ISO 27001 certifikat za tvrtke

Q: Koliko vrijedi ISO 27001 certifikat?

Certifikat vrijedi 3 godine od izdavanja. Tijekom tog razdoblja provode se godišnji nadzorni auditi (obično u 12. i 24. mjesecu). Nakon 3 godine potreban je recertifikacijski audit.

Q: Mogu li se certificirati i male tvrtke?

Da. Standard je primjenjiv na organizacije svih veličina. Opseg i složenost ISMS-a prilagođavaju se veličini i rizicima organizacije.

Q: Koja je razlika između ISO 27001 i ISO 27002?

ISO 27001 propisuje zahtjeve za ISMS i osnova je za certifikaciju. ISO 27002 pruža detaljne smjernice za provedbu kontrola iz Annexa A. Certifikacija se provodi isključivo prema ISO 27001.

Q: Koji su akreditirani certifikacijski uredi u Hrvatskoj?

Certifikacijska tijela moraju biti akreditirana od strane HAA (Hrvatska akreditacijska agencija) ili ekvivalentnog tijela u EU. Među poznatijima koji djeluju u Hrvatskoj su Bureau Veritas, TÜV, SGS, DNV i Lloyd's Register.

ISO 27001 najpriznatiji je međunarodni standard za upravljanje informacijskom sigurnošću. Za hrvatska poduzeća koja žele zaštititi poslovne podatke, ispuniti zahtjeve regulatora i steći povjerenje klijenata, ovaj certifikat postaje nužnost, a ne luksuz. U ovom vodiču objašnjavamo sve korake, od razumijevanja zahtjeva standarda do uspješne certifikacije.

Sažetak i ključne točke

ISO 27001 je međunarodni standard za sustav upravljanja informacijskom sigurnošću (ISMS).

Posljednja verzija je ISO/IEC 27001:2022 s ažuriranim sigurnosnim kontrolama.

Certifikacija traje u prosjeku 6 do 12 mjeseci, ovisno o veličini organizacije.

Standard zahtijeva 93 kontrole raspoređene u 4 kategorije (Annex A).

Certifikat vrijedi 3 godine, uz godišnje nadzorne audite.

NIS2 i GDPR ne zahtijevaju ISO 27001, ali ga regulatori i klijenti sve češće očekuju.

Sadržaj

Što je ISO 27001?
Zašto je ISO 27001 važan za hrvatska poduzeća?
ISO 27001:2022: što je novo?
Struktura standarda
Annex A: 93 sigurnosne kontrole
Koraci do certifikacije
Troškovi certifikacije
ISO 27001 i NIS2
ISO 27001 i GDPR
Najčešće pogreške
FAQ
Zaključak

Što je ISO 27001?

ISO/IEC 27001 međunarodni je standard koji propisuje zahtjeve za uspostavu, provedbu, održavanje i poboljšavanje sustava upravljanja informacijskom sigurnošću (engl. Information Security Management System, ISMS).

Standard ne propisuje koje tehnologije koristiti, već zahtijeva sustavni pristup upravljanju rizicima koji ugrožavaju povjerljivost, cjelovitost i dostupnost informacija.

Pojam	Značenje
ISMS	Sustav upravljanja informacijskom sigurnošću: skup politika, procesa i kontrola
Annex A	Popis sigurnosnih kontrola koje organizacija primjenjuje prema procjeni rizika
Izjava o primjenjivosti (SoA)	Dokument koji navodi koje kontrole se primjenjuju i zašto
Certifikacijsko tijelo	Akreditirana organizacija koja provodi audit i izdaje certifikat
Nadzorni audit	Godišnji audit koji potvrđuje da ISMS i dalje funkcionira

Tko izdaje standard? ISO 27001 zajednički izdaju Međunarodna organizacija za normizaciju (ISO) i Međunarodno elektrotehničko povjerenstvo (IEC). U Hrvatskoj ga distribuira HZN (Hrvatski zavod za norme).

Zašto je ISO 27001 važan za hrvatska poduzeća?

Poslovni razlozi

Razlog	Objašnjenje
Povjerenje klijenata	Certifikat dokazuje da ozbiljno pristupate zaštiti podataka
Natječaji i javna nabava	Sve više naručitelja traži ISO 27001 kao uvjet
Regulatorna usklađenost	Pomaže pri ispunjavanju zahtjeva NIS2 i GDPR-a
Smanjenje rizika	Sustavni pristup smanjuje vjerojatnost i utjecaj sigurnosnih incidenata
Konkurentska prednost	Razlikuje vas od konkurenata koji nemaju formalni ISMS
Pristup EU tržištima	Mnogi europski partneri zahtijevaju certifikat

Tko posebno treba ISO 27001?

IT tvrtke i pružatelji SaaS usluga: klijenti očekuju dokazanu sigurnost
Financijske institucije: regulatorni zahtjevi i osjetljivi podaci
Zdravstvene organizacije: zaštita medicinskih podataka
Tvrtke u opskrbnom lancu velikih korporacija: zahtjev partnera
Organizacije pod NIS2 direktivom: pomaže u usklađivanju

ISO 27001:2022: što je novo?

Posljednja verzija standarda objavljena je u listopadu 2022. i donosi značajne promjene u strukturi sigurnosnih kontrola.

Promjena	ISO 27001:2013	ISO 27001:2022
Broj kontrola	114	93
Kategorije kontrola	14 domena	4 teme (organizacijske, ljudske, fizičke, tehnološke)
Nove kontrole	-	11 novih (npr. prijetnje u oblaku, filtriranje weba, sigurno kodiranje)
Rok za prijelaz	-	Do

11 novih kontrola u verziji 2022

Obavještavanje o prijetnjama (Threat intelligence)
Sigurnost informacija u oblaku
Pripravnost za kontinuitet poslovanja
Fizički nadzor sigurnosti
Upravljanje konfiguracijom
Brisanje informacija
Maskiranje podataka
Sprječavanje curenja podataka (DLP)
Praćenje aktivnosti
Filtriranje weba
Sigurno kodiranje

Važno: Organizacije certificirane po verziji 2013. morale su prijeći na verziju 2022. do 31. listopada 2025. Nove certifikacije provode se isključivo prema verziji 2022.

Struktura standarda

ISO 27001 sadrži 10 poglavlja (klauzula), od kojih su klauzule 4 do 10 obvezne:

Klauzula	Naslov	Opis
4	Kontekst organizacije	Razumijevanje organizacije, zainteresiranih strana i opsega ISMS-a
5	Vodstvo	Predanost uprave, politika informacijske sigurnosti, uloge i odgovornosti
6	Planiranje	Procjena rizika, plan obrade rizika, sigurnosni ciljevi
7	Podrška	Resursi, kompetencije, svijest, komunikacija, dokumentacija

Annex A: 93 sigurnosne kontrole

Kontrole su raspoređene u 4 kategorije:

Kategorija	Broj kontrola	Primjeri
Organizacijske	37	Politike, uloge, upravljanje imovinom, kontrola pristupa, upravljanje dobavljačima
Ljudske	8	Provjera prije zaposlenja, edukacija, disciplinski postupak, odgovornosti pri prestanku rada
Fizičke	14	Sigurnosne zone, zaštita opreme, čisti stol i zaslon, sigurno uklanjanje medija
Tehnološke	34	Kriptografija, mrežna sigurnost, sigurnost aplikacija, upravljanje ranjivostima, praćenje događaja

Napomena: Organizacija ne mora primijeniti sve 93 kontrole. Na temelju procjene rizika odabiru se kontrole relevantne za organizaciju i dokumentiraju u Izjavi o primjenjivosti (SoA).

Koraci do certifikacije

Faza 1: Priprema (2 do 4 mjeseca)

Odluka uprave: osigurajte podršku i resurse na najvišoj razini
Definiranje opsega: odredite koje dijelove organizacije ISMS pokriva
Procjena trenutnog stanja (gap analiza): usporedite postojeće prakse s ISO 27001 zahtjevima
Imenovanje voditelja projekta: osoba odgovorna za provedbu

Faza 2: Provedba (3 do 6 mjeseci)

Procjena rizika: identificirajte prijetnje, ranjivosti i utjecaje na informacijsku imovinu
Plan obrade rizika: definirajte mjere za smanjenje rizika na prihvatljivu razinu
Izrada dokumentacije: politike, procedure, zapisi, SoA
Primjena kontrola: tehničke i organizacijske mjere iz Annexa A
Edukacija zaposlenika: podizanje svijesti i obuka za specifične uloge

Faza 3: Provjera (1 do 2 mjeseca)

Interni audit: neovisna provjera usklađenosti ISMS-a sa standardom
Pregled uprave: uprava ocjenjuje djelotvornost ISMS-a
Korektivne radnje: otklanjanje uočenih nesukladnosti

Faza 4: Certifikacija (1 do 2 mjeseca)

Odabir certifikacijskog tijela: mora biti akreditirano (u Hrvatskoj: HAA)
Audit faze 1: pregled dokumentacije i spremnosti
Audit faze 2: provjera provedbe na licu mjesta
Izdavanje certifikata: ako nema značajnih nesukladnosti

Ukupno trajanje: 6 do 12 mjeseci za većinu organizacija. Velike organizacije ili one s niskom početnom zrelošću mogu trebati i do 18 mjeseci.

