Preskoči na sadržaj
ISO 27001 PRIPREMA

ISO 27001 priprema za certifikaciju informacijske sigurnosti.

Vodimo hrvatske tvrtke od gap analize do spremnosti za certifikaciju: opseg ISMS-a, procjena rizika, Izjava o primjenjivosti, politike, interni audit i priprema za certifikacijski audit Stage 1 i Stage 2.

PROVJERA, PROVEDBA, DOKUMENTACIJA

ISO 27001 nije dokument, nego sustav upravljanja koji morate dokazati.

ISO/IEC 27001:2022 je aktualna međunarodna norma za sustav upravljanja informacijskom sigurnošću (ISMS). Ne traži samo tehničke alate, nego dokaziv sustav: definiran opseg, procjenu rizika, Izjavu o primjenjivosti, politike, interni audit i odgovornost uprave. Certificira se ISO 27001, dok ISO/IEC 27002 daje detaljne smjernice za provedbu kontrola.

Sama certifikacija je posao akreditiranog certifikacijskog tijela — Vi-Di.me nije certifikacijsko tijelo i ne izdaje certifikat. Ono što radimo jest priprema: gap analiza prema normi, uspostava ISMS dokumentacije, provedba tehničkih i organizacijskih kontrola te interni audit, kako biste na certifikacijski audit izašli spremni, a ne na slijepo.

Za mnoge hrvatske tvrtke ISO 27001 je istovremeno poslovni adut (uvjet u natječajima i ugovorima) i praktična osnova za usklađivanje sa Zakonom o kibernetičkoj sigurnosti (NN 14/2024), koji prenosi NIS2. Zato pripremu vodimo tako da se dokazi i kontrole mogu iskoristiti i šire.

ISO/IEC 27001:2022
aktualna verzija norme
93 kontrole
Annex A u 4 teme
Gap → certifikat
vodimo cijeli put
SoA + ISMS
dokazi i dokumentacija
RIZICI

Gdje priprema za ISO 27001 najčešće zapne

ISO 27001 se tretira kao papir, a ne kao sustav

Certifikat nije cilj sam po sebi. Bez stvarnog ISMS-a — procjene rizika, politika, kontrola i dokaza — certifikacijski audit se ne prolazi, a i kad se prođe, sustav se raspadne do prvog nadzornog audita.

Opseg (scope) ISMS-a nije jasno definiran

Prvo treba odlučiti što ulazi u ISMS: koje lokacije, usluge, sustavi i podaci. Preširok opseg poskupljuje pripremu, a preuzak čini certifikat neuvjerljivim pred klijentima koji ga traže.

Kontrole postoje, ali ne postoje dokazi

Auditor traži dokaze: zapise, logove, evidencije te izvještaje s internog audita i upravine ocjene. MFA ili backup koji nisu dokumentirani i testirani teško prolaze kao kontrola iz Annexa A.

Izjava o primjenjivosti (SoA) je formalnost bez pokrića

SoA mora za svaku od 93 Annex A kontrole reći primjenjuje li se, zašto i kako. Kad SoA ne odgovara stvarnom stanju sustava, to je jedan od najčešćih nalaza već na Stage 1 auditu.

ISPORUKA

Što priprema uključuje

Gap analiza prema ISO 27001:2022

Usporedimo postojeće stanje sa zahtjevima norme (klauzule 4–10) i s 93 Annex A kontrole. Dobivate jasan popis nedostataka, prioritete i realnu procjenu opsega posla do certifikacije.

ISMS dokumentacija i politike

Opseg ISMS-a, politika informacijske sigurnosti, metodologija procjene rizika, plan postupanja s rizicima te politike pristupa, dobavljača, incidenata i kontinuiteta — napisane tako da se stvarno koriste.

Procjena rizika i Izjava o primjenjivosti (SoA)

Provedemo procjenu rizika i izradimo SoA koji za svaku od 93 kontrole obrazlaže primjenjivost i status provedbe. To je dokument u središtu svakog certifikacijskog audita.

Interni audit i upravina ocjena

Provedemo interni audit ISMS-a, pripremimo upravinu ocjenu (management review) te zabilježimo nesukladnosti i korektivne radnje — dokaze koje certifikacijsko tijelo očekuje prije Stage 2 audita.

Priprema za certifikacijski audit

Provedemo vas kroz očekivanja Stage 1 (pregled dokumentacije) i Stage 2 (provjera provedbe) te pomognemo u komunikaciji s akreditiranim certifikacijskim tijelom koje izdaje certifikat.

Kako vodimo pripremu za ISO 27001 certifikaciju

01

Definiramo opseg ISMS-a i napravimo gap analizu prema ISO/IEC 27001:2022 i 93 Annex A kontrole.

02

Provedemo procjenu rizika, izradimo plan postupanja s rizicima i Izjavu o primjenjivosti (SoA).

03

Postavimo ISMS dokumentaciju i uvedemo tehničke i organizacijske kontrole (identitet, email, backup, logiranje, edukacije).

04

Provedemo interni audit i upravinu ocjenu te riješimo nesukladnosti prije vanjskog audita.

05

Podržimo vas kroz certifikacijski audit Stage 1 i Stage 2 kod akreditiranog certifikacijskog tijela.

06

Nakon certifikata (vrijedi 3 godine) održavamo ISMS kroz mjesečni ritam i pripremu za godišnje nadzorne audite.

PARTNERI I TEHNOLOGIJE

Norme, tijela i kontrole koje povezujemo

ISO/IEC 27001:2022 i ISO/IEC 27002:2022

Certificira se ISO 27001 (zahtjevi za ISMS), a ISO 27002 daje detaljne smjernice za provedbu kontrola. Radimo prema aktualnoj verziji iz 2022. — 93 Annex A kontrole u četiri teme: organizacijske, ljudske, fizičke i tehnološke.

HAA i akreditirana certifikacijska tijela

Certifikat izdaje akreditirano certifikacijsko tijelo (Bureau Veritas, TÜV, SGS, DNV, Lloyd's Register i drugi), a njihovu akreditaciju u Hrvatskoj provodi Hrvatska akreditacijska agencija (HAA), članica EA MLA-a. Vi-Di.me priprema, ne certificira.

FAQ

Česta pitanja.

Što je ISO 27001?

ISO/IEC 27001:2022 je međunarodna norma za sustav upravljanja informacijskom sigurnošću (ISMS). Definira zahtjeve za uspostavu, provedbu, održavanje i stalno poboljšavanje sigurnosti informacija kroz procjenu rizika, politike, kontrole i dokaze. To je jedina norma iz obitelji 27000 po kojoj se organizacija može certificirati.

Koliko kontrola ima Annex A u verziji iz 2022?

Annex A norme ISO/IEC 27001:2022 ima 93 kontrole raspoređene u četiri teme: organizacijske (37), ljudske (8), fizičke (14) i tehnološke (34). To je promjena u odnosu na staru verziju iz 2013., koja je imala 114 kontrola u 14 domena.

Koja je razlika između ISO 27001 i ISO 27002?

ISO 27001 je certifikacijska norma — propisuje zahtjeve za ISMS i sadrži popis Annex A kontrola. ISO 27002 nije certifikacijska norma, nego smjernica koja svaku kontrolu opisuje detaljno i objašnjava kako je provesti. Ukratko: 27001 kaže što treba, a 27002 pomaže oko toga kako.

Koliko traje certifikacija?

Ovisi o veličini i zrelosti tvrtke. Priprema (gap analiza, ISMS, kontrole, interni audit) najčešće traje nekoliko mjeseci, a sam certifikacijski audit provodi se u dvije faze — Stage 1 (pregled dokumentacije) i Stage 2 (provjera provedbe). Certifikat zatim vrijedi tri godine uz godišnje nadzorne audite.

Koliko košta priprema i certifikacija?

Cijenu ne navodimo paušalno jer ovisi o opsegu ISMS-a, broju lokacija, zrelosti kontrola i troškovima certifikacijskog tijela (koje je odvojeno od naše pripreme). Ponudu dajemo nakon gap analize, kada je opseg posla jasan.

Pomaže li ISO 27001 kod usklađivanja s NIS2 / ZKS?

Da. Zakon o kibernetičkoj sigurnosti (NN 14/2024) prenosi NIS2 i traži upravljanje rizicima, kontrole i procedure. ISMS po ISO 27001 daje gotov okvir upravljanja, metodologiju procjene rizika, dokumentaciju i interni audit, pa velik dio zahtjeva pokriva istim dokazima. ISO 27001 ipak nije automatska pravna usklađenost — konkretne obveze potvrđuje pravni ili compliance savjetnik.

Izdaje li Vi-Di.me ISO 27001 certifikat?

Ne. Certifikat izdaje isključivo akreditirano certifikacijsko tijelo, čiju akreditaciju u Hrvatskoj provodi HAA. Vi-Di.me je pripremni partner: vodimo gap analizu, ISMS, kontrole i interni audit da na certifikacijski audit izađete spremni.

Što se događa nakon što dobijemo certifikat?

Certifikat vrijedi tri godine, ali se održava. Certifikacijsko tijelo provodi godišnje nadzorne (surveillance) audite, a u trećoj godini slijedi recertifikacija. Zato ISMS održavamo kroz redovan ritam provjere kontrola, zapisa i internih audita, a ne kao jednokratni projekt.

POČETNI RAZGOVOR

Do ISO 27001 certifikata — spremni, ne na slijepo.

Krenimo od gap analize prema ISO/IEC 27001:2022: gdje ste sada, što nedostaje i koliko je posla do certifikacije. Iz toga slijedi jasan plan ISMS-a, kontrola i internog audita — te konkretna ponuda.