Raptoric Journal/Sigurnosni program i rizik
Sigurnosni program i rizik15. lipnja 2026. · 12 min čitanja

ISO 27001 Annex A: 93 kontrole u četiri teme

Annex A je popis sigurnosnih kontrola na koje se ISO 27001 oslanja. Evo kako je organiziran u četiri teme, što kontrole pokrivaju i kako se biraju.
Stručnjaci za usklađenost pregledavaju strukturirani katalog kontrola na velikom zaslonu.
Autor
AL
Ana Levantić
Sigurnosni program, rizik i usklađenost
Podijelite
LinkedInX / TwitterCopy link

Annex A je popis sigurnosnih kontrola koji prati normu ISO 27001. Dok glavni dio norme propisuje kako postaviti sustav upravljanja, Annex A nudi katalog konkretnih kontrola iz kojih tvrtka bira one koje smanjuju njezine rizike. U reviziji iz 2022. broj kontrola smanjen je i preuređen u četiri teme. Ovaj tekst objašnjava kako je Annex A organiziran i kako se kontrole biraju.

Ovo je dio našeg pregleda sigurnosnog programa. Odabir i uvođenje kontrola vodimo kroz upravljanje, rizik i usklađenost.

Što je Annex A

Annex A je popis referentnih kontrola, dok njihov detaljan opis daje prateća norma ISO/IEC 27002. Važno je razumjeti da Annex A nije popis obaveza koje sve treba ispuniti. To je katalog iz kojeg tvrtka odabire kontrole relevantne za svoje rizike. Izbor i obrazloženje zapisuju se u Izjavu o primjenjivosti.

Četiri teme

Revizija iz 2022. preuredila je kontrole u četiri jasne teme.1

TemaŠto pokriva
OrganizacijskePolitike, uloge, upravljanje rizikom, odnosi s dobavljačima.
LjudskeZaposlenici: provjere, svijest, obveze i postupanje.
FizičkeZaštita prostora, opreme i fizičkog pristupa.
TehnološkeTehničke kontrole: pristup, kriptografija, zapisi, sigurnost mreže.
Annex A 2022: četiri teme kontrola.

Kako se kontrole biraju

Izbor kontrola izravno proizlazi iz procjene rizika. Za svaki utvrđen rizik tvrtka razmatra koje ga kontrole iz Annexa A smanjuju i koje će uvesti. Ako neka kontrola nije primjenjiva, to se smije, ali se mora obrazložiti. Tako Annex A povezuje rizike s konkretnim mjerama, a ne ostavlja sigurnost na razini dobrih namjera.

  1. 01
    Procijenite rizike
    Utvrdite čemu je tvrtka izložena i koliko.
  2. 02
    Povežite s kontrolama
    Za svaki rizik razmotrite koje kontrole iz Annexa A ga smanjuju.
  3. 03
    Odlučite o primjenjivosti
    Odredite koje kontrole uvodite, a koje ne i zašto.
  4. 04
    Dokumentirajte izbor
    Zapišite odluke u Izjavu o primjenjivosti (SoA).

Što je donijela revizija 2022.

Prijašnja verzija imala je više kontrola raspoređenih u 14 područja. Revizija iz 2022. spojila je i osuvremenila kontrole te ih svela na 93 u četiri teme, uz nove kontrole za teme poput sigurnosti u oblaku i praćenja prijetnji. Cilj je bio jasniji i suvremeniji okvir, bliži današnjim rizicima.

Kako Raptoric pomaže

Pomažemo povezati vaše rizike s pravim kontrolama iz Annexa A i pripremiti dokumentaciju za reviziju, kroz upravljanje, rizik i usklađenost. Dogovorite uvodni razgovor.

Česta pitanja

Koliko kontrola ima Annex A?
U reviziji ISO 27001 iz 2022. Annex A sadrži 93 kontrole organizirane u četiri teme: organizacijske, ljudske, fizičke i tehnološke. Prijašnja verzija imala je više kontrola u 14 područja.
Moraju li se ispuniti sve kontrole iz Annexa A?
Ne. Annex A je katalog, a ne lista obaveza. Tvrtka bira kontrole primjenjive na svoje rizike na temelju procjene rizika, a izbor i izostavljanja obrazlaže u Izjavi o primjenjivosti.
Koje su četiri teme Annexa A?
Organizacijske kontrole, ljudske kontrole, fizičke kontrole i tehnološke kontrole. Ta podjela uvedena je revizijom iz 2022. radi jasnijeg i suvremenijeg okvira.
Kako se biraju kontrole?
Izbor proizlazi iz procjene rizika: za svaki rizik razmatra se koje kontrole iz Annexa A ga smanjuju i koje će se uvesti. Odluke se dokumentiraju u Izjavi o primjenjivosti.

Izvori

  1. 1ISO/IEC. ISO/IEC 27001:2022 — Annex A. International Organization for Standardization, 2022. Poveznica
  2. 2ISO/IEC. ISO/IEC 27002:2022: Information security controls. International Organization for Standardization, 2022. Poveznica
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →