, 1-2 lokalizacje, jednolita infrastruktura IT	od 5000 zł	3-4 tygodnie
Rozszerzony	Firma 50-250 stanowisk, 4-10 serwerów, do 5 lokalizacji, integracja z systemami OT (PLC/SCADA), klastry HA	od 12 000 zł	5-6 tygodni
Enterprise	Firma 250+ stanowisk, infrastruktura krytyczna, klastry HA, środowiska rozproszone, multi-cloud, wymagana certyfikacja	od 25 000 zł	8-12 tygodni

Wszystkie pakiety zawierają: inwentaryzację aktywów IT, analizę GAP, audyt techniczny (sieć/serwery/aplikacje), ocenę polityk i procedur, audyt dokumentacji, ocenę zgodności (RODO/NIS2/ISO 27001), raport końcowy + executive summary dla zarządu, 2-godzinne spotkanie omówienia. Pakiet rozszerzony dodatkowo: audyt OT/IoT, audyt łańcucha dostaw, skan podatności (Nessus/OpenVAS). Pakiet enterprise: powyższe + testy penetracyjne web/aplikacji/sieci, red team exercise, wsparcie powdrożeniowe 12 miesięcy.

Co dokładnie obejmuje audyt IT

Inwentaryzacja aktywów IT

Kompletna lista: serwery fizyczne i wirtualne, stacje robocze, urządzenia sieciowe (switche, routery, AP, firewalle), systemy OT (PLC, SCADA, IoT), drukarki sieciowe, oprogramowanie, licencje, dane (klasyfikacja krytyczności i wrażliwości).

Audyt sieci i firewalli

Topologia logiczna i fizyczna, segmentacja VLAN, polityki firewall, IDS/IPS, monitoring ruchu, redundancja łącz, jakość konfiguracji (CIS Benchmarks for Cisco/Fortinet/MikroTik), audyt VPN i pracy zdalnej.

Audyt serwerów (Linux + Windows)

Hardening CIS, użytkownicy i uprawnienia, audyt patch managementu, audyt usług krytycznych (DC, Exchange, baz danych), audyt backupu i procedur restore, audyt logów i monitoringu, zgodność z politykami.

Audyt aplikacji i baz danych

Inwentaryzacja aplikacji business-critical, audyt aktualności (CVE, EOL), audyt licencyjny, audyt bezpieczeństwa baz danych (uprawnienia, szyfrowanie, backup, audit logs), opcjonalnie pentest aplikacji webowych.

Audyt polityk i procedur

Polityka bezpieczeństwa informacji, polityka haseł, polityka kontroli dostępu (RBAC, MFA, PAM), procedury reagowania na incydenty, plany ciągłości działania (BCP) i odzyskiwania po awarii (DRP), polityka BYOD i pracy zdalnej.

Audyt zgodności (RODO, NIS2, ISO)

RODO (art. 32 — bezpieczeństwo przetwarzania), NIS2 (art. 21 — środki zarządzania ryzykiem), ISO/IEC 27001:2022 (Annex A — 93 kontrole). Mapowanie aktualnego stanu na wymagania, analiza GAP, plan dochodzenia do zgodności.

Skanowanie podatności

Skanowanie zewnętrznej i wewnętrznej powierzchni sieciowej (Nessus, OpenVAS), klasyfikacja CVSS, raport priorytetyzowany, weryfikacja false positive. Opcjonalnie testy penetracyjne (web, aplikacje, social engineering).

Audyt dokumentacji

Dokumentacja architektury IT, instrukcje administracyjne, runbooks, schematy sieci, ASIS-TOBE, dokumentacja umów z dostawcami, SLA, kontrakty wsparcia. Identyfikacja luk w dokumentacji jako krytycznego ryzyka operacyjnego.

Audyt łańcucha dostaw IT

Ocena ryzyka dostawców (SaaS, MSP, hosting, integratorzy). Analiza umów SLA, klauzul bezpieczeństwa, prawa do audytu, plany ciągłości u dostawców. Wymóg NIS2 art. 21 dla podmiotów kluczowych i ważnych.