Troškovi certifikacije

Troškovi ovise o veličini organizacije, složenosti i trenutnoj razini sigurnosti.

Stavka	Mala tvrtka (do 50 zaposlenih)	Srednja tvrtka (50 do 250)	Velika organizacija (250+)
Konzultantska pomoć	5.000 do 15.000 EUR	15.000 do 40.000 EUR	40.000 do 100.000+ EUR
Certifikacijski audit	3.000 do 6.000 EUR	6.000 do 15.000 EUR	15.000 do 30.000+ EUR
Tehnička rješenja	2.000 do 10.000 EUR	10.000 do 30.000 EUR	30.000 do 100.000+ EUR

Savjet: Troškove promatrajte kao ulaganje. Jedan ozbiljniji sigurnosni incident može koštati višestruko više od ukupne certifikacije. Prosječni trošak povrede podataka u EU iznosi preko 4 milijuna EUR.

ISO 27001 i NIS2

NIS2 direktiva (transponirana u Hrvatskoj kroz Zakon o kibernetičkoj sigurnosti, NN 14/24) zahtijeva od ključnih i važnih subjekata provedbu mjera za upravljanje rizicima kibernetičke sigurnosti.

NIS2 zahtjev	Kako ISO 27001 pomaže
Procjena rizika	Klauzula 6: sustavna procjena i obrada rizika
Upravljanje incidentima	A.5.24 do A.5.28: planiranje i odgovor na incidente
Kontinuitet poslovanja	A.5.29 do A.5.30: planovi kontinuiteta i oporavka
Sigurnost opskrbnog lanca	A.5.19 do A.5.23: upravljanje dobavljačima
Kriptografija	A.8.24: uporaba kriptografskih kontrola
Kontrola pristupa	A.5.15 do A.5.18, A.8.2 do A.8.5: upravljanje pristupom
Edukacija zaposlenika	A.6.3: svijest o informacijskoj sigurnosti

Važno: ISO 27001 certifikat nije zakonski obvezan prema NIS2, ali pokriva veliku većinu zahtjeva. ENISA i nacionalna tijela preporučuju ga kao referentni okvir za usklađivanje. Više o NIS2: NIS2 direktiva: vodič za hrvatska poduzeća.

ISO 27001 i GDPR

ISO 27001 i GDPR imaju komplementarne ciljeve. Zaštita podataka zahtijeva informacijsku sigurnost.

GDPR zahtjev (čl.)	ISO 27001 kontrola
Tehničke i organizacijske mjere (čl. 32.)	Annex A: cjelokupni skup kontrola
Procjena učinka (DPIA) (čl. 35.)	Klauzula 6: procjena rizika
Evidencija aktivnosti obrade (čl. 30.)	A.5.9 do A.5.13: upravljanje imovinom
Prijava povrede podataka (čl. 33.)	A.5.24 do A.5.28: upravljanje incidentima
Prava ispitanika (čl. 15. do 22.)	A.5.10 do A.5.12: klasifikacija i rukovanje
Ugovori s izvršiteljima (čl. 28.)	A.5.19 do A.5.23: upravljanje dobavljačima

ISO 27001 ne garantira GDPR usklađenost, ali značajno smanjuje rizik neusklađenosti. Za cjelovitu zaštitu podataka: GDPR vodič za Hrvatsku.

Najčešće pogreške

1. ISMS postoji samo na papiru

Dokumentacija bez stvarne primjene neće proći certifikacijski audit i ne štiti organizaciju.

2. Nedovoljna uključenost uprave

Bez podrške s vrha, ISMS nema resurse ni autoritet za provedbu promjena.

3. Previše kontrola bez procjene rizika

Primjena svih 93 kontrole „za svaki slučaj" stvara nepotrebnu složenost. Standard zahtijeva pristup temeljen na riziku.

4. Jednokratni projekt umjesto kontinuiranog procesa

ISO 27001 zahtijeva kontinuirano poboljšavanje. ISMS koji se ažurira samo pred audit neće biti učinkovit.

5. Zanemarivanje ljudskog faktora

Tehničke kontrole bez edukacije zaposlenika ostavljaju najčešći vektor napada nezaštićenim.

6. Loše definiran opseg

Preširok opseg povećava složenost i troškove; preuzak ostavlja kritične sustave nezaštićenima.

FAQ

Koliko traje ISO 27001 certifikacija?

Za srednju organizaciju put do certifikata obično traje šest do dvanaest mjeseci. Vrijeme ovisi o opsegu, zrelosti procesa i dostupnosti tima. Priprema sustava upravljanja informacijskom sigurnošću najduži je dio. Ubrzajte certifikaciju.

Koliko košta ISO 27001?

Trošak čine priprema ISMS-a i naknada certifikacijskoj kući. Savjetovanje je jednokratni trošak, a certifikat se obnavlja u trogodišnjem ciklusu. Točan opseg definira se nakon procjene.

Pomaže li ISO 27001 kod NIS2?

Da. ISO 27001 pokriva velik dio NIS2 mjera upravljanja rizicima. Ne pokriva sve, pa je za prijavu incidenta i lanac opskrbe potrebna gap analiza. Povežite ISO i NIS2.

Koliko vrijedi ISO 27001 certifikat?

Certifikat vrijedi 3 godine od izdavanja. Tijekom tog razdoblja provode se godišnji nadzorni auditi (obično u 12. i 24. mjesecu). Nakon 3 godine potreban je recertifikacijski audit.

Je li ISO 27001 obvezan u Hrvatskoj?

Nije zakonski obvezan za većinu organizacija. Međutim, NIS2 (Zakon o kibernetičkoj sigurnosti) zahtijeva mjere koje ISO 27001 pokriva, a mnogi javni i privatni naručitelji ga traže kao uvjet suradnje.

Mogu li se certificirati i male tvrtke?

Da. Standard je primjenjiv na organizacije svih veličina. Opseg i složenost ISMS-a prilagođavaju se veličini i rizicima organizacije.

Koja je razlika između ISO 27001 i ISO 27002?

ISO 27001 propisuje zahtjeve za ISMS i osnova je za certifikaciju. ISO 27002 pruža detaljne smjernice za provedbu kontrola iz Annexa A. Certifikacija se provodi isključivo prema ISO 27001.

Trebam li konzultanta?

Nije obavezno, ali je preporučljivo, osobito za organizacije bez iskustva s ISO standardima. Konzultant ubrzava proces i smanjuje rizik neuspjeha na auditu.

Koji su akreditirani certifikacijski uredi u Hrvatskoj?

Certifikacijska tijela moraju biti akreditirana od strane HAA (Hrvatska akreditacijska agencija) ili ekvivalentnog tijela u EU. Među poznatijima koji djeluju u Hrvatskoj su Bureau Veritas, TÜV, SGS, DNV i Lloyd's Register.

Zaključak

ISO 27001 nije samo certifikat na zidu. To je sustavni pristup zaštiti informacija koji donosi mjerljive poslovne koristi. U okolini gdje NIS2 zahtijeva konkretne sigurnosne mjere, gdje klijenti traže dokaz o sigurnosti i gdje kibernetičke prijetnje rastu, ISO 27001 postaje standard koji hrvatska poduzeća ne mogu ignorirati.

Ključne poruke: (1) Počnite s procjenom rizika i gap analizom. (2) Osigurajte podršku uprave. (3) Prilagodite opseg svojoj organizaciji. (4) Planirajte 6 do 12 mjeseci za provedbu. (5) Gledajte na certifikaciju kao kontinuirani proces, ne jednokratni projekt.

Trebate pomoć s ISO 27001? Vision Compliance nudi usluge kibernetičke sigurnosti uključujući pripremu za certifikaciju, procjenu rizika i izgradnju ISMS-a. Zakažite besplatnu konzultaciju i saznajte kako možemo pomoći vašoj organizaciji.

Izvori: ISO/IEC 27001:2022, ENISA, HAA, NIS2 direktiva (EU 2022/2555), Zakon o kibernetičkoj sigurnosti (NN 14/24)

Povezani članci

NIS2 i ISO 27001: Usporedba i mapiranje zahtjeva: Kako ISO 27001 pokriva NIS2 obveze
Penetracijski testovi i procjena ranjivosti: Testiranje sigurnosti kao dio ISO 27001
Zero Trust sigurnosni model: Arhitektura koja nadopunjuje ISMS
NIS2 direktiva: Kompletni vodič za Hrvatsku: Regulatorni okvir koji zahtijeva ISO 27001 kontrole

POVEZANA USLUGA

O AUTORU

Robert Lozo

Partner · CIPP/E · CIPM · CISM

Robert savjetuje organizacije o GDPR-u, NIS2, EU AI Actu i financijskoj regulativi, isporučuje dokumentaciju spremnu za reviziju i programe usklađenosti u reguliranim industrijama.