ISO 27001 za hrvatske tvrtke — vodič za pripremu i certifikat

21 min čitanja

Otvoriš email u utorak ujutro. Najveći klijent, onaj koji ti čini 40% revenue-a, traži ISO 27001 certifikat prije nego potpiše ugovor za sljedeću godinu. Imaš 6 mjeseci. Ovaj scenarij se u HR SMB tržištu ponavlja sve češće otkad je NIS2 stupio na snagu.

ISO 27001 certifikat dokazuje da tvoja tvrtka ima funkcionalni sustav upravljanja informacijskom sigurnošću (ISMS), priznat globalno. Priprema za hrvatske tvrtke obično traje 4 do 9 mjeseci uz vanjskog konzultanta, pokriva 93 kontrole iz Annex A (verzija 2022), i preklapa se s većinom NIS2 zahtjeva.

Razlika između onih koji uspiju i onih koji prokockaju revenue nije ekspertiza, nego planiranje. Priprema za ISO 27001 u Hrvatskoj nije skup propisa koji možeš ispisati i izvjesiti. To je radni sustav koji moraš dizajnirati, implementirati, dokumentirati, i naučiti samokontrolirati prije nego netko vanjski dođe to provjeriti.

Pokrivam što stvarno treba: razliku 2013 vs 2022 verzije, 93 kontrole iz Annex A, 6-mjesečnu roadmap, interni audit koji često odlučuje hoćeš li proći ili ne, kvalitativne faktore troška, i pet najčešćih grešaka koje izazivaju fail prve revizije.

Ključni zaključci

  • ISO 27001:2022 ima 93 Annex A kontrole u 4 grupe (Organizational 37, People 8, Physical 14, Technological 34). Verzija iz 2013. (s 114 kontrolama) više se ne certifikira nakon listopada 2025.
  • Priprema obično traje 4 do 9 mjeseci. Iznad 9 mjeseci znači da scope nije realno postavljen ili interni resursi ne sudjeluju.
  • Statement of Applicability (SoA) je dokument koji odlučuje hoćeš li proći. SoA bez justifikacija ili sa generičkim "applicable/not applicable" tekstom = automatski non-conformity.
  • Interni audit moraš obaviti najmanje jednom prije vanjskog audita. Cert body NE smije raditi tvoj interni audit, to je conflict.
  • ISO 27001 pokriva većinu NIS2 zahtjeva (procjene 60-80% ovisno o tumačenju). Ako već imaš ISO, NIS2 priprema je marginalna; ako ideš oboje, ide u istom projektu.

Što je ISO 27001 i zašto je važan u Hrvatskoj?

ISO 27001 je međunarodni standard za sustav upravljanja informacijskom sigurnošću (ISMS, Information Security Management System). Trenutna verzija je ISO/IEC 27001:2022, objavljena u listopadu 2022. U Hrvatskoj je dostupna kroz nacionalnu transpoziciju preko Hrvatskog zavoda za norme.

Razlika između ISO 27001 i drugih sigurnosnih okvira nije lista alata koje moraš kupiti, niti certifikat koji dobiješ za jednodnevni seminar. To je dokumentirani sustav koji opisuje kako tvoja organizacija identificira, vrednuje i tretira rizike informacijske sigurnosti. External auditor dolazi i provjerava radi li taj sustav stvarno, ne radiš li samo papire za njega.

Tko je tko u procesu (česta zabuna): cert bodies (TÜV NORD, DNV, Bureau Veritas, drugi) izdaju certifikat. Konzultanti pripremaju ISMS i vode te kroz proces. Trebaš oba, ali ne smiju biti isti. ISO/IEC 17021-1 eksplicitno zabranjuje kombinaciju.

Tko treba ISO 27001?

Ne svi. Suprotno onome što ti cert body sales-team kaže, ISO 27001 nije univerzalno potreban. Tri tipa tvrtki za koje je legitimno opravdan trošak i napor:

B2B tvrtke s enterprise klijentima. Ako prodaješ velikim kompanijama (Fortune 500, EU banke, telco operatorima), njihov procurement proces će ti tražiti ili ISO 27001 ili SOC 2 prije nego potpišu ugovor. Nema raspravljanja. Ovo je daleko najčešći trigger zbog kojeg HR tvrtke uopće kreću u proces.

Regulirani sektori. Fintech (Hrvatska narodna banka + DORA), zdravstvo (HIPAA za US tržište + GDPR), public administration (NIS2 obvezno za ključne subjekte). ISO 27001 ti olakšava demonstriranje compliance-a regulatoru.

SaaS tvrtke u B2B niši. Ako prodaješ software drugim tvrtkama i držiš njihove podatke, ISO 27001 je deal-breaker za enterprise sales. Olakšava i SOC 2 pripremu za US tržište: overlap u kontrolama se procjenjuje 50-80% ovisno o tome koje Trust Services Criteria scope-aš.

Tko ne treba ISO 27001: D2C webshop bez B2B segmenta. Lokalni servis bez senzitivnih podataka. Tvrtke koje imaju do 5 zaposlenih bez B2B prodaje. Za njih su lakši frameworks (CIS Controls) ili samo dosljedna implementacija osnovnih praksi dovoljni.

Tip scenarija koji se ponavlja u HR SMB tržištu: fintech s 14 zaposlenih, klijent iz EU banke u procurement procesu traži ISO 27001 do kraja Q3. Prvi instinkt je staviti cijelu tvrtku u scope. Krivo.

Stvarno treba samo customer-facing fintech platforma plus production environment. Scope ograničen na jednu trećinu ureda znači trošak prepolovljen, vrijeme s 8 na 5 mjeseci. Scope odluka prije gap analize je jedan od najvećih leverage-a u cijelom projektu. Utječe i na trošak, i na trajanje, i na realnost timeline-a.

Imaš sličnu situaciju? Pošalji upit → Razgovaramo o tvom scope-u prije nego kreneš.

Razlika između ISO 27001:2013 i 2022 verzije

Verzija iz 2013. (ISO/IEC 27001:2013) bila je standardna desetljeće. Imala je 114 kontrola u 14 domena u Annex A. Verzija iz 2022. reducirala je broj kontrola na 93, regrupirala ih u 4 logičke kategorije, i dodala 11 potpuno novih kontrola koje pokrivaju cloud, threat intelligence, secure development i data masking.

Karakteristika 2013 2022
Annex A kontrole 114 93
Grupiranje 14 domena 4 grupe (Organizational, People, Physical, Technological)
Cloud-specific kontrole Ne Da (A.5.23)
Threat intelligence Implicirano Eksplicitno (A.5.7)
Tranzicijski rok n/a Listopad 2025., nakon kojeg se certifikati ne izdaju ni produžuju po 2013. verziji

Dio hrvatskih konzultantskih stranica još opisuje 2013. verziju kao da je aktualna. Provjeri datum sadržaja prije nego ga koristiš za planiranje. Od listopada 2025. taj certifikat ne postoji.

ISO 27001 i NIS2/ZKS — kako se preklapaju

Iz HR perspektive, ISO 27001 do sad nije bio zakonska obveza, samo competitive differentiator za B2B prodaju. NIS2 to mijenja.

Zakon o kibernetičkoj sigurnosti (ZKS) stupio je na snagu 15. veljače 2024., a Uredba o kibernetičkoj sigurnosti 22. studenog 2024. ZKS transponira NIS2 direktivu (EU 2022/2555) u HR pravni okvir i obvezuje ključne i važne subjekte da implementiraju 10 mjera iz članka 21 NIS2.

ISO 27001 ISMS pokriva većinu NIS2 zahtjeva (procjene u industriji se kreću 60-80% ovisno o tumačenju; službeni 1:1 mapping nije objavljen). U praksi, funkcionalni ISMS daje ti governance, risk management, incident handling, supply chain security i većinu tehničkih mjera. Ono što ostaje su NIS2-specifične obveze prijave incidenata prema CERT.hr-u i registracija kod regulatora. Detaljan mapping pokrivam u našem NIS2 vodiču.

93 Annex A kontrole iz ISO 27001:2022

ISO/IEC 27001:2022 ima 93 kontrole u Annex A, grupirane u 4 logičke kategorije. Ovo je struktura koju ćeš susretati u svakoj dokumentaciji, Statement of Applicability-ju, i internom auditu.

Grupa Broj kontrola Što pokriva Primjeri kontrola
A.5 Organizational 37 Politike, organizacijska struktura, vendor management, klasifikacija informacija, incident management A.5.1 Information security policies, A.5.7 Threat intelligence, A.5.23 Information security for use of cloud services
A.6 People 8 Provjera zaposlenika, awareness training, disciplinski procesi, rad od kuće A.6.1 Screening (pre-employment background checks), A.6.3 Information security awareness, A.6.7 Remote working
A.7 Physical 14 Fizička sigurnost ureda, oprema, kabliranje, čišćenje radnih površina A.7.1 Physical security perimeters, A.7.10 Storage media, A.7.14 Secure disposal
A.8 Technological 34 Tehničke kontrole, monitoring, secure development, backup, cryptography A.8.16 Monitoring activities, A.8.25 Secure development life cycle, A.8.28 Secure coding

11 potpuno novih kontrola u 2022. verziji koje moraš obratiti pažnju ako prelaziš s 2013:

  1. A.5.7 Threat intelligence, prikupljanje i korištenje informacija o aktualnim prijetnjama
  2. A.5.23 Information security for use of cloud services, eksplicitne kontrole za cloud
  3. A.5.30 ICT readiness for business continuity, IT continuity kao podskup BCM-a
  4. A.7.4 Physical security monitoring, sustavi za nadzor pristupa
  5. A.8.9 Configuration management, secure baseline configurations
  6. A.8.10 Information deletion, sigurno brisanje
  7. A.8.11 Data masking, anonimizacija i pseudonimizacija
  8. A.8.12 Data leakage prevention, DLP kontrole
  9. A.8.16 Monitoring activities, security monitoring i log analiza
  10. A.8.23 Web filtering, kontrole web pristupa
  11. A.8.28 Secure coding, standardi sigurnog razvoja softvera

Ne moraš implementirati svih 93 kontrola. Statement of Applicability (SoA) je dokument u kojem opravdavaš zašto neka kontrola nije primjenjiva na tvoj scope. SoA je dokument koji se najdublje ispituje tijekom vanjskog audita. Generic "not applicable" bez justifikacije = automatski non-conformity.

Priprema — 6-mjesečni roadmap

Ovo je tipičan timeline za SMB s 20-50 zaposlenih, scope ograničen na jedan service line ili production environment, i vanjskim konzultantom koji vodi proces. Iznad ovog razmjera, plus-minus 2 mjeseca.

Mjesec 1: Scoping i leadership commitment

Najvažnija stvar koju većina ljudi preskoči. Scope je granica tvog ISMS-a. Što je unutra, što je vani, i zašto. Loše definiran scope znači jedno od dvoje: ili pokušavaš certificirati cijelu tvrtku (skupo, sporo, često nepotrebno) ili scope ne pokriva ono što klijent zapravo traži (nepotpun signal, gubitak posla).

Leadership commitment nije ceremonijalni potpis CEO-a na uvod dokumenta. To je formalno definirana role uprave u ISMS-u (Top Management u ISO 27001 terminologiji), s ovlastima, resursima, i godišnjom obvezom da review-aju funkcioniranje sustava. Ako uprava ne razumije svoju ulogu, audit propada na Clause 5 prije nego što stignete do Annex A.

Mjesec 1-2: Gap analiza

Vanjski konzultant ili interni tim mapira trenutno stanje protiv 93 kontrole. Output: jasna lista što već imaš implementirano, što ti djelomično pokriva, i što treba izgraditi od nule. U praksi, većina SMB-a ima dio kontrola djelomično implementiran (password policy, backup, basic access control), ali ne dokumentiran u ISMS formatu. Realan baseline saznaš tek nakon gap analize.

Mjesec 2-3: Risk assessment

Identificiraš sve information asset-e u scope-u (servere, aplikacije, dokumente, ljude), prijetnje koje na njih djeluju, i kvantificiraš rizik. Metodologija mora biti dosljedna. Tipično se koristi ISO 27005 framework ili kvalitativna 5x5 matrica (impact × probability). Ono što auditor traži: da je metodologija dokumentirana, dosljedno primijenjena, i da se rezultati hrane u risk treatment plan.

Mjesec 3-5: Implementacija kontrola

Najduža faza. Pišeš policies, postavljaš tehničke kontrole, treniraš ljude. Tipično 15-25 dokumenata: information security policy, access control policy, acceptable use policy, incident response procedure, change management, supplier security, business continuity, i drugi.

Mjesec 4-5: Dokumentacija i SoA

Statement of Applicability je dokument koji za svaku Annex A kontrolu sadrži: je li uključena u ISMS, opravdanje uključenja, status implementacije (implementirana / u tijeku / neimplementirana), i opravdanje isključenja za sve isključene kontrole — to su zahtjevi iz ISO 27001:2022 klauzule 6.1.3 d). U praksi dodaješ i link na evidence. SoA radiš paralelno s implementacijom, ne na kraju.

Mjesec 5-6: Interni audit

Posebna H2 sekcija dolje. Ne preskoči ga, on odlučuje proći ćeš ili ne.

Mjesec 6: External audit (Stage 1 + Stage 2)

Cert body dolazi u dvije faze. Stage 1 je readiness review — dokumentacija + razgovor s upravom, tipično 1-2 dana. Stage 2 je operativni audit, 3-5+ dana ovisno o scope-u. Između je obično 2-12 tjedana; iskoristi to vrijeme da popraviš Stage 1 findings.

Interni audit, što, tko, kada i kako ne pasti

Interni audit je sekcija koju konkurencija pokriva najgore. Nitko ne objašnjava tko ga može raditi, što provjeriti, i koje greške izbjeći. Iz prakse, interni audit je jedan od dva-tri faktora koji razlikuju "prošli iz prve" od "pao Stage 1".

Što je interni audit

ISO 27001:2022 klauzula 9.2 zahtijeva da organizacija obavi interne audite "planiranim intervalima" da bi provjerila funkcionira li ISMS prema zahtjevima standarda i internim politikama. U praksi: jednom godišnje minimum, plus svaki put kad dogodi se major change u scope-u ili kontrolama.

Razlika od vanjskog audita: external radi neovisni certifikacijski tijelo (TÜV NORD, DNV, Bureau Veritas, drugi). Interni radiš ti, ili netko koga ti angažiraš. External daje ti certifikat. Interni te priprema da ga uopće dobiješ.

Tko ga može raditi

Tri opcije:

1. Interni resursi. Zaposlenik tvoje tvrtke s ovlastima auditora. Mora imati neovisnost od revidiranog područja, što znači da osoba koja je implementirala kontrole ne smije revidirati svoj rad. Praktično, ovo radi samo u srednjim i većim tvrtkama gdje imaš višestruke nezavisne odjele.

2. Vanjski savjetnik kao auditor. Konzultant koji nije bio uključen u pripremu (ili je bio uključen samo u dio koji ne revidira). Najčešća opcija za SMB. Ako sam radio tvoju pripremu, za interni audit angažiram nezavisnog ISO 27001 lead auditora iz mreže partnera (netko tko nije imao input u pripremu), čime se zadovoljava klauzula 9.2 nezavisnost.

3. Cert body kao auditor. Ne. ISO/IEC 17021-1 eksplicitno zabranjuje istom cert body-ju da kombinira konzalting (uključujući interni audit) i certifikaciju za istog klijenta unutar 2 godine. Ako vidiš ponudu koja kombinira interni audit i certifikaciju iz iste tvrtke, to je struktura koja krši zahtjev za neovisnost i formalno ne prolazi.

Kada ga raditi

Najmanje 4-6 tjedana prije vanjskog Stage 1 audita. Zašto: trebaš vremena popraviti findings prije external auditor-a. Ako interni audit nađe 8 non-conformities i ti uđeš u external sljedeći tjedan, fail je gotovo zagarantiran.

Nakon prve certifikacije, godišnje. To je hard requirement, ne preporuka.

Audit checklist tabela

Ovaj checklist pokriva najčešće problematične kontrole koje izazivaju findings u SMB ISMS-ima. Drugi hrvatski konzultanti ovo ne objavljuju javno.

Annex A grupa Kontrole za fokus Tip evidencije Frequent fail signal
A.5 Organizational A.5.7 Threat intelligence, A.5.23 Cloud security, A.5.34 PII protection Dokumentirani threat feed izvori, cloud vendor due diligence, PII registry "Imamo cloud, znamo da je sigurno" bez vendor SOC 2 ili ISO certifikat dokaza
A.5 Organizational A.5.30 ICT readiness for business continuity BCP test report, RTO/RPO definicije BCP test nije proveden u zadnjih 12 mjeseci
A.6 People A.6.1 Screening, A.6.3 Awareness training Pre-employment background check, training attendance log, training quiz results Training je obavljen ali nema evidencije o attendance-u ili razumijevanju
A.7 Physical A.7.10 Storage media, A.7.14 Secure disposal Media inventory, disposal certificate, asset destruction log Hard diskovi se "bacaju u smeće" bez secure wipe ili shred certifikata
A.8 Technological A.8.16 Monitoring activities SIEM logs, monitoring playbooks, alert thresholds Logovi se prikupljaju ali se nitko ne bavi alertima, ili thresholdi nisu definirani
A.8 Technological A.8.9 Configuration management Baseline configurations, drift detection report "Server postavljen, radi" bez baseline dokumenta ili periodic check-a

5 tipičnih grešaka SMB-a u internom auditu

  1. Premali audit window. Pokrije se cijeli scope za jedan dan. Audit ima dubinu od centimetra, širinu od kilometra. Auditor bi trebao moći pisati 15-30 specifičnih findings, ne 3 generička.
  2. Auditor revidira svoj vlastiti rad. Osoba koja je pisala incident response policy ne smije revidirati provedbu te policy-je.
  3. No evidence trail. Auditor reportira "I provjerio sam access logs, sve je u redu" bez dokumentacije koje logove je gledao i kojih datuma. To je tvrdnja, ne dokaz.
  4. Ne pokriva sve kontrole iz SoA. Ako je u SoA označeno "applicable", interni audit mora ga obuhvatiti barem jednom u ciklusu (godišnje za većinu organizacija).
  5. No action plan s ownership i deadline. Finding bez "tko popravlja, do kada" je samo lista žalbi. External auditor će potražiti corrective action records.

Trebaš nezavisan interni audit prije nego što kreneš na Stage 1? Razgovaramo u 30 minuta, bez obveza, bez PowerPointa.

Bonus checklist. Ovaj javni checklist je samo izvod. Prošireni interni audit checklist sa 40+ dodatnih kontrola kroz sve 4 Annex A grupe (uključujući config baselines, threat-intel feed validation, BCP test artefakti, supplier security review, cryptography key management, secure SDLC i druge) možeš preuzeti kao PDF →.

Što utječe na trošak — anatomija cijene

Konkretne brojke ovise od scope-a. Faktori koji najviše utječu na finalnu cijenu:

Scope size. Jedna service line s 20 zaposlenih je drugačiji projekt od cijele tvrtke s 200. Veći scope znači više dokumenata, više kontrola za implementaciju, duži audit. Najveći lever koji možeš povući.

Broj fizičkih lokacija. Multi-location organizacije zahtijevaju ili sve lokacije obuhvatiti scope-om (skupo) ili eksplicitno isključiti (uz justifikaciju u SoA). Cert body možda traži posjete dodatnih lokacija, što povećava trošak vanjskog audita.

Postojeća dokumentacija. Ako već imaš osnovne sigurnosne politike, incident response procedure, asset inventory, ušteda u pripremi je velika. Greenfield ISMS gradnja od nule traje 50-100% duže.

Broj zaposlenih. Awareness training, screening procesi, pristupi i offboarding, sve se skalira s ljudima. 200 ljudi nije 10× 20 ljudi po kompleksnosti, ali je ~3-4× po effort-u.

Sektor. Fintech, healthcare, public administration imaju dodatne regulatorne zahtjeve koji se moraju mapirati u ISMS. Trošak je značajno viši u odnosu na generic SaaS scenarij — dodatni framework mapping, više dokumentacije, češći touch-pointi s regulatorom.

Struktura external troška (public market)

Ono što je javno poznato o cert body cijenama:

  • Stage 1 + Stage 2 audit se naplaćuju po danu rada auditor-a, tipično 3-6 dana ukupno za SMB scope.
  • Surveillance audits ide godišnje (godine 1 i 2 nakon certifikacije), tipično 2-3 dana po posjeti.
  • Recertifikacija se obavlja svake 3. godine i otprilike je usporediva s originalnim Stage 2.

Konkretne EUR brojke variraju među cert bodies-ima. Iz dosadašnjeg iskustva, kalkuliraj četverocifrene troškove za Stage 1 + Stage 2 kombinaciju kao orijentacijski signal, plus manje godišnje za surveillance.

Konzultantske cijene za pripremu javno ne objavljujemo jer ovise direktno o scope-u. Javi se za konkretnu ponudu ovisno o tvojoj situaciji.

Najčešće greške koje izazivaju fail prve revizije

Iz iskustva s ISMS-om koji sam izgradio kao CISO u banci (godišnji audit-i prošli + HNB supervizija bez kazne) i trenutnoj CISO ulozi gdje smo prošli SOC 2 Type 1 i HIPAA audit iz prve, sedam najčešćih razloga za fail prve revizije:

  1. Nedosljedan Statement of Applicability. SoA s 30 kontrola označenih "not applicable" bez justifikacija, ili s justifikacijama tipa "mislimo da nam ovo ne treba". Auditor traži jasan razlog temeljen na izlazu iz risk assessment-a.
  2. Risk register premali. 5-10 generičkih rizika ("data breach", "ransomware") za organizaciju koja ima 50 servisa, 200 zaposlenih, 3 lokacije. Dubina risk assessment-a direktno govori o ozbiljnosti ISMS-a.
  3. Kontrole napisane ali ne provedene. Politika kaže "provodimo background checks", stvarna evidencija: nula provedenih u zadnjih 12 mjeseci. Auditor testira sample, ne čita samo policy.
  4. Interni audit prekasno ili preplitko. Pokrili smo gore. Interni audit obavljen 2 tjedna prije Stage 1 i s 3 findings = signal nedovoljne ozbiljnosti.
  5. Leadership commitment samo formalno. Top management review nije bio održan, ili je bio formalan email bez agende ni akcije. Clause 5 fail.
  6. Kaos u upravljanju dokumentima. Verzije dokumenata se ne prate, vlasništvo nejasno, ažuriranja ad-hoc. Auditor će tražiti document register i provjeriti je li trenutna verzija policy-je ista kao ono što ljudi koriste u praksi.
  7. Awareness training neuvježban. "Slali smo email zaposlenicima", bez evidencije attendance-a, quiz score-ova, ili recordings.

Klasičan post-fail pattern koji se ponavlja kod SaaS startupa: tri tjedna nakon Stage 1 fail-a panika krene. Risk register sadržavao 8 rizika za 35-osoba inženjerski tim. Interni audit bio "verbal sign-off" bez dokumenta. Awareness training "lunch-and-learn prošle godine, nemamo recordings".

Tri mjeseca do Stage 2. Popravljivo, ali sa značajnim dodatnim troškom i stresom za tim. Sve nabrojano je trebalo biti otkriveno na internom auditu u M5, ne u Stage 1.

ISO 27001 vs. ostali okviri

Često postavljano pitanje: koji okvir nam treba?

