Raptoric Journal/Sigurnosni program i rizik
Sigurnosni program i rizik15. lipnja 2026. · 12 min čitanja

ISMS: sustav upravljanja informacijskom sigurnošću

ISMS je okvir koji sigurnost pretvara iz niza alata u upravljiv sustav. Evo što ISMS jest, na čemu počiva i zašto je srce ISO 27001 certifikata.
Voditeljica informacijske sigurnosti pregledava sustav upravljanja i okvir politika na zaslonu.
Autor
AL
Ana Levantić
Sigurnosni program, rizik i usklađenost
Podijelite
LinkedInX / TwitterCopy link

ISMS, od engleskog Information Security Management System, sustav je upravljanja informacijskom sigurnošću. To je okvir politika, procesa i odgovornosti koji sigurnost pretvara iz nasumičnog niza alata u upravljiv, ponovljiv sustav. ISMS je srce norme ISO 27001: certifikat se zapravo dodjeljuje za ispravno postavljen i održavan ISMS, ne za pojedinačne alate. Ovaj tekst objašnjava što ISMS jest, na čemu počiva i kako se gradi.

Ovo je dio našeg pregleda sigurnosnog programa. Uspostavu ISMS-a vodimo kroz upravljanje, rizik i usklađenost.

Što ISMS rješava

Mnoge tvrtke imaju sigurnosne alate, ali nemaju sustav. Kupe vatrozid, antivirus i sigurnosne kopije, ali nitko ne zna postoji li politika, tko je odgovoran i pokriva li to stvarne rizike. ISMS rješava upravo taj nered: daje strukturu u kojoj se zna što se štiti, zašto, tko je odgovoran i kako se provjerava da kontrole djeluju.

Na čemu ISMS počiva

ISMS nije zbirka dokumenata radi revizije, nego sustav s nekoliko temeljnih elemenata.1

  • Opseg, dakle jasna granica što ISMS pokriva u tvrtki.
  • Procjenu rizika kao temelj svih odluka o kontrolama.
  • Politike i procese koji propisuju kako se sigurnost provodi.
  • Jasne uloge i odgovornosti, uključujući podršku uprave.
  • Mjerenje i interni audit koji provjeravaju djeluje li sustav.
  • Stalno poboljšanje na temelju nalaza i promjena.

Ciklus stalnog poboljšanja

ISMS se temelji na ciklusu planiraj-provedi-provjeri-poboljšaj. To znači da sigurnost nije projekt s krajem, nego proces koji se ponavlja: planiraju se kontrole, provode, provjerava se djeluju li i na temelju toga poboljšava. Upravo zato certifikat nije trajan: održava se redovitim provjerama.

  1. 01
    Planiraj
    Odredi opseg, procijeni rizike i odaberi kontrole koje ih smanjuju.
  2. 02
    Provedi
    Uvedi politike, procese i kontrole te dodijeli odgovornosti.
  3. 03
    Provjeri
    Mjeri učinkovitost i provedi interni audit.
  4. 04
    Poboljšaj
    Ukloni nedostatke i prilagodi sustav promjenama.

ISMS i ISO 27001

ISO 27001 je norma koja propisuje zahtjeve za ISMS. Drugim riječima, ISMS je sadržaj, a ISO 27001 je standard prema kojem se taj sadržaj ocjenjuje. Tvrtka može imati ISMS bez certifikata, ali ne može dobiti certifikat bez ISMS-a. Detaljan put do certifikata opisujemo u vodiču za ISO 27001.

Kako Raptoric pomaže

Pomažemo uspostaviti ISMS koji stvarno smanjuje rizik i izdrži reviziju, utemeljen na procjeni rizika i prilagođen vašoj tvrtki, kroz upravljanje, rizik i usklađenost. Dogovorite uvodni razgovor.

Česta pitanja

Što je ISMS?
Sustav upravljanja informacijskom sigurnošću: okvir politika, procesa i odgovornosti utemeljen na procjeni rizika. Pretvara sigurnost iz nasumičnog niza alata u upravljiv, ponovljiv sustav.
Koja je razlika između ISMS-a i ISO 27001?
ISMS je sadržaj, dakle sam sustav upravljanja sigurnošću. ISO 27001 je norma koja propisuje zahtjeve za taj sustav. Tvrtka može imati ISMS bez certifikata, ali ne može dobiti certifikat bez ISMS-a.
Je li ISMS jednokratan posao?
Nije. ISMS se temelji na ciklusu planiraj-provedi-provjeri-poboljšaj i traži stalno održavanje. Certifikat se zato ne dodjeljuje trajno, nego se održava redovitim provjerama.
Treba li ISMS samo velikim tvrtkama?
Ne. ISMS se prilagođava veličini i rizicima tvrtke. I manja organizacija ima koristi od jasnih politika, odgovornosti i procjene rizika, čak i ako ne ide na certifikat.

Izvori

  1. 1ISO/IEC. ISO/IEC 27001:2022: Information security management systems. International Organization for Standardization, 2022. Poveznica
  2. 2ISO/IEC. ISO/IEC 27003: ISMS implementation guidance. International Organization for Standardization, 2017. Poveznica
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →