Sigurnosni program i rizik21. lipnja 2026. · 12 min čitanja

SOC 2 ili ISO 27001: što napraviti prvo?

Oba dokazuju da sigurnost shvaćate ozbiljno: jedan je američka atestacija, drugi globalni certifikat. Pravi prvi korak ovisi o tome kome prodajete.
Voditelj usklađenosti uspoređuje SOC 2 izvještaj i ISO 27001 certifikat na stolu.

Ako poslužujete klijente u Sjedinjenim Državama i kupci vas tijekom nabave stalno traže sigurnosni izvještaj, počnite sa SOC 2. Ako prodajete u Europi, na Bliskom istoku ili u Aziji, ili trebate dokaz koji se čisto mapira na propise poput NIS2 i DORA-e, počnite s ISO 27001. To je kratki odgovor i za većinu tvrtki vrijedi. U Hrvatskoj i širem EU-u ISO 27001 je uvriježeni standard koji kupci i javni naručitelji prepoznaju, dok je SOC 2 prije svega zahtjev američkog tržišta.

Ovaj posao radimo za regulirane tvrtke srednje veličine i velike tvrtke, a pitanje koje najčešće čujemo nije koji je okvir bolji. Oba su vjerodostojna. Pravo pitanje je redoslijed. U prvoj godini obično ne možete jednom gnati oba i ne biste trebali. Pogrešan prvi izbor troši tromjesečje inženjerskog vremena, a posao i dalje ostaje blokiran. Cijeli rad usklađenosti vodimo kroz sigurnosni program i rizik.

Što je SOC 2

SOC 2 je atestacijski izvještaj izrađen prema standardima američkog instituta ovlaštenih računovođa. Licencirana CPA tvrtka ispituje vaše kontrole u odnosu na kriterije pouzdanih usluga i izdaje mišljenje. SOC 2 se ne certificira. Dobivate izvještaj koji revizor potpisuje i koji dijelite s kupcima pod ugovorom o tajnosti. Ta razlika je važna jer kupci traže sam izvještaj, ne logotip ni broj certifikata.

Kriteriji pouzdanih usluga pokrivaju pet kategorija: sigurnost, dostupnost, integritet obrade, povjerljivost i privatnost. Sigurnost je obvezna i često se naziva zajedničkim kriterijem. Ostale četiri su neobavezne i uključujete ih samo ako odgovaraju onome što obećavate kupcima. Opseg izvještaja prilagođavate svojim uslužnim obvezama, što SOC 2 daje korisnu fleksibilnost, ali znači i da su dva SOC 2 izvještaja rijetko istovjetna. Izvještaj Type I opisuje jesu li kontrole dobro oblikovane u jednom trenutku, dok Type II provjerava jesu li djelovale učinkovito kroz razdoblje, obično tri do dvanaest mjeseci. Type II je izvještaj koji ozbiljna nabava očekuje.

Što je ISO 27001

ISO/IEC 27001 je međunarodna norma za sustav upravljanja informacijskom sigurnošću, koji norma naziva ISMS. Certificirate se prema njoj kod akreditiranog certifikacijskog tijela, a taj certifikat priznat je globalno. Dok SOC 2 daje izvještaj koji opisuje kontrole, ISO 27001 certificira sustav upravljanja: dokumentiran i ponovljiv način prepoznavanja rizika, postupanja s njim, mjerenja je li postupanje uspjelo i poboljšavanja kroz vrijeme. Certifikat je javan i možete ga navoditi u prodaji.

Aktualna verzija je ISO/IEC 27001:2022. Dodatak A navodi 93 kontrole razvrstane u četiri teme: organizacijske, ljudske, fizičke i tehnološke. Ne morate primijeniti svih 93. Procijenite rizik, odlučite koje kontrole vrijede, a ostale dokumentirate kao neprimjenjive uz obrazloženje u Izjavi o primjenjivosti. Taj dokument je srce certifikacije, što razrađujemo u tekstovima o Izjavi o primjenjivosti i Dodatku A. Kako certifikacija izgleda u hrvatskom kontekstu, pišemo u tekstu o ISO 27001 u Hrvatskoj.

Ključne razlike koje određuju redoslijed

Dva okvira uvelike se preklapaju u tehničkim kontrolama, što je dobra vijest. Kontrola pristupa, upravljanje promjenama, upravljanje ranjivostima, enkripcija, evidentiranje i odgovor na incidente pojavljuju se u oba. Razlike su u obliku, publici i geografiji. SOC 2 je izvještaj, ISO 27001 je certifikat. SOC 2 je nastao za sjevernoameričko tržište, ISO 27001 za svijet. SOC 2 dopušta da opseg svedete na svoje uslužne obveze, ISO 27001 traži formalan sustav upravljanja oko rizika.

SOC 2 dokazuje da su vaše kontrole radile. ISO 27001 dokazuje da vodite sustav koji ih održava ispravnima. Kupci na različitim tržištima traže različit dokaz.