Framework Tržište Tip Trajanje priprema Audit cycle
ISO 27001:2022 Globalno B2B Voluntary (dok regulator ne zahtijeva) 4-9 mj 3-godišnji ciklus + 2 surveillance
SOC 2 Type II US enterprise Voluntary, US dominant 6-12 mj (Type II) Godišnje
NIS2 / ZKS EU / HR Obvezan za ključne i važne subjekte 3-6 mj (priprema), tekuće održavanje n/a (regulator audita)
HIPAA US healthcare Obvezan za PHI handling 3-6 mj n/a (regulator audita)
DORA EU finance Obvezan od 17.01.2025 za financijski sektor 6-12 mj n/a (regulator audita)

Za HR SaaS koji prodaje US-u: ISO 27001 prvi, SOC 2 Type II nadovezuje. Dobar ISO 27001 ISMS daje ti većinu SOC 2 Common Criteria, ali Trust Services za availability, confidentiality, processing integrity, privacy traže dodatni rad. Ne ide u suprotnom smjeru. SOC 2 prvo pa ISO ne radi tako dobro.

Detaljnije o NIS2 specifično: naš NIS2 vodič pokriva 10 mjera iz članka 21, kazne, i DORA + HIPAA mapping.

Kako odabrati konzultanta za pripremu

Kriteriji koje pita svaki ozbiljan prospect:

Praktično iskustvo, ne samo certifikati. Konzultant koji ima samo "Lead Implementer" certifikat, bez stvarne implementacije ISMS-a koji je prošao external audit, nije dovoljan. Pitaj: "Koliko ISMS-a si izveo do certifikata? Koji cert bodies? Koje sektore?"

Industry fit. Fintech ISMS je drugačiji od SaaS ISMS-a. Konzultant koji nikad nije radio s tvojom industrijom prepoznat će probleme tek u Stage 1, ne prije.

Komunikacija s leadership-om. ISO 27001 nije samo IT projekt. Uprava mora biti aktivni participant. Konzultant koji "samo radi s IT odjelom" ne završava projekt na razini koju auditor očekuje.

Posao se ne završava na certifikatu. Surveillance audits traže održavanje ISMS-a. Konzultant koji ti pomogne dobiti certifikat i nestane je pola priče.

Transparentno o granicama. Stage 2 ne može garantirati nitko osim cert body-ja koji ga provodi. Konzultant koji ti to obeća bez detaljne gap analize ili kreira lažna očekivanja, ili ne razumije kako external audit funkcionira. U oba slučaja, signal slabog razumijevanja procesa. Konzultant može garantirati svoj rad, ne audit outcome.

Big 4 vs boutique konzultant

Najčešća alternativa: Big 4 firma (Deloitte, KPMG, PwC, EY) ili etablirana HR consultancy s 10+ ISMS implementacija. Trade-offi su realni.

Big 4 ima brand prepoznatljivost koja CFO-u u procurement procesu olakšava odobravanje. Trošak je tipično 2-3× viši od boutique konzultanta; projekt obično preuzima senior + tim juniora koji vode većinu operativnog rada. Boutique konzultant je jeftiniji, ali rizik je "jednočlana firma koja nestane usred projekta". Founder-led shop koji radi CISO-as-a-Service je između: senior-only engagement, formalna tvrtka s ugovorima, fokus.

Petnaest godina u sigurnosti i IT-u kroz tri uloge: Head of DevOps u telekomu (security-driven infrastruktura, ali ne kao CISO), zatim CISO u banci gdje sam izgradio ISMS prema HNB-ovoj "Odluci o primjerenom upravljanju informacijskim sustavom". Godišnji vanjski audit-i prošli plus HNB supervizija bez kazne i mjere. Trenutno CISO u US SaaS startupu gdje smo prošli SOC 2 Type 1 i HIPAA audit iz prve. Ctrl Alt Grow je consultancy s istom metodologijom. Founder-led, ja vodim svaki angažman; za interni audit angažiram nezavisne partnere s ISO 27001 lead auditor certifikatima. Ako ti to odgovara, razgovaramo.

Često postavljana pitanja

Koliko kontrola ima ISO 27001:2022?

ISO 27001:2022 ima 93 Annex A kontrole grupirane u 4 kategorije: Organizational (37), People (8), Physical (14), Technological (34). Verzija iz 2013. imala je 114 kontrola u 14 domena. Tranzicija na 2022. verziju završava listopada 2025., nakon čega se 2013. certifikati više ne produžuju.

Koliko traje priprema za ISO 27001?

Tipično 4 do 9 mjeseci ovisno o scope-u i veličini tvrtke. Manji SMB s jednim service line-om i postojećim sigurnosnim praksama može završiti za 4-5 mjeseci. Veće organizacije ili greenfield ISMS gradnja traje 8-12 mjeseci. Iznad 12 mjeseci ozbiljno preispitaj scope ili angažman internih resursa.

Mora li mala tvrtka imati ISO 27001?

Ne zakonski (u HR-u). Ali ako prodaješ B2B enterprise klijentima, ako si u reguliranom sektoru, ili ako ti je US tržište relevant, ISO 27001 (ili SOC 2) je vjerojatno deal-breaker za sales. Za D2C webshop bez senzitivnih podataka, vjerojatno ne treba.

Mogu li sam raditi interni audit?

Tehnički da, ako osoba ima neovisnost od revidirane funkcije. Praktično, većini SMB-a nedostaje time + experience da to napravi efikasno za 4-6 tjedana prije Stage 1. Eksterni interni audit od konzultanta daje dva ili tri dana fokusiranog gap detection-a s evidence trail-om koji external auditor lakše prihvaća.

Što ako audit padne?

Stage 1 fail znači findings koje moraš popraviti prije Stage 2. Tipično 4-8 tjedana extra rada. Stage 2 fail je rjeđi i ozbiljniji, znači majoritetne non-conformities. Tipično 3-6 mjeseci dodatnog rada plus dodatni audit fee. Najbolji način da to izbjegneš: dobar interni audit prije Stage 1.

Vrijedi li ISO 27001 ako već imamo SOC 2?

Da, ali drugačije svrhe. SOC 2 je US-centric trust framework, ISO 27001 je globalno priznat compliance standard. EU enterprise klijenti i regulatori češće traže ISO 27001; US enterprise češće traže SOC 2. Ako prodaješ oba tržišta, vrijedi imati oba.

Razlika između konzultanta i cert body-ja?

Konzultant ti priprema ISMS i radi pripreme za external audit. Cert body radi external audit i izdaje certifikat. Cert body NE smije raditi tvoju pripremu, niti tvoj interni audit. Ovo je hard rule iz ISO/IEC 17021-1: istom cert body-ju je zabranjeno kombinirati konzalting i certifikaciju unutar 2 godine. Ako ti netko nudi "all-in-one" paket pripreme + certifikacije od iste tvrtke, ta struktura formalno krši zahtjev za neovisnost.

Zaključak

ISO 27001 za hrvatske tvrtke u 2026. nije isto što je bio prije 5 godina. NIS2 i ZKS su podigli compliance kao top-level business concern, tržište više ne razlikuje "imamo politike sigurnosti" od "imamo certificirani ISMS". Ima ili nema certifikata.

Priprema je izvediva u 4-9 mjeseci uz pravu strukturu. Najveći rizici nisu tehnička kompleksnost (kontrole su definirane), nego planiranje: scope, leadership commitment, interni audit timing. Greške koje izazivaju fail-ove su predvidive i poznate.

Ako prodaješ B2B enterprise klijentima, ako si u reguliranom sektoru, ili ako ti je US tržište relevant, ISO 27001 je investicija koja se vraća kroz olakšane prodajne procese.

Već imaš trigger (klijent traži, regulator pita)?30-min scope poziv. Razgovaramo konkretno, bez PowerPointa.

Razmišljaš o ISO 27001 ali nisi siguran je li sada vrijeme? → Pošalji upit s 2-3 rečenice o situaciji. Odgovor unutar 24h s preporukom "idi / ne idi sada / pričekaj".

Pošalji upit
Ante Projić je osnivač Ctrl Alt Grow i savjetnik za IT sigurnost, compliance i cloud infrastrukturu.