ISO 27001: što je i kako se certificirati (2026.)

Sve više hrvatskih tvrtki u nabavi i sigurnosnim upitnicima nailazi na isto pitanje: "Jeste li certificirani prema ISO 27001?" Za neke je to uvjet posla, za druge način da dokažu zrelost sigurnosti. Ovaj vodič objašnjava što ISO 27001 zapravo jest, kako teče certifikacija i zašto se isplati i kad nije strogo obavezna.

Što je ISO/IEC 27001

ISO/IEC 27001 je međunarodna norma za sustav upravljanja informacijskom sigurnošću (engl. Information Security Management System, ISMS). Za razliku od običnog popisa tehničkih kontrola, ISO 27001 propisuje upravljački okvir: kako sustavno identificirati rizike, odabrati i primijeniti mjere te kontinuirano poboljšavati sigurnost. Drugim riječima, sigurnost se tretira kao trajan proces, a ne jednokratni projekt.

Norma je primjenjiva na organizacije svih veličina i djelatnosti, a certifikat izdaje neovisno akreditirano certifikacijsko tijelo.

Zašto tvrtke uvode ISO 27001

• Uvjet u nabavi — veliki kupci i javni naručitelji sve češće traže certifikat kao dokaz sigurnosti.
• Povjerenje partnera — brži prolazak kroz sigurnosne upitnike i due diligence.
• Smanjenje rizika — sustavno upravljanje rizicima smanjuje vjerojatnost i štetu sigurnosnih incidenata.
• Podrška usklađenosti — dobar ISMS pokriva velik dio zahtjeva NIS2 i tehničkih te organizacijskih mjera iz GDPR čl. 32.

Što obuhvaća ISMS

Sustav upravljanja informacijskom sigurnošću prema ISO 27001 uključuje:

• Procjenu rizika i plan postupanja s rizicima kao temelj cijelog sustava
• Politike i postupke informacijske sigurnosti
• Kontrole (iz Priloga A) — primjerice kontrola pristupa, kriptografija, sigurnost dobavljača, upravljanje incidentima, sigurnost ljudskih resursa
• Uloge i odgovornosti, uz aktivnu podršku uprave
• Interne revizije i upravinu ocjenu
• Kontinuirano poboljšanje (PDCA ciklus: planiraj – provedi – provjeri – djeluj)

Važno je razumjeti da norma ne propisuje da morate primijeniti baš svaku kontrolu — primjenjujete one koje proizlaze iz vaše procjene rizika, a odabir obrazlažete u dokumentu zvanom Izjava o primjenjivosti.

Kako teče certifikacija: 5 koraka

1. Analiza nedostataka i opseg

Prvo se utvrđuje opseg ISMS-a (koji dijelovi organizacije, lokacije i sustavi su obuhvaćeni) i provodi gap analiza — usporedba postojećeg stanja sa zahtjevima norme.

2. Procjena rizika i plan postupanja

Identificirate informacijsku imovinu i rizike, procjenjujete ih te odlučujete kako s njima postupiti (smanjiti, prihvatiti, prenijeti ili izbjeći). Iz toga proizlazi izbor kontrola.

3. Primjena kontrola i dokumentacije

Uvodite odabrane kontrole te izrađujete potrebne politike, postupke i evidencije. Ovdje se sigurnost iz papira pretvara u stvarnu praksu.

4. Interna revizija i upravina ocjena

Prije vanjskog audita provodite internu reviziju kako biste otkrili i ispravili nedostatke, a uprava formalno ocjenjuje sustav.

5. Certifikacijski audit

Neovisno certifikacijsko tijelo provodi audit u dvije faze — pregled dokumentacije (faza 1) i provjeru stvarne provedbe (faza 2). Nakon uspješnog audita dobivate certifikat, koji se održava kroz nadzorne audite i obnavlja u ciklusu od nekoliko godina.

ISO 27001, NIS2 i GDPR

ISO 27001 nije zakonski obavezan, ali snažno olakšava usklađenost s propisima:

• NIS2: mjere upravljanja rizicima koje traži direktiva (upravljanje incidentima, kontrola pristupa, sigurnost lanca opskrbe, kriptografija) uvelike se preklapaju s kontrolama ISO 27001. Certificirana tvrtka u pravilu lakše dokazuje usklađenost.
• GDPR (čl. 32.): ISMS pruža okvir za "odgovarajuće tehničke i organizacijske mjere" i njihovo dokumentiranje, što je dio načela pouzdanosti.

Drugim riječima, ulaganje u ISO 27001 nije izgubljeno čak i ako vas primarno zanima usklađenost s NIS2 ili GDPR-om — radi se o istom temelju.

Uloga ljudi: sigurnost nije samo tehnologija

Najčešća zabluda je da je ISO 27001 IT projekt. Zapravo je velik dio kontrola organizacijski i ljudski: svijest zaposlenika, postupanje s incidentima, sigurno rukovanje informacijama, dvofaktorska autentifikacija i otpornost na phishing. Norma izrijekom traži svijest i osposobljenost osoblja — certifikat se ne može održati bez educiranih ljudi.

Koliko košta i koliko traje certifikacija

Najčešće pitanje uprave jest cijena i trajanje. Pošten odgovor je: ovisi o veličini organizacije, opsegu ISMS-a i zatečenoj zrelosti sigurnosti. No okvirno se trošak dijeli na tri dijela.

Prvi je interni trošak — vrijeme zaposlenika koji uspostavljaju sustav, pišu politike i provode kontrole. To je u pravilu najveći, ali i najkorisniji dio jer ostaje tvrtki. Drugi je eventualni trošak vanjskog savjetnika koji vodi kroz proces, osobito prvi put. Treći je trošak certifikacijskog tijela za audit i kasnije nadzorne audite. Certifikat se ne dobiva jednom zauvijek — održava se kroz redovite nadzorne audite i obnavlja u ciklusu od nekoliko godina.

Što se tiče vremena, realno je računati na više mjeseci od početka do certifikacijskog audita, jer kontrole moraju neko vrijeme stvarno funkcionirati prije nego ih se može provjeriti. Tvrtke koje pokušaju "ubrzati" proces formalnim ispunjavanjem dokumentacije najčešće zapnu na drugoj fazi audita, gdje se provjerava primjenjuje li se sustav uistinu.

ISO 27001 i drugi okviri: kako se uklapa

ISO 27001 nije jedini okvir za informacijsku sigurnost, ali je najrašireniji i dobar temelj na koji se ostalo nadograđuje. Za razliku od zakonskih obveza poput NIS2 i DORA-e, koje propisuju što morate, ISO 27001 daje kako — upravljački okvir kojim te obveze sustavno ispunjavate.

U praksi to znači da ulaganje u ISMS nije "još jedan projekt" odvojen od usklađenosti, nego zajednički temelj. Tvrtka koja ima zreo sustav prema ISO 27001 lakše dokazuje usklađenost s NIS2, lakše ispunjava zahtjeve sigurnosti obrade iz GDPR čl. 32. i brže odgovara na sigurnosne upitnike klijenata. Umjesto da svaki propis ispunjava od nule, oslanja se na isti, dobro postavljen sustav. Zato mnoge organizacije ISO 27001 vide kao "kičmu" svih ostalih sigurnosnih i compliance zahtjeva.

Najveći mit: certifikat nije cilj

Najštetnija zabluda o ISO 27001 jest da je cilj dobiti papir. Tvrtke koje certifikaciji pristupe s tim ciljem stvore hrpu dokumentacije koju nitko ne koristi, prođu prvi audit — i sustav polako umre do prvog nadzornog audita ili, gore, do prvog stvarnog incidenta koji pokaže da kontrole postoje samo na papiru.

Cilj ISO 27001 je stvarno smanjenje rizika kroz sustav koji organizacija živi svaki dan: zaposlenici koji znaju kako postupati s informacijama, procesi koji se primjenjuju, incidenti koji se prijavljuju i rješavaju, kontrole koje se preispituju. Certifikat je posljedica takvog sustava, a ne njegova svrha. Organizacije koje to razumiju dobiju oboje — i stvarnu sigurnost i papir koji to dokazuje; one koje jure samo papir, na kraju nemaju ni jedno ni drugo.

Najčešće pogreške

• Tretiranje certifikata kao papira umjesto stvarnog sustava — sustav koji ne živi ne prolazi nadzorne audite.
• Preširok opseg na početku — bolje krenuti s jasno definiranim opsegom.
• Procjena rizika kao formalnost umjesto temelja izbora kontrola.
• Zanemarivanje ljudske komponente — kontrole bez educiranih zaposlenika.
• Nedostatak podrške uprave — bez nje sustav nema resurse ni autoritet.

Prilog A: što su zapravo "kontrole"

Kad se spomene ISO 27001, mnogi pomisle na dugačak popis tehničkih kontrola iz Priloga A norme. Vrijedi razjasniti što one zapravo jesu. Kontrole su mjere kojima se smanjuju utvrđeni rizici, a pokrivaju četiri šira područja: organizacijske (politike, uloge, upravljanje dobavljačima), kadrovske (provjere pri zapošljavanju, svijest i edukacija, postupanje pri odlasku), fizičke (kontrola pristupa prostorima, zaštita opreme) i tehnološke (kontrola pristupa, kriptografija, zaštita od zlonamjernog softvera, upravljanje ranjivostima).

Bitno je razumjeti da norma ne traži da primijenite sve kontrole. Vi birate one koje proizlaze iz vaše procjene rizika, a izbor obrazlažete u dokumentu zvanom Izjava o primjenjivosti. To je velika prednost ISO pristupa: sustav se prilagođava stvarnim rizicima organizacije, umjesto da nameće jednaki popis svima. Mala tehnološka tvrtka i velika proizvodna kompanija imat će različite skupove kontrola — i obje mogu biti potpuno usklađene s normom.

ISMS u maloj i srednjoj tvrtki

Postoji uvjerenje da je ISO 27001 "prevelik" za male i srednje tvrtke. To nije točno — norma je namjerno napisana tako da bude primjenjiva na sve veličine, jer se temelji na procjeni rizika, a ne na fiksnom popisu zahtjeva. Mala tvrtka jednostavno ima uži opseg, manje sustava i jednostavnije procese, pa je i njezin ISMS razmjerno jednostavniji.

Ono što malim tvrtkama stvarno pomaže jest fokus na bitno: urediti pristupe i lozinke, uvesti dvofaktorsku autentifikaciju, postaviti i testirati sigurnosne kopije, napisati nekoliko ključnih politika i — presudno — educirati ljude. Velik dio "posla" oko ISO 27001 zapravo je uvođenje reda koji tvrtki ionako koristi, neovisno o certifikatu. Mnoge male tvrtke certifikaciji pristupe upravo zato što ih kupci traže, a usput dobiju zreliji i sigurniji način rada.

Često postavljana pitanja

Je li ISO 27001 zakonski obavezan?
Nije. To je dobrovoljna norma. No sve češće je ugovorni uvjet u nabavi i snažno pomaže dokazivanju usklađenosti s NIS2 i GDPR-om.

Koliko traje uvođenje?
Ovisi o veličini i zrelosti organizacije — realno više mjeseci, jer treba uspostaviti procese, primijeniti kontrole i provesti internu reviziju prije audita.

Trebamo li vanjskog konzultanta?
Ne nužno, ali pomaže, osobito prvi put. Ključno je da sustav bude vaš i da ga organizacija stvarno koristi, a ne da postoji samo zbog audita.

Razlikuje li se ISO 27001 od NIS2?
Da. ISO 27001 je dobrovoljna međunarodna norma i upravljački okvir, dok je NIS2 obvezujući propis za određene sektore. Preklapaju se u sadržaju mjera, pa jedno olakšava drugo.

Možemo li biti usklađeni s normom bez formalnog certifikata?
Možete primijeniti zahtjeve ISO 27001 i bez certifikacije — i mnoge tvrtke tako rade kao temelj sigurnosti. No bez neovisnog certifikata teže ćete to dokazati klijentima i u nabavi. Certifikat je vanjska potvrda da sustav stvarno postoji i da ga je netko neovisno provjerio.

Koliko je dokumentacije zaista potrebno?
Onoliko koliko je potrebno da sustav funkcionira i da se može dokazati — ni više ni manje. Pretjerana dokumentacija koju nitko ne koristi jednako je loša kao njezin izostanak. Norma traži ključne politike, procjenu rizika, Izjavu o primjenjivosti i evidencije, no naglasak je na primjeni, a ne na opsegu papira. Drugim riječima, vrjedniji je kratak dokument koji ljudi stvarno slijede nego opsežan priručnik koji nitko ne čita.

Tko bi se trebao educirati za ISO 27001?
Cijela organizacija na osnovnoj razini (svijest o sigurnosti), uz dublju edukaciju za osobe koje vode ISMS, provode internu reviziju i upravljaju rizicima. Bez educiranih ljudi kontrole ostaju na papiru, a certifikat se ne može održati kroz nadzorne audite.

Vrijedi li certifikat trajno?
Ne. Certifikat se izdaje na ograničeno razdoblje (u pravilu tri godine) uz redovite nadzorne audite tijekom tog razdoblja, nakon čega slijedi recertifikacija. Sustav se mora kontinuirano održavati i poboljšavati — certifikacija nije jednokratni događaj, nego trajna obveza koja potvrđuje da sigurnošću i dalje aktivno upravljate. Upravo zato je važno da sustav od početka bude stvaran i živ, a ne skup dokumenata pripremljenih samo za prvi audit.

Kako započeti: prvi koraci

Tvrtki koja razmišlja o ISO 27001 najteži je upravo prvi korak jer norma na prvi pogled djeluje golemo. U praksi se početak svodi na nekoliko jasnih odluka. Prvo treba odrediti opseg — hoće li sustav obuhvatiti cijelu organizaciju ili, što je za početak često mudrije, jasno definiran dio (npr. određenu uslugu ili odjel). Preširok opseg na startu najčešći je razlog zašto se projekti oduže i izgube zamah.

Zatim slijedi gap analiza — pošten pregled gdje ste sada u odnosu na zahtjeve norme. Ona daje popis prioriteta i realnu sliku koliko posla predstoji. Na temelju toga provodi se procjena rizika, iz koje proizlazi izbor kontrola i plan njihove primjene. Tek tada se piše dokumentacija — i to onoliko koliko je potrebno da sustav funkcionira, a ne radi papira samog.

Presudan, a često podcijenjen čimbenik jest podrška uprave. Bez nje sustav nema ni resurse ni autoritet, a kontrole ostaju preporuke koje nitko ne provodi. Jednako je važna i ljudska komponenta — zaposlenici koji razumiju zašto postoje pravila i kako sigurno postupati s informacijama. Tvrtke koje od početka ulažu u svijest i edukaciju, umjesto da to ostave za kraj, otkriju da im audit prolazi puno glađe jer sustav stvarno živi u svakodnevnom radu. Početi s jasnim opsegom, podrškom uprave i educiranim ljudima vrijedi više od bilo kakve količine unaprijed napisane dokumentacije.

Zaključak

ISO 27001 daje strukturu kibernetičkoj sigurnosti: umjesto gašenja požara, sigurnošću se upravlja sustavno i dokazano. Certifikat otvara vrata u nabavi i ubrzava prolazak kroz sigurnosne provjere, a usput pokriva velik dio onoga što ionako tražite zbog NIS2 i GDPR-a. Ključ uspjeha nije papir, nego živ sustav i educirani ljudi koji ga provode.

Ako želite ojačati ljudsku stranu informacijske sigurnosti i pripremiti tim za zahtjeve norme i NIS2, pogledajte našu edukaciju o kibernetičkoj sigurnosti.