NORMA ISO/IEC 27001:2022 - ISMS

Pripremite svoju ISO 27001 certifikaciju
bez gubitka 6 mjeseci

ISO/IEC 27001 je međunarodna referentna norma za Sustav upravljanja sigurnošću informacija (ISMS). Sve više je zahtijevaju naručitelji, u javnim natječajima, kibernetički osiguravatelji ili za pristup određenim izvoznim tržištima. SYAGA vas prati od procjene nedostataka (gap assessment) do pripreme za reviziju certifikacije.

93
Mjere Priloga A (izd. 2022)
4
Sigurnosne teme
7
Klauzula upravljanja (4 do 10)
1
Isporučena Izjava o primjenjivosti

Kontekst

ISO 27001 nije opća pravna obveza, ali postaje neizbježan komercijalni preduvjet

📋

Dobrovoljna certifikacija, ali sve traženija

ISO/IEC 27001 ostaje dobrovoljan postupak. Ipak je sve više traže javni natječaji, veliki naručitelji, određeni kibernetički osiguravatelji, ili je uvjet za pristup određenim izvoznim tržištima.

🔒

Malo MSP-ova formaliziralo je svoj ISMS

Većina malih i srednjih poduzeća te srednjih tvrtki nije pokrenula nikakav strukturiran postupak Sustava upravljanja sigurnošću informacija. Tema se doživljava kao složena, tehnička i dugotrajna.

💰

Duga i skupa podrška

Klasični projekti certifikacije angažiraju vaše timove tijekom više mjeseci i predstavljaju znatno ulaganje, često nedostupno malom i srednjem poduzeću.

Vaši IT timovi već su preopterećeni

Angažiranje IT direktora ili voditelja sigurnosti tijekom mjeseci za izgradnju ISMS-a nije održivo u malom i srednjem poduzeću gdje svatko već nosi nekoliko uloga.

Metoda ISO27001-Express

Strukturiran postupak u 3 faze, oslonjen na istu metodologiju koju je SYAGA već dokazala na PSSI-Express

1
Faza 1 - Procjena nedostataka (Gap Assessment)

Procjena 93 mjere Priloga A

Razgovor s upravom i voditeljem IT sustava radi utvrđivanja okvira, zatim sustavna procjena svake od 93 sigurnosne mjere Priloga A (izdanje 2022.), raspoređene u 4 teme: organizacijsku, ljudsku, fizičku i tehnološku. Predaja činjeničnog izvještaja o nedostacima.

2
Faza 2 - Dokumentacija ISMS-a

Sigurnosna politika, Izjava o primjenjivosti i plan sanacije

Izrada ili ažuriranje sigurnosne politike (ISMS), Izjave o primjenjivosti (DdA) koja opravdava primjenu ili isključenje svake od 93 mjere, te plana sanacije s prioritetima za ispunjavanje nedostataka utvrđenih u fazi 1.

3
Faza 3 - Podrška prema certifikaciji

Priprema revizije neovisnog akreditiranog certifikacijskog tijela

Praćenje provedbe plana sanacije, pregled dokumentacije, te priprema vašeg tima za reviziju koju provodi neovisno akreditirano certifikacijsko tijelo. SYAGA vas priprema za reviziju; samu certifikaciju izdaje to neovisno treće tijelo.

Što dobivate

Strukturni dokumenti dosjea ISO 27001 certifikacije

📊

Izvještaj procjene nedostataka

Činjenična procjena vaše razine sukladnosti u odnosu na normu.

  • Procjena 93 mjere Priloga A
  • Status po mjeri: sukladno / djelomično / nesukladno
  • Sažetak po temi (organizacijska, ljudska, fizička, tehnološka)
  • Činjenični nalazi, bez vrijednosnog suđenja
🔐

Izjava o primjenjivosti (DdA)

Središnji normativni dokument dosjea ISO 27001 certifikacije.

  • Status primjenjivo/isključeno za svaku od 93 mjere
  • Obrazloženje svakog isključenja
  • Referenca na dokumente ISMS-a
  • Spremno za predaju certifikacijskom tijelu
📝

Sigurnosna politika (ISMS)

Dokument upravljanja koji zahtijevaju klauzule 4 do 10 norme.