Upravo zato geografija obično određuje redoslijed. Tvrtka koja prodaje američkim velikim klijentima naletjet će na zahtjev za SOC 2 u gotovo svakom poslu. Tvrtka koja prodaje u EU ili posluje u reguliranim sektorima ustanovit će da ISO 27001 nosi veću težinu i izravnije se mapira na regulatorna očekivanja. Nijedan okvir sam po sebi nije jamstvo sigurnosti.

Kako odlučiti što ide prvo

Odluku donesite prema svom prodajnom lijevku, ne prema sklonosti. Okvir koji prvi trebate steći jest onaj koji u sljedećih dvanaest mjeseci otključava najviše prihoda. Izvucite sigurnosne upitnike i ugovorne primjedbe na kojima vaš prodajni tim sjedi i pročitajte što kupci stvarno traže. Dokument na koji se pozivaju daje odgovor brže od bilo koje opće smjernice.

  • Odaberite SOC 2 prvo ako većina prihoda dolazi od američkih kupaca, ako se poslovi zaustavljaju na upitnicima koji traže SOC 2 Type II i ako su vaši kupci tehnološke tvrtke koje izvještaj smatraju osnovnim uvjetom.
  • Odaberite ISO 27001 prvo ako prodajete u Europi, na Bliskom istoku ili u Aziji, ako natječaji izrijekom traže certifikat ili ako poslujete u sektoru koji dodiruju NIS2 ili DORA, gdje priznat sustav upravljanja podupire vašu regulatornu priču.
  • Odaberite ISO 27001 prvo ako očekujete da ćete trebati oba, jer vam ISMS daje upravljačku okosnicu koja kasniji SOC 2 čini znatno jeftinijim za dodavanje.
  • Odaberite SOC 2 prvo ako vam je brzina do jednog blokirajućeg posla važnija od širine, jer se Type I može izraditi brzo dok razdoblje za Type II teče.
  • Po zadanome odaberite ISO 27001 ako je vaša baza kupaca uistinu mješovita po regijama, jer je certifikat razumljiv gotovo svugdje, dok je prepoznatost SOC 2 izvan Sjeverne Amerike neujednačena.

Proces pripreme, korak po korak

Koji god okvir odaberete, put do prve revizije ima isti oblik. Nazivi se razlikuju, posao ne. Definirate opseg sustava, pronađete nedostatke, popravite ih, generirate dokaze da kontrole rade i tek onda dovodite ocjenjivača. Preskakanje faze nedostataka i otklanjanja najčešći je razlog zašto prva revizija završi s primjedbama ili nesukladnošću.

  • Definirajte opseg odlukom koje sustave, proizvode, podatke i timove izvještaj ili certifikat pokriva, jer preširok opseg umnaža kontrole koje morate dokazati.
  • Provedite procjenu nedostataka koja uspoređuje trenutne kontrole s kriterijima ili Dodatkom A i daje prioritiziran popis onoga što nedostaje.
  • Otklonite nedostatke pisanjem politika, postavljanjem tehničkih kontrola i dodjelom vlasnika, što je obično najduža faza u koju ide najviše inženjerskog vremena.
  • Provodite kontrole dovoljno dugo da generirate dokaze, jer SOC 2 Type II treba razdoblje promatranja, a ISO 27001 Stage 2 dokaz da je ISMS stvarno radio.
  • Angažirajte ocjenjivača, CPA tvrtku za SOC 2 ili akreditirano certifikacijsko tijelo za ISO 27001, i poduprite reviziju traženim dokazima.
  • Održavajte program nakon prvog izvještaja kroz kontinuirani nadzor, povremenu ponovnu procjenu rizika te nadzorne revizije ili godišnje obnove SOC 2.

Možete li voditi oba i kako dijele posao

Da, i mnoge regulirane tvrtke unutar dvije godine drže oba. Pametan potez je prvo izgraditi ISO 27001 sustav upravljanja, a zatim SOC 2 kontrole mapirati na istu bazu dokaza. Velik dio tehničkih kontrola zadovoljava oba okvira odjednom, pa drugi certifikat stoji znatno manje od prvog. Obrnut redoslijed također radi, ali je nešto manje čist jer SOC 2 ne nameće formalnu procjenu rizika koju vam ISO 27001 daje sam po sebi.

Ako uz potražnju kupaca očekujete i regulatorni pritisak, sustav upravljanja isplati se dodatno. Radni ISMS daje upravljačke dokaze koje revizori i regulatori očekuju, što je bitno pod DORA-om za financijske subjekte i pod NIS2 za operatore ključnih i važnih usluga. Nijedan propis ne traži ISO 27001 imenom, ali certifikacija proizvodi velik dio dokaza koje ti režimi traže.

Česte pogreške

Propusti koje viđamo rijetko su tehnički. Obično su o opsegu, vlasništvu i tretiranju certifikata kao papirologije. Čist izvještaj nad šupljim programom nikoga dugo ne zavarava, a prvi stvarni incident otkrije prazninu.

  • Odabir okvira koji vam je draži umjesto onoga koji kupci traže, čime dobivate certifikat koji nitko nije tražio dok blokirani poslovi ostaju blokirani.
  • Preširok opseg u prvoj godini, koji napuhuje skup kontrola, oteže otklanjanje i podiže cijenu revizije bez poslovne koristi.
  • Tretiranje SOC 2 kao dokaza sigurnosti, a ne kao dokaza određenih kontrola, čime stvarne ranjivosti ostaju neotestirane.
  • Preskakanje neovisnog tehničkog testiranja uz pretpostavku da ga revizija pokriva, dok nijedan okvir ne zamjenjuje stvarni penetracijski test aplikacija i mreže.
  • Puštanje da program zamre između revizija, što se pred svaku obnovu pretvara u grozničavu pripremu i kupcima signalizira da su kontrole predstava, a ne praksa.

Gdje se uklapa tehničko testiranje

Oba okvira očekuju da testirate svoju obranu, a nijedan to testiranje ne radi umjesto vas. Revizor provjerava imate li proces upravljanja ranjivostima i postupate li po nalazima. Revizor ne provaljuje u vaše sustave da potvrdi jesu li nalazi potpuni. To je posao penetracijskog testa, a vjerodostojan izvještaj neovisnih testera istovremeno jača i vaše revizijske dokaze i prodajne razgovore. Naša ofenzivna sigurnost i sigurnost aplikacija daju dokaze koji stoje ispod jezika kontrola i u SOC 2 i u ISO 27001. Ako vam je razlika između skeniranja i stvarnog testa nova, objašnjavamo je u tekstu o procjeni ranjivosti i penetracijskom testiranju.

Gdje mi pomažemo

Pomažemo reguliranim tvrtkama da prvo odaberu pravi okvir, zatvore kontrolne nedostatke koji blokiraju reviziju i izrade tehničke dokaze koji izvještaj ili certifikat čine otpornim na provjeru. Odluka o okviru treba slijediti vaš prodajni lijevak i regulatornu izloženost, a ne predložak, pa angažman dimenzioniramo prema certifikatu koji najprije otključava prihod. Više o pristupu pišemo na stranici sigurnosni program i rizik. Kad budete spremni mapirati svoju situaciju u redoslijed, dogovorite uvodni razgovor i proći ćemo vašu bazu kupaca, rokove i najbrži put do prvog certifikata koji je važan. Trošak i trajanje razrađujemo i u tekstu o cijeni penetracijskog testiranja, koji nabava često uključuje u isti sigurnosni program.

Česta pitanja

Je li ISO 27001 teži od SOC 2?
Nije teži, nego drugačiji. ISO 27001 traži formalnu procjenu rizika i dokumentiran sustav upravljanja uz uključenost vodstva, što se na početku čini teže. SOC 2 je lakši za pokrenuti, ali razdoblje promatranja za Type II znači da završni izvještaj ne možete ubrzati. Tvrtke s discipliniranim inženjerstvom često ISO 27001 smatraju čišćim jer daje strukturu, dok one koje love jedan američki posao SOC 2 smatraju bržim do upotrebljivog rezultata.
Istječe li SOC 2?
SOC 2 izvještaj ne istječe kao certifikat, ali pokriva fiksno razdoblje i zastarijeva. Kupci očekuju izvještaj ne stariji od dvanaest mjeseci, pa ga u praksi obnavljate godišnje novim Type II ispitivanjem. Ako izvještaj ostari preko godinu dana, u nabavi će početi izazivati pitanja.
Hoće li ISO 27001 zadovoljiti kupca koji je tražio SOC 2?
Ponekad, ali ne pouzdano. Iskusan kupac koji razumije oba često prihvaća ISO 27001 kao istovrijedan dokaz zrelog programa. Kontrolni popis nabave koji je tvrdo postavljen na SOC 2 može odbiti sve drugo bez obzira na vrijednost. Ako određeni ugovor imenuje SOC 2, najsigurniji put je izraditi SOC 2, a ne dokazivati istovrijednost i riskirati posao.
Dokazuju li ovi okviri da smo sigurni?
Ne. Oba dokazuju da imate kontrole i, u slučaju SOC 2, da su te kontrole djelovale kroz razdoblje. Nijedan ne dokazuje da napadač ne može ući. To traži neovisno ofenzivno testiranje stvarnih sustava. Okvir koristite za dokaz upravljanja, a penetracijsko testiranje za dokaz otpornosti, i oboje pokažite kupcima koji znaju razliku.
Kako se odnose na NIS2 i DORA-u?
Nijedan propis ne nameće SOC 2 ili ISO 27001 imenom. Oba režima traže upravljanje rizikom, postupanje s incidentima i dokazivo upravljanje, a ISO 27001 ISMS proizvodi velik dio tih dokaza izravno. Ako vaše poslovanje potpada pod neki od tih režima, temelj u ISO 27001 čini regulatorni posao lakšim, što je još jedan razlog zašto tvrtke s mješovitim tržištem obično kreću od njega.

Izvori

  1. 1AICPA. Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy. American Institute of Certified Public Accountants, 2017 (rev. 2022). Poveznica
  2. 2ISO/IEC. ISO/IEC 27001:2022 Information security management systems — Requirements. International Organization for Standardization, 2022. Poveznica
Povezana usluga
Sigurnosni program i rizik
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor