Raptoric Journal/Sigurnosni program i rizik
Sigurnosni program i rizik15. lipnja 2026. · 13 min čitanja

Procjena rizika: kako je provesti korak po korak

Procjena rizika je temelj svake ozbiljne sigurnosti. Bez nje ulažete nasumično. Evo kako provesti procjenu rizika korak po korak i pretvoriti je u plan.
Analitičarka rizika pregledava matricu i toplinsku kartu rizika na zaslonu.
Autor
AL
Ana Levantić
Sigurnosni program, rizik i usklađenost
Podijelite
LinkedInX / TwitterCopy link

Procjena rizika je temelj svake ozbiljne sigurnosti. Bez nje tvrtka ulaže nasumično: kupuje alate koji rješavaju probleme koje možda i nema, a previđa rizike koji je stvarno mogu pogoditi. Procjena rizika daje odgovor na jednostavno, ali ključno pitanje: što nam se može dogoditi, koliko je to vjerojatno i koliko bi nas koštalo. Ovaj tekst objašnjava kako provesti procjenu rizika korak po korak i pretvoriti je u konkretan plan.

Ovo je dio našeg pregleda sigurnosnog programa. Procjenu rizika provodimo kroz upravljanje, rizik i usklađenost.

Što je procjena rizika

Procjena rizika je strukturiran proces utvrđivanja što vrijedno posjedujete, čemu je to izloženo i koliko bi vas stajalo ako se nešto dogodi. Rizik nije isto što i prijetnja: rizik je spoj vjerojatnosti da se prijetnja ostvari i učinka koji bi imala. Zato se ne gledaju samo prijetnje, nego i koliko su vjerojatne i koliko bi naštetile baš vašoj tvrtki.

Koraci procjene rizika

Procjena slijedi prepoznatljiv slijed koraka, usklađen s priznatim okvirima.1

  1. 01
    Popišite imovinu
    Utvrdite što štitite: podatke, sustave, procese i ljude koji su tvrtki važni.
  2. 02
    Utvrdite prijetnje i ranjivosti
    Za svaku imovinu razmotrite što joj prijeti i gdje je slaba.
  3. 03
    Procijenite vjerojatnost i učinak
    Za svaki rizik ocijenite koliko je vjerojatan i kolika bi bila šteta.
  4. 04
    Odredite razinu rizika
    Spojite vjerojatnost i učinak u ocjenu koja omogućuje usporedbu i prioritizaciju.
  5. 05
    Odlučite o postupanju
    Za svaki rizik odlučite hoćete li ga smanjiti, prenijeti, prihvatiti ili izbjeći.

Kako odrediti razinu rizika

Najčešći alat je matrica rizika, koja kombinira vjerojatnost i učinak u jednostavnu ocjenu. Ne mora biti složena: i ljestvica niskog, srednjeg i visokog rizika dovoljna je da se rizici poredaju po važnosti. Cilj nije savršena preciznost, nego dosljedna usporedba koja pomaže odlučiti gdje uložiti prvo.

Učinak \ VjerojatnostNiskaVisoka
Mali učinakNizak rizikSrednji rizik
Velik učinakSrednji rizikVisok rizik
Pojednostavljena matrica rizika.

Što s rizikom nakon procjene

Procjena je vrijedna samo ako vodi u akciju. Za svaki rizik postoje četiri mogućnosti: smanjiti ga kontrolama, prenijeti ga (primjerice osiguranjem ili na pružatelja), prihvatiti ga ako je nizak, ili izbjeći prestankom rizične aktivnosti. Te odluke i njihovo praćenje čine upravljanje rizicima, kontinuirani proces koji slijedi nakon procjene.

Veza s usklađenošću

Procjena rizika nije samo dobra praksa, nego i zahtjev. ISO 27001 traži procjenu rizika kao temelj sustava upravljanja, a NIS2 i DORA traže upravljanje rizicima utemeljeno na njihovoj procjeni. Dobro provedena procjena tako pokriva više obveza odjednom.

Kako Raptoric pomaže

Provodimo procjenu rizika prilagođenu vašoj tvrtki i pretvaramo je u prioritetni plan, kroz upravljanje, rizik i usklađenost. Dogovorite uvodni razgovor.

Česta pitanja

Koja je razlika između rizika i prijetnje?
Prijetnja je nešto što vam može naštetiti, a rizik je spoj vjerojatnosti da se prijetnja ostvari i učinka koji bi imala. Zato se gledaju i vjerojatnost i šteta, ne samo postojanje prijetnje.
Mora li procjena rizika biti složena?
Ne. I jednostavna ljestvica niskog, srednjeg i visokog rizika dovoljna je da se rizici poredaju po važnosti. Cilj je dosljedna usporedba koja pomaže odlučiti gdje uložiti prvo, ne savršena preciznost.
Koliko često raditi procjenu rizika?
Barem jednom godišnje i nakon svake veće promjene u tvrtki, tehnologiji ili prijetnjama. Procjena nije jednokratan dokument, nego osnova koju treba redovito osvježavati.
Traže li propisi procjenu rizika?
Da. ISO 27001 traži procjenu rizika kao temelj sustava upravljanja, a NIS2 i DORA traže upravljanje rizicima utemeljeno na njihovoj procjeni. Dobro provedena procjena pokriva više obveza odjednom.

Izvori

  1. 1NIST. SP 800-30: Guide for Conducting Risk Assessments. National Institute of Standards and Technology, 2012. Poveznica
  2. 2ISO/IEC. ISO/IEC 27005: Information security risk management. International Organization for Standardization, 2022. Poveznica
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →