Što je ISO/IEC 27001
ISO/IEC 27001 najpoznatija je svjetska norma za sustav upravljanja informacijskom sigurnošću (ISMS). Umjesto popisa tehničkih kontrola, propisuje upravljački okvir: identificirajte rizike, odaberite mjere, dokumentirajte ih, primijenite i kontinuirano poboljšavajte. Time sigurnost postaje proces, a ne jednokratni projekt.
Što obuhvaća
- Procjena rizika i postupanje s rizicima kao temelj sustava
- Politike i postupci informacijske sigurnosti
- Kontrole iz Priloga A (kontrola pristupa, kriptografija, sigurnost dobavljača, upravljanje incidentima i dr.)
- Uloge i odgovornosti, uključujući podršku uprave
- Interne revizije i upravina ocjena
- Kontinuirano poboljšanje (PDCA ciklus)
Veza s NIS2 i GDPR-om
Certifikacija nije zakonski obvezna, ali snažno pomaže: dobro postavljen ISMS pokriva velik dio mjera koje traži NIS2 i tehničkih te organizacijskih mjera iz GDPR čl. 32. Sve češće je i uvjet u nabavi i sigurnosnim upitnicima klijenata.
Postupak certifikacije
- Analiza nedostataka (gap analiza) i opseg ISMS-a
- Procjena rizika i plan postupanja
- Primjena kontrola i dokumentacije
- Interna revizija i upravina ocjena
- Certifikacijski audit neovisnog tijela (dvije faze)
Ključna regulativa i norme
- ISO/IEC 27001 — zahtjevi za ISMS
- NIS2 / Zakon o kibernetičkoj sigurnosti (NN 14/2024) — mjere upravljanja rizicima
- GDPR čl. 32. — sigurnost obrade