  • Opseg i kontekst ISMS-a
  • Sigurnosne uloge i odgovornosti
  • Proces upravljanja rizicima
  • Ciklus kontinuiranog poboljšanja (PDCA)
🎯

Plan sanacije s prioritetima

Plan puta za ispunjavanje utvrđenih nedostataka.

  • Aktivnosti razvrstane po prioritetu
  • Organizacijske i tehničke mjere
  • Praćenje napretka
  • Postupna priprema za reviziju
📄

Operativni postupci

Dokumenti izravno primjenjivi u vašim timovima.

  • Upravljanje sigurnosnim incidentima
  • Upravljanje pristupom i identitetima
  • Upravljanje promjenama
  • IT pravilnik
💻

Uredive datoteke

Svi dokumenti u formatima koje možete razvijati.

  • Samostalan HTML (otvoriv u svakom pregledniku)
  • PDF visoke kvalitete (ispis A4)
  • Uredivi DOCX (Microsoft Word)
  • Ažuriranje pri svakoj godišnjoj reviziji

Dokumentacijska osnova koja se može ponovno koristiti

ISMS ISO 27001 prirodno se preklapa s više regulatornih okvira

ISO

ISO/IEC 27001:2022

Središnji okvir: klauzule 4 do 10 (zahtjevi upravljanja) i Prilog A (93 sigurnosne mjere raspoređene u 4 teme).

N2

Poveznica s NIS2

Mjere upravljanja kibernetičkim rizicima koje zahtijeva direktiva NIS2 uvelike se preklapaju s mjerama Priloga A ISO 27001. ISMS ISO 27001 olakšava usklađivanje s NIS2 za obuhvaćene subjekte.

AN

ANSSI vodič - informatička higijena (francusko tijelo)

Mjere vodiča informatičke higijene francuskog tijela ANSSI preklapaju se sa značajnim dijelom mjera Priloga A ISO 27001. Podudarnost dokumentirana u planu sanacije.

RG

GDPR (čl. 32)

Odgovarajuće tehničke i organizacijske mjere koje zahtijeva članak 32 GDPR-a oslanjaju se na iste dobre prakse kao i Prilog A ISO 27001 (kontrola pristupa, enkripcija, upravljanje incidentima).

Ponude prilagođene vašem kontekstu

Svaki ISO 27001 projekt dimenzioniran je prema vašem opsegu i trenutnoj zrelosti. Sustavno personalizirana ponuda.

Procjena nedostataka

Početna slika vaših nedostataka

Na upit
ovisno o opsegu i broju zaposlenika
  • Procjena 93 mjere Priloga A
  • Izvještaj o činjeničnom nalazu
  • Sažetak po sigurnosnoj temi
  • Prezentacija upravi
  • Formati HTML + PDF + DOCX
Zatražite ponudu

Godišnje održavanje

Nakon certifikacije ili kontinuirano

Na upit
ovisno o opsegu i broju zaposlenika
  • Godišnja revizija ISMS-a
  • Ažuriranje Izjave o primjenjivosti
  • Ažuriranje plana sanacije
  • Priprema za nadzorne revizije
Zatražite ponudu

Česta pitanja

Što je norma ISO/IEC 27001?
ISO/IEC 27001 je međunarodna referentna norma za uspostavu Sustava upravljanja sigurnošću informacija (ISMS). U izdanju 2022. strukturirana je u klauzule 4 do 10 (zahtjevi upravljanja: kontekst, vodstvo, planiranje, podrška, funkcioniranje, procjena, poboljšanje) i Prilog A od 93 sigurnosne mjere raspoređene u 4 teme: organizacijsku, ljudsku, fizičku i tehnološku.
Je li ISO 27001 obvezna za moje poduzeće?
Ne, ISO 27001 je dobrovoljna certifikacija, za razliku od regulatornih tekstova poput NIS2. S druge strane, sve je više de facto traže: javni natječaji, zahtjevi velikih naručitelja, uvjeti kibernetičkog osiguranja, ili pristup određenim izvoznim tržištima. To je strateški izbor, a ne opća pravna obveza.
Izdaje li SYAGA certifikat?
Ne. ISO 27001 certifikat izdaje isključivo neovisno akreditirano certifikacijsko tijelo, nakon vanjske revizije. SYAGA vas prati u pripremi (procjena nedostataka, dokumentacija ISMS-a, plan sanacije, priprema vaših timova), ali sama ne izdaje certifikat.
Što je Izjava o primjenjivosti (DdA)?
DdA je obvezan normativni dokument dosjea certifikacije. Popisuje svaku od 93 mjere Priloga A i navodi je li primijenjena ili isključena, s odgovarajućim obrazloženjem. To je jedan od najpomnije pregledanih dokumenata tijekom revizije certifikacije.
Koliko dugo moram angažirati svoje timove?
Najveći dio posla (procjena, izrada dokumentacije, plan sanacije) obavljaju naši revizori. Vaši timovi angažirani su uglavnom pri početnom razgovoru o okviru i točkama prezentacije. Ukupno trajanje postupka certifikacije uvelike ovisi o vašem opsegu i početnoj zrelosti; procjenjuje se za svaki slučaj posebno u ponudi.
Zašto je SYAGA legitimna za praćenje?
SYAGA Consulting provodi revizije sigurnosti informacijskih sustava od 2009. godine. Naši revizori rade s klijentima raznih veličina u više sektora. Metodologija procjene nedostataka i izrade dokumentacije korištena za ISO27001-Express oslanja se na isti mehanizam koji već koristimo za druge projekte usklađivanja (PSSI-Express).
SYAGA vas prati u pripremi vašeg ISMS-a i dosjea certifikacije. Samu ISO/IEC 27001 certifikaciju izdaje neovisno akreditirano certifikacijsko tijelo, koje nije povezano sa SYAGA-om. Ovaj sadržaj je alat podrške i ne predstavlja pravni savjet.

Spremni strukturirati svoj ISO 27001 projekt?

Kontaktirajte nas za personaliziranu ponudu prema vašem opsegu i trenutnoj zrelosti.

Regulatorno praćenje - službeni izvori

Što ISO/IEC 27001 zaista znači, objašnjeno jednostavno. Svaka točka upućuje na svoj službeni izvor (ISO, AFNOR, COFRAC, ANSSI - francuska tijela), ažurirano 17.07.2026.

Što je to, konkretno?

ISO/IEC 27001 je priznata metoda za prepoznavanje prijetnji koje ugrožavaju vaše podatke, upravljanje rizicima i uspostavu ispravnih zaštita, kako bi vaše informacije ostale povjerljive, dostupne i pouzdane. To nije softver, već organizacija koju treba uspostaviti u poduzeću.

Izvor: AFNOR Certification (francusko tijelo)

To je izbor, ne zakon

Za razliku od drugih postupaka (poput sigurnosne homologacije nametnute određenim državnim sustavima), ISO 27001 je neobvezna: to je certificirajuća norma, a ne opća regulatorna obveza. Birate je da biste umirili klijente, partnere i osiguravatelje.

Izvor: ANSSI (francusko tijelo, metodološki list)

Tko izdaje certifikat?

Nikada samo poduzeće niti konzultant: certifikat može izdati samo neovisno i akreditirano certifikacijsko tijelo (COFRAC je jedino francusko akreditacijsko tijelo, osnovano 1994.). Dobiveni certifikat vrijedi 3 godine.

Izvor: COFRAC (francusko tijelo)

Put u 6 koraka

Prethodna procjena (opcionalno), priprema, pregled dokumenata, revizija na licu mjesta radi provjere što je zaista uspostavljeno, izdavanje certifikata (3 godine), zatim godišnji nadzorni posjet i potpuna revizija obnove nakon 3 godine. Ništa nije trajno zaključeno jednom zauvijek.

Izvor: AFNOR Certification (francusko tijelo)

Isplati li se to zaista?

Prema studiji AFNOR-a provedenoj među certificiranim poduzećima: 89% je zabilježilo manje sigurnosnih incidenata, 83% ima čvršće interne sigurnosne procese, a 88% je zadržalo klijente koji bi bez certifikacije mogli otići.

Izvor: studija AFNOR 2019. (francusko tijelo)

Priznata posvuda, ne samo u Francuskoj

To je najkorištenija norma sigurnosti informacija na svijetu prema samoj organizaciji ISO. A akreditacija koja nadzire certifikacijska tijela (poput COFRAC-a u Francuskoj) međunarodno je priznata sporazumima među zemljama, što olakšava pristup tržištima u Europi i drugdje.

Izvor: ISO (odbor JTC1/SC27)