Raptoric Journal/Sigurnosni program i rizik
Sigurnosni program i rizik2. lipnja 2026. · 11 min čitanja

ISO 27001 u Hrvatskoj: put do certifikata

ISO 27001 potvrđuje da informacijskom sigurnošću upravljate kao trajnim, vođenim procesom. Evo što obuhvaća, kako teče certifikacija i zašto sigurnost mora doći prije certifikata.
Autor
R
Raptoric, program i rizik
Podijelite
LinkedInX / TwitterCopy link

ISO/IEC 27001 je međunarodna norma za sustav upravljanja informacijskom sigurnošću, poznat pod kraticom ISMS. Certifikat dokazuje da tvrtka sustavno upravlja rizicima za svoje podatke i sustave, a ne da rješava sigurnost ad hoc kad nešto pukne. U Hrvatskoj certifikat sve češće traže banke, osiguratelji, javni naručitelji i veliki inozemni partneri kao uvjet suradnje. Put do certifikata traje između šest i dvanaest mjeseci za organizaciju srednje veličine, ovisno o tome koliko ste blizu zahtjevima na početku.

U ovom vodiču objašnjavamo što norma stvarno traži, kako izgleda proces korak po korak, koje dokumente i dokaze morate pripremiti i koliko to košta. Pišemo iz perspektive inženjera koji rade sigurnosno testiranje i pripremaju tvrtke za reviziju. Naš stav je jednostavan. Certifikat je vrijedan samo ako iza njega stoji sigurnost koja stvarno radi. Papir bez kontrole koja funkcionira ne štiti nikoga. Zato kroz cijeli tekst povezujemo zahtjeve norme s konkretnim tehničkim radom, od procjene ranjivosti do penetracijskog testiranja.

Što je ISO 27001 i zašto je važan

ISO/IEC 27001:2022 propisuje zahtjeve za uspostavu, primjenu, održavanje i stalno poboljšavanje sustava upravljanja informacijskom sigurnošću. Norma ne govori koju tehnologiju morate kupiti. Govori kako morate razmišljati o rizicima i kako morate dokazati da ih držite pod kontrolom. Riječ sustav je ovdje ključna. Ne radi se o jednom alatu ili jednoj politici, nego o povezanom skupu procesa koji žive i mijenjaju se s tvrtkom.

Verzija iz 2022. donosi 93 kontrole raspoređene u četiri teme. Te teme su organizacijske kontrole, kontrole vezane uz ljude, fizičke kontrole i tehnološke kontrole. Kontrole su popisane u Prilogu A norme i detaljno opisane u pratećoj normi ISO/IEC 27002. Tvrtka ne mora primijeniti svih 93. Mora odlučiti koje su primjenjive na temelju procjene rizika i to obrazložiti u dokumentu koji se zove Izjava o primjenjivosti.

Važnost certifikata raste jer regulatorni pritisak u Europi raste. NIS2 direktiva i hrvatski Zakon o kibernetičkoj sigurnosti uvode obveze za širok krug subjekata. DORA uredba postavlja stroge zahtjeve za financijski sektor. ISO 27001 nije isto što i te regulative, ali daje provjeren okvir koji pokriva velik dio njihovih zahtjeva. Tvrtka koja već ima ISMS ulazi u usklađivanje s NIS2 ili DORA-om s ozbiljnom prednošću.

Tko u Hrvatskoj treba ISO 27001

Norma je dobrovoljna. Nitko vas zakonom ne tjera da imate baš ISO 27001. U praksi je situacija drukčija. Certifikat postaje uvjet za posao u nizu situacija, posebno kad radite s reguliranim sektorima ili s podacima koji su osjetljivi. Tržište ga traži i tamo gdje ga zakon izričito ne propisuje.

  • Pružatelji IT usluga i softvera koji prodaju bankama, osigurateljima ili velikim korporacijama gotovo redovito moraju dokazati certificirani ISMS prije potpisa ugovora.
  • Tvrtke koje sudjeluju u javnoj nabavi sve češće nailaze na ISO 27001 kao uvjet ili kao bodovani kriterij u natječajnoj dokumentaciji.
  • Subjekti koji ulaze u opseg NIS2 i Zakona o kibernetičkoj sigurnosti, primjerice energetika, promet, zdravstvo i digitalna infrastruktura, koriste normu kao temelj za dokazivanje usklađenosti.
  • Financijske institucije pod nadzorom HNB-a i Hanfe trebaju robustan okvir upravljanja rizicima, a ISO 27001 se dobro povezuje sa zahtjevima DORA-e.
  • Tvrtke koje pohranjuju ili obrađuju velike količine osobnih podataka koriste certifikat kao dokaz dubinske pažnje prema klijentima i nadzornim tijelima.

Ako niste sigurni gdje stojite, vrijedi početi od šire slike. Naš tekst o tome odakle krenuti u kibernetičkoj sigurnosti pomaže posložiti prioritete prije nego što uložite u formalni certifikat.

Struktura norme i 93 kontrole

Norma se dijeli na dva dijela. Prvi dio su klauzule od 4 do 10 koje opisuju sam sustav upravljanja. Tu spadaju kontekst organizacije, vodstvo, planiranje, podrška, izvođenje, vrednovanje i poboljšavanje. Te klauzule su obvezne za svaku certificiranu tvrtku. One su srce ISMS-a i revizor ih provjerava bez iznimke.

Drugi dio je Prilog A s 93 kontrole. Kontrole su sredstva kojima smanjujete rizik. Organizacijske kontrole pokrivaju politike, uloge, upravljanje dobavljačima i upravljanje incidentima. Kontrole vezane uz ljude pokrivaju provjere pri zapošljavanju, svjesnost i edukaciju. Fizičke kontrole pokrivaju pristup prostorima i zaštitu opreme. Tehnološke kontrole pokrivaju kriptografiju, sigurnost mreže, upravljanje ranjivostima i sigurnost razvoja softvera.

Verzija iz 2022. uvela je nove kontrole koje odražavaju kako se prijetnje danas razvijaju. Među njima su obavještajni podaci o prijetnjama, sigurnost u cloudu, spremnost na incidente i sigurno kodiranje. Te kontrole nisu samo papir. Iza njih mora stajati stvaran rad. Kontrola upravljanja tehničkim ranjivostima, na primjer, traži da redovito tražite i ispravljate slabe točke. To se najbolje dokazuje kroz redovitu procjenu ranjivosti i periodičko penetracijsko testiranje.

Proces certifikacije korak po korak

Put do certifikata ima jasan slijed. Svaki korak gradi na prethodnom. Preskakanje koraka gotovo uvijek se osveti na reviziji. Ovdje opisujemo tipičan tijek za organizaciju srednje veličine koja kreće od nule.

  • Analiza odstupanja na početku pokazuje koliko ste daleko od zahtjeva norme, pa znate realan opseg posla prije nego što potrošite vrijeme i novac.
  • Definiranje opsega ISMS-a određuje koje lokacije, sustavi i poslovni procesi ulaze unutar granica certifikata, jer ne morate certificirati cijelu tvrtku odjednom.
  • Procjena rizika i postupanje s rizicima identificiraju prijetnje za vašu imovinu i odluke o tome koje kontrole iz Priloga A primjenjujete.
  • Izrada dokumentacije obuhvaća politike, postupke i Izjavu o primjenjivosti koja obrazlaže izbor svake kontrole.
  • Primjena kontrola pretvara dokumente u stvarni rad, od tehničkih zaštita do edukacije zaposlenika.
  • Interna revizija i upravina ocjena provjeravaju radi li sustav prije nego što dolazi vanjski revizor.
  • Certifikacijska revizija u dvije faze, koju provodi akreditirano certifikacijsko tijelo, vodi do izdavanja certifikata ako je sve u redu.

Certifikacijska revizija ima dvije faze. U prvoj fazi revizor provjerava vašu dokumentaciju i spremnost. U drugoj fazi provjerava radi li sustav u praksi, kroz razgovore, uzorke i dokaze. Certifikat vrijedi tri godine, uz nadzorne revizije svake godine i recertifikaciju na kraju ciklusa.

Procjena rizika kao srce sustava

Procjena rizika je dio koji najviše ljudi podcijeni. To nije administrativna vježba. To je trenutak u kojem stvarno odlučujete što štitite i koliko. Loša procjena rizika daje vam ISMS koji troši resurse na pogrešnim mjestima i ostavlja prave prijetnje bez odgovora.

Dobra procjena rizika kreće od popisa imovine. Imovina su podaci, sustavi, aplikacije, ljudi i dobavljači. Za svaku imovinu procjenjujete prijetnje i ranjivosti, pa kombinirate vjerojatnost i učinak u ocjenu rizika. Zatim odlučujete kako postupiti. Rizik možete smanjiti kontrolom, prenijeti ga, prihvatiti ili izbjeći. Te odluke morate dokumentirati i moći obraniti pred revizorom.

Ovdje se sigurnosno testiranje i upravljanje rizicima spajaju. Procjena rizika koja se oslanja samo na pretpostavke ostaje teorijska. Kad pokrenemo penetracijsko testiranje na vašim ključnim sustavima, dobivate dokaze o tome koje su ranjivosti stvarno iskoristive. Ti dokazi čine procjenu rizika konkretnom, a ne nagađanjem. Norma u kontroli upravljanja tehničkim ranjivostima upravo to i traži.

Certifikat dokazuje da kontrolu imate. Sigurnosno testiranje dokazuje da kontrola radi. Tražite oboje.

Dokumentacija i dokazi koje revizor traži

ISO 27001 počiva na dokazima. Revizor ne vjeruje na riječ. Traži dokumente i zapise koji pokazuju da sustav radi onako kako tvrdite. Dokumentacija se dijeli na obveznu, koju norma izričito traži, i na zapise koji nastaju kao rezultat rada sustava.

  • Opseg ISMS-a, politika informacijske sigurnosti i ciljevi sigurnosti čine temeljne dokumente koje revizor traži prvi.
  • Metodologija procjene rizika, sama procjena rizika i plan postupanja s rizicima pokazuju kako odlučujete o zaštiti.
  • Izjava o primjenjivosti popisuje svih 93 kontrole, navodi koje primjenjujete i obrazlaže izostavljene.
  • Zapisi o edukaciji, internim revizijama, upravinim ocjenama i postupanju s incidentima dokazuju da sustav živi tijekom vremena.
  • Tehnički dokazi poput izvještaja o procjeni ranjivosti, nalaza penetracijskog testiranja i evidencije ispravaka pokazuju da tehnološke kontrole stvarno funkcioniraju.

Mnoge tvrtke pripreme savršene dokumente, ali zapnu na zapisima. Revizor će tražiti dokaz da ste prošli mjesec stvarno proveli internu reviziju, a ne samo da imate postupak za nju. Najčešća greška je dokumentacija koja opisuje idealnu tvrtku koja ne postoji. Kroz uslugu upravljanja, rizika i usklađenosti pomažemo da dokumentacija opisuje stvaran rad, a ne želju.

Koliko košta i koliko traje

Trošak ISO 27001 certifikacije dijeli se na nekoliko stavki. Prva je interni trošak vremena vaših ljudi. Druga je trošak vanjske pomoći za pripremu, ako je angažirate. Treća je trošak same certifikacijske revizije koju naplaćuje certifikacijsko tijelo. Četvrta je trošak tehničkih ulaganja u kontrole koje vam nedostaju, primjerice u alate, testiranje ili edukaciju.

Trajanje ovisi o vašoj polaznoj točki. Tvrtka koja već ima uređene procese može doći do certifikata za šest mjeseci. Tvrtka koja kreće od nule treba devet do dvanaest mjeseci, ponekad i više. Veličina opsega presudno utječe na sve. Uži opseg znači manji trošak i kraći rok, ali pazite da opseg ne bude toliko uzak da certifikat izgubi vrijednost za vaše klijente.

Najveća skrivena cijena je posao koji nastaje kad revizor pronađe nesukladnost koju ste mogli izbjeći. Dobra priprema i poštena interna revizija jeftiniji su od ponavljanja faza certifikacijske revizije. Ovdje vrijedi staro pravilo. Platite jednom kako treba, ili platite više puta da popravite.

Kako odabrati certifikacijsko tijelo

Certifikat izdaje certifikacijsko tijelo, a ne vi sami i ne savjetnik koji vas priprema. To je važna razlika. Tijelo koje vas priprema ne smije vas i certificirati, jer to ruši neovisnost revizije. Birajte tijelo koje je akreditirano. Akreditacija znači da je samo tijelo prošlo provjeru nadležnog akreditacijskog tijela i da njegov certifikat ima težinu na tržištu.

  • Provjerite je li certifikacijsko tijelo akreditirano za normu ISO/IEC 27001, jer neakreditirani certifikat klijenti i regulatori mogu odbiti.
  • Pitajte ima li tijelo iskustva u vašoj djelatnosti, jer revizor koji razumije financije ili zdravstvo postavlja relevantnija pitanja.
  • Razdvojite tvrtku koja vas priprema od tvrtke koja vas certificira, kako biste sačuvali neovisnost i kredibilitet certifikata.
  • Tražite jasan plan revizije i raspored, jer ozbiljno tijelo unaprijed zna kako izgleda prva i druga faza.
  • Provjerite uvjete nadzornih revizija i recertifikacije, jer trošak certifikata traje kroz cijeli trogodišnji ciklus, ne samo prve godine.

Najčešće pogreške na putu do certifikata

Vidjeli smo iste pogreške u mnogim tvrtkama. Većina ih nije tehničke prirode. Nastaju zato što tvrtka certifikat tretira kao projekt s rokom, a ne kao način rada. Sustav koji se napuhne tjedan dana prije revizije splasne tjedan dana nakon nje.

  • Opseg ISMS-a postavljen preusko ostavlja ključne sustave izvan certifikata, pa certifikat klijentima ne znači ono što misle da znači.
  • Dokumentacija prepisana iz predloška opisuje tvrtku koja ne postoji, što revizor brzo otkrije kroz razgovore sa zaposlenicima.
  • Procjena rizika napravljena formalno, bez stvarnih tehničkih dokaza, ostavlja prave ranjivosti neprimijećene.
  • Edukacija zaposlenika svedena na potpis na listi ne mijenja ponašanje, pa ljudi i dalje ostaju najslabija točka.
  • Sustav koji se aktivira samo pred reviziju nema zapise tijekom godine, pa nadzorna revizija sljedeće godine otkrije da ISMS zapravo ne živi.
  • Tehnološke kontrole koje se nikad ne testiraju daju lažan osjećaj sigurnosti, dok napadač i dalje može iskoristiti propust koji nitko nije provjerio.

Posljednja pogreška je najopasnija. Tvrtka može proći reviziju i dalje biti ranjiva ako kontrole postoje samo na papiru. Zato inzistiramo na tome da se kontrole dokazuju kroz stvarno testiranje. Naš tekst o tome kako odabrati partnera za penetracijsko testiranje pomaže da taj dio ne svedete na najjeftiniju ponudu.

ISO 27001 i ostali okviri usklađenosti

ISO 27001 dobro surađuje s drugim okvirima. Tvrtke koje rade na više tržišta često trebaju kombinaciju. Razumijevanje preklapanja štedi novac, jer jednom napravljen posao može poslužiti za više okvira odjednom.

SOC 2 izvještaj počiva na Trust Services kriterijima i traži ga američko tržište, posebno za SaaS tvrtke. ISO 27001 i SOC 2 dijele velik dio kontrola, pa tvrtka koja ima jedno lakše dolazi do drugog. NIS2 i Zakon o kibernetičkoj sigurnosti traže upravljanje rizicima i prijavu incidenata, a ISMS po normi pokriva oba zahtjeva. DORA za financijski sektor traži otpornost informacijske i komunikacijske tehnologije, uključujući testiranje, što se izravno povezuje s tehnološkim kontrolama norme.

Tu je i EU akt o umjetnoj inteligenciji. Tvrtke koje grade ili koriste AI sustave dobivaju nove obveze. ISMS je dobra polazna osnova, ali AI nosi vlastite rizike. Naš tekst o sigurnosti AI sustava i prompt injectionu objašnjava prijetnje koje klasične kontrole ne pokrivaju. Ako gradite AI proizvode, sigurnost modela i agenata morate tretirati zasebno.

Česta pitanja

Je li ISO 27001 obvezan u Hrvatskoj?

Norma sama po sebi nije zakonska obveza. Zakon o kibernetičkoj sigurnosti i NIS2 propisuju zahtjeve koje certifikat pomaže ispuniti, ali ne traže baš ISO 27001. U praksi certifikat postaje uvjet za posao s bankama, javnim naručiteljima i velikim partnerima, pa je za mnoge tvrtke poslovno gotovo neizbježan.

Koliko traje priprema za certifikat?

Za tvrtku srednje veličine priprema traje između šest i dvanaest mjeseci. Tvrtke s uređenim procesima mogu biti brže. Tvrtke koje kreću od nule trebaju više vremena, posebno za primjenu kontrola i prikupljanje zapisa koji dokazuju da sustav radi tijekom dovoljno dugog razdoblja.

Trebamo li penetracijsko testiranje za ISO 27001?

Norma izravno ne traži penetracijsko testiranje, ali traži upravljanje tehničkim ranjivostima i provjeru učinkovitosti kontrola. Penetracijsko testiranje i procjena ranjivosti najbolji su način da te zahtjeve dokažete konkretnim nalazima. Revizori sve češće traže takve dokaze, posebno za tehnološke kontrole iz verzije 2022.

Koja je razlika između ISO 27001 i SOC 2?

ISO 27001 je norma s certifikatom koji izdaje akreditirano tijelo i koji vrijedi tri godine. SOC 2 je izvještaj revizora o tome jesu li vaše kontrole zadovoljile Trust Services kriterije u određenom razdoblju. ISO 27001 prevladava u Europi, SOC 2 na američkom tržištu. Dijele mnogo kontrola, pa jedno olakšava drugo.

Tko izdaje certifikat?

Certifikat izdaje akreditirano certifikacijsko tijelo, neovisno od tvrtke koja vas je pripremala. Savjetnik vas može pripremiti, ali ne smije vas i certificirati. Birajte tijelo s akreditacijom za ISO/IEC 27001 i s iskustvom u vašoj djelatnosti, jer to certifikatu daje težinu na tržištu.

Vrijedi li certifikat ako kontrole ne radimo stvarno?

Tehnički, certifikat možete dobiti i s kontrolama koje su uglavnom na papiru, ako revizor previdi nedostatke. Takav certifikat ne štiti vas od napadača i pada na prvoj ozbiljnoj nadzornoj reviziji ili na prvom incidentu. Smisao norme je sigurnost koja radi, a ne dokument koji stoji na zidu.

Kako Raptoric pomaže

Pripremamo tvrtke za ISO 27001 tako da iza svake kontrole stoji stvaran rad. Otkrivamo sigurnosne propuste prije napadača, pa vaša procjena rizika počiva na dokazima, a ne na pretpostavkama. Kroz uslugu upravljanja, rizika i usklađenosti posložimo dokumentaciju, procjenu rizika i Izjavu o primjenjivosti tako da opisuju vašu stvarnu tvrtku. Kroz penetracijsko testiranje i procjenu ranjivosti dokazujemo da tehnološke kontrole funkcioniraju, što revizori sve češće traže.

Ako planirate certifikat ili usklađivanje s NIS2 i DORA-om, prvi korak je razgovor o opsegu i polaznoj točki. Dogovorite razgovor o opsegu i posložit ćemo realan plan, rok i trošak za vašu organizaciju.

Želite li ovakvu provjeru na vlastitim sustavima?
Iskusni inženjer definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →