ISO/IEC 27001 je međunarodna referentna norma za Sustav upravljanja sigurnošću informacija (ISMS). Sve više je zahtijevaju naručitelji, u javnim natječajima, kibernetički osiguravatelji ili za pristup određenim izvoznim tržištima. SYAGA vas prati od procjene nedostataka (gap assessment) do pripreme za reviziju certifikacije.
ISO 27001 nije opća pravna obveza, ali postaje neizbježan komercijalni preduvjet
ISO/IEC 27001 ostaje dobrovoljan postupak. Ipak je sve više traže javni natječaji, veliki naručitelji, određeni kibernetički osiguravatelji, ili je uvjet za pristup određenim izvoznim tržištima.
Većina malih i srednjih poduzeća te srednjih tvrtki nije pokrenula nikakav strukturiran postupak Sustava upravljanja sigurnošću informacija. Tema se doživljava kao složena, tehnička i dugotrajna.
Klasični projekti certifikacije angažiraju vaše timove tijekom više mjeseci i predstavljaju znatno ulaganje, često nedostupno malom i srednjem poduzeću.
Angažiranje IT direktora ili voditelja sigurnosti tijekom mjeseci za izgradnju ISMS-a nije održivo u malom i srednjem poduzeću gdje svatko već nosi nekoliko uloga.
Strukturiran postupak u 3 faze, oslonjen na istu metodologiju koju je SYAGA već dokazala na PSSI-Express
Razgovor s upravom i voditeljem IT sustava radi utvrđivanja okvira, zatim sustavna procjena svake od 93 sigurnosne mjere Priloga A (izdanje 2022.), raspoređene u 4 teme: organizacijsku, ljudsku, fizičku i tehnološku. Predaja činjeničnog izvještaja o nedostacima.
Izrada ili ažuriranje sigurnosne politike (ISMS), Izjave o primjenjivosti (DdA) koja opravdava primjenu ili isključenje svake od 93 mjere, te plana sanacije s prioritetima za ispunjavanje nedostataka utvrđenih u fazi 1.
Praćenje provedbe plana sanacije, pregled dokumentacije, te priprema vašeg tima za reviziju koju provodi neovisno akreditirano certifikacijsko tijelo. SYAGA vas priprema za reviziju; samu certifikaciju izdaje to neovisno treće tijelo.
Strukturni dokumenti dosjea ISO 27001 certifikacije
Činjenična procjena vaše razine sukladnosti u odnosu na normu.
Središnji normativni dokument dosjea ISO 27001 certifikacije.
Dokument upravljanja koji zahtijevaju klauzule 4 do 10 norme.
Plan puta za ispunjavanje utvrđenih nedostataka.
Dokumenti izravno primjenjivi u vašim timovima.
Svi dokumenti u formatima koje možete razvijati.
ISMS ISO 27001 prirodno se preklapa s više regulatornih okvira
Središnji okvir: klauzule 4 do 10 (zahtjevi upravljanja) i Prilog A (93 sigurnosne mjere raspoređene u 4 teme).
Mjere upravljanja kibernetičkim rizicima koje zahtijeva direktiva NIS2 uvelike se preklapaju s mjerama Priloga A ISO 27001. ISMS ISO 27001 olakšava usklađivanje s NIS2 za obuhvaćene subjekte.
Mjere vodiča informatičke higijene francuskog tijela ANSSI preklapaju se sa značajnim dijelom mjera Priloga A ISO 27001. Podudarnost dokumentirana u planu sanacije.
Odgovarajuće tehničke i organizacijske mjere koje zahtijeva članak 32 GDPR-a oslanjaju se na iste dobre prakse kao i Prilog A ISO 27001 (kontrola pristupa, enkripcija, upravljanje incidentima).
Svaki ISO 27001 projekt dimenzioniran je prema vašem opsegu i trenutnoj zrelosti. Sustavno personalizirana ponuda.
Početna slika vaših nedostataka
Od procjene nedostataka do pripreme za reviziju
Nakon certifikacije ili kontinuirano
Kontaktirajte nas za personaliziranu ponudu prema vašem opsegu i trenutnoj zrelosti.
Što ISO/IEC 27001 zaista znači, objašnjeno jednostavno. Svaka točka upućuje na svoj službeni izvor (ISO, AFNOR, COFRAC, ANSSI - francuska tijela), ažurirano 17.07.2026.
ISO/IEC 27001 je priznata metoda za prepoznavanje prijetnji koje ugrožavaju vaše podatke, upravljanje rizicima i uspostavu ispravnih zaštita, kako bi vaše informacije ostale povjerljive, dostupne i pouzdane. To nije softver, već organizacija koju treba uspostaviti u poduzeću.
Izvor: AFNOR Certification (francusko tijelo)Za razliku od drugih postupaka (poput sigurnosne homologacije nametnute određenim državnim sustavima), ISO 27001 je neobvezna: to je certificirajuća norma, a ne opća regulatorna obveza. Birate je da biste umirili klijente, partnere i osiguravatelje.
Izvor: ANSSI (francusko tijelo, metodološki list)Nikada samo poduzeće niti konzultant: certifikat može izdati samo neovisno i akreditirano certifikacijsko tijelo (COFRAC je jedino francusko akreditacijsko tijelo, osnovano 1994.). Dobiveni certifikat vrijedi 3 godine.
Izvor: COFRAC (francusko tijelo)Prethodna procjena (opcionalno), priprema, pregled dokumenata, revizija na licu mjesta radi provjere što je zaista uspostavljeno, izdavanje certifikata (3 godine), zatim godišnji nadzorni posjet i potpuna revizija obnove nakon 3 godine. Ništa nije trajno zaključeno jednom zauvijek.
Izvor: AFNOR Certification (francusko tijelo)Prema studiji AFNOR-a provedenoj među certificiranim poduzećima: 89% je zabilježilo manje sigurnosnih incidenata, 83% ima čvršće interne sigurnosne procese, a 88% je zadržalo klijente koji bi bez certifikacije mogli otići.
Izvor: studija AFNOR 2019. (francusko tijelo)To je najkorištenija norma sigurnosti informacija na svijetu prema samoj organizaciji ISO. A akreditacija koja nadzire certifikacijska tijela (poput COFRAC-a u Francuskoj) međunarodno je priznata sporazumima među zemljama, što olakšava pristup tržištima u Europi i drugdje.
Izvor: ISO (odbor JTC1/SC27)