Etapy audytu IT — krok po kroku

Konsultacja wstępna i NDA (1 godzina, bezpłatnie) — rozmowa o zakresie, skali infrastruktury, oczekiwanym celu audytu (compliance, due-diligence, post-incydent, planowanie inwestycji). Po konsultacji wycena ostateczna w 24 h.
Planowanie i kick-off (1-2 dni) — uzgodnienie zakresu, terminów, listy kontaktów, dostępów (kont audytora, VPN), okien serwisowych dla testów aktywnych, podpisanie umowy.
Zbieranie danych (5-10 dni) — wywiady z administratorem i zarządem, dostęp do logów i konfiguracji, skanowanie sieci, eksport polityk i procedur. Praca głównie zdalnie, opcjonalnie wizyty on-site.
Analiza techniczna (1-2 tygodnie) — porównanie stanu obecnego z best practices i wymaganiami (RODO/NIS2/ISO), identyfikacja luk i ryzyk, ocena CVSS dla podatności, priorytetyzacja działań.
Raport końcowy (1 tydzień) — pisanie raportu: executive summary + szczegółowa analiza + plan działań + roadmapa 30/60/90 dni. Wewnętrzne review zespołu Sztorm IT przed wysyłką klientowi.
Prezentacja wyników (2 godziny) — spotkanie z zarządem (in-person lub Teams/Meet) — przegląd ryzyk, dyskusja priorytetów, odpowiedzi na pytania. Jeśli klient zechce — dodatkowe spotkanie z IT/administratorem.
Wsparcie powdrożeniowe (opcjonalnie) — pomoc we wdrażaniu rekomendacji. W pakiecie enterprise 12 miesięcy wsparcia w cenie, w innych pakietach jako osobny kontrakt obsługi IT od 500 zł/mc.

Dla kogo audyt IT

Audyt IT zlecają firmy z różnych powodów — od planowania strategicznego po reakcję na incydent. Typowe sytuacje, gdy ma sens:

Wymagana zgodność (NIS2, RODO, ISO 27001) — sektor regulowany, audyt zewnętrzny obowiązkowy lub w ramach due-diligence
Przed dużą inwestycją w IT — modernizacja serwerowni, migracja do chmury, nowy system ERP/CRM — audyt pokaże co naprawić zanim wydasz duże pieniądze
Po incydencie bezpieczeństwa — ransomware, kompromitacja konta, wyciek danych — audyt zidentyfikuje co umożliwiło incydent i jak temu zapobiec
Zmiana administratora / zewnętrznej firmy IT — niezależny audyt pokazuje co odziedziczyłeś po poprzedniku (często ujawnia niespodzianki)
Przed sprzedażą / fuzją firmy — kupujący zlecają audyt IT w ramach due-diligence; sprzedawcy robią go proaktywnie żeby wzmocnić wycenę
Coroczna kontrola — firmy z dojrzałym IT robią audyt cykliczny, żeby kontrolować ryzyko i optymalizować koszty (typowo raz na 12-24 miesiące)

Dlaczego Sztorm IT

22+lat doświadczenia

78audytów w 2 lata

ISO 27001Audytor Wiodący

NDApoufność informacji

Izabela Burzyńska — Audytor Wiodący ISO/IEC 27001:2023 z 10+ letnim doświadczeniem w audytach bezpieczeństwa informacji. Certyfikat IRCA/PECB. Specjalizacja: zgodność z dyrektywą NIS2, ISO 27001, audyty SZBI w sektorach regulowanych.

Paweł Burzyński — Audytor IT (Dyplom uzyskany w Instytucie Podstaw Informatyki PAN), 22+ lat doświadczenia w administracji bezpieczeństwa systemów. Authorized Reseller Proxmox. Specjalizacja: audyt infrastruktury wirtualizacyjnej, klastrów HA, środowisk DevOps.

Pracujemy z firmami produkcyjnymi, instytutami badawczymi PAN, instytucjami publicznymi, kancelariami prawnymi, biurami rachunkowymi i samorządami. Wszystkie projekty pod NDA, zachowujemy poufność informacji handlowych i technicznych. Liczba przeprowadzonych audytów: 47 w 2024 r., 31 w 2025 r.

Patrz też: audyt IT Łódź (lokalny), audyt bezpieczeństwa informatycznego, cennik audytu bezpieczeństwa, audyt NIS2, cyberbezpieczeństwo.

Najczęstsze pytania o audyt IT

Czy mogę zlecić audyt IT bez zatrudniania na stałe zewnętrznej firmy?

Tak. Audyt to projekt jednorazowy z konkretnym zakresem i terminem. Nie wymaga długoterminowej umowy obsługi. Po audycie możesz wybrać czy chcesz wdrożyć rekomendacje samodzielnie, ze swoim administratorem, czy zlecić to nam.

Czy audyt obejmuje testy penetracyjne?

Audyt podstawowy zawiera skanowanie podatności (Nessus/OpenVAS) zewnętrznej powierzchni sieciowej. Pełne testy penetracyjne (web, aplikacje, social engineering, red team exercise) są dostępne w audycie rozszerzonym i enterprise jako osobny moduł — wycena indywidualna od 8 000 zł netto za podstawowy pentest aplikacji webowej.

Czy audyt obejmuje analizę kosztów licencji?

Tak — w ramach audytu sprawdzamy zgodność licencyjną (Windows Server, MS SQL, VMware, Veeam, Proxmox) i pokazujemy potencjalne oszczędności. Częsta sytuacja: firma płaci za VMware vSphere którego nie potrzebuje — migracja na Proxmox VE oszczędza 70-80% kosztów licencji rocznie. Patrz: alternatywa dla VMware.

Czy mogę zachować w tajemnicy fakt audytu?

Tak. NDA przed startem to standard. Klienci często chcą, żeby audyt był prowadzony dyskretnie (np. tylko z wiedzą zarządu, bez informowania administratora) — to też możliwe, choć utrudnia dostęp do logów i wymaga dłuższego czasu na audyt zewnętrzny i social engineering.

Jak często powinniśmy robić audyt IT?

Standardowa rekomendacja: pełny audyt raz na 12-24 miesiące, audyt cząstkowy (sieć, aplikacja webowa) po każdej dużej zmianie infrastruktury. Firmy w sektorach regulowanych (bankowość, ochrona zdrowia, infrastruktura krytyczna) powinny robić audyt roczny ze względu na wymogi NIS2/KSC.

Czy raport audytu jest gotowym dokumentem dla regulatora?

Tak. Raport zawiera sekcje wymagane przez RODO (art. 32), NIS2 (art. 21), ISO 27001:2022 (Annex A). Format: executive summary + szczegółowa analiza + dowody. Akceptowany przez UODO, UKE, KNF (zależnie od sektora) i akredytowane jednostki certyfikujące w postępowaniach due-diligence.

Zapytaj o audyt IT

Bezpłatna konsultacja wstępna — 1 godzina. Wycena w 24 godziny od podpisania NDA. Zadzwoń lub wypełnij formularz.

Formularz kontaktowy 699 715 046

Źródła i dokumentacja

ISO/IEC 27001:2022 — System Zarządzania Bezpieczeństwem Informacji: iso.org/standard/27001
ISO/IEC 27002:2022 — Kontrole bezpieczeństwa informacji: iso.org/standard/75652
Dyrektywa NIS2 (2022/2555) — pełny tekst: eur-lex.europa.eu/eli/dir/2022/2555/oj
Ustawa o krajowym systemie cyberbezpieczeństwa (KSC): isap.sejm.gov.pl
CIS Benchmarks — standardy hardeningu: cisecurity.org/cis-benchmarks
OWASP Top 10 — najczęstsze podatności webowe: owasp.org/Top10
ENISA — Europejska Agencja ds. Cyberbezpieczeństwa: enisa.europa.eu