NIS2 direktiva: što znači za firme na Balkanu
NIS2 direktiva i firme na Balkanu: koga obvezuje, koje su kazne i kako se firme u BiH mogu pripremiti za nove zahtjeve s
Pročitaj
ISO 27001 priprema je proces uspostavljanja sistema upravljanja informacijskom sigurnošću (ISMS) prije nego što certifikacijsko tijelo provede audit. U praksi obuhvata gap analizu, procjenu rizika, izradu obavezne dokumentacije, implementaciju kontrola i interni audit. Za prosječnu malu ili srednju firmu cijeli proces od početka pripreme do dobivanja certifikata realno traje između šest i dvanaest mjeseci.
Naše rješenje
Cyber zaštita i usklađenost - vodimo vas do usklađenosti i sigurnosti. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.
ISO/IEC 27001 je međunarodni standard koji definira zahtjeve za sistem upravljanja informacijskom sigurnošću. Za firme u Bosni i Hercegovini i široj regiji certifikat je sve češće preduvjet za poslove s velikim klijentima, javnim sektorom i partnerima iz EU. U ovom vodiču objašnjavamo kako izgleda ozbiljna ISO 27001 priprema, koje korake ne smijete preskočiti i gdje firme najčešće griješe.
Što je zapravo ISO 27001 i zašto nije samo dokument
Česta zabluda je da je ISO 27001 priprema vježba pisanja papira. Standard se vrti oko ISMS-a (Information Security Management System), žive operativne strukture procesa, politika i kontrola koja se kontinuirano poboljšava. Certifikacijsko tijelo ne ocjenjuje samo postoji li dokument, nego radi li sistem u stvarnosti i ima li dokaza da se kontrole zaista primjenjuju.
Trenutno važeća verzija je ISO/IEC 27001:2022. Ona je donijela revidiran Aneks A s 93 kontrole organizirane u četiri grupe: organizacijske, kadrovske, fizičke i tehnološke. Ako pripremu radite danas, radite je prema verziji iz 2022. Starija verzija iz 2013. više nije osnova za nove certifikate.
Važno je razlikovati dva dijela standarda. Kontrole iz Aneksa A su, pojednostavljeno, popis sigurnosnih mjera koje birate prema rizicima. Glavni, obavezni dio su klauzule od 4 do 10. One opisuju kako sistem upravljanja mora biti postavljen i njih ne možete "isključiti" kao pojedinačnu kontrolu. Mnoge firme pažnju usmjere na tehničke kontrole, a zanemare upravo ove klauzule koje auditor uvijek provjerava.
Obavezne klauzule standarda (4 do 10)
Bez obzira na djelatnost ili veličinu firme, ISO 27001 priprema mora pokriti sve obavezne klauzule. Ukratko, evo što svaka traži:
- Klauzula 4 - Kontekst organizacije: razumijevanje internih i vanjskih okolnosti, zainteresiranih strana i njihovih zahtjeva, te definiranje opsega ISMS-a.
- Klauzula 5 - Vodstvo: jasna posvećenost uprave, politika informacijske sigurnosti te dodijeljene uloge i odgovornosti.
- Klauzula 6 - Planiranje: procjena i tretman rizika, ciljevi sigurnosti i plan kako ih postići.
- Klauzula 7 - Podrška: resursi, kompetencije, svijest zaposlenika, komunikacija i upravljanje dokumentiranim informacijama.
- Klauzula 8 - Operacije: provedba planiranih procesa i kontrola u svakodnevnom radu.
- Klauzula 9 - Vrednovanje učinka: mjerenje, interni audit i upravin pregled.
- Klauzula 10 - Poboljšanje: postupanje s nesukladnostima i kontinuirano unapređenje sistema.
Logika iza ovih klauzula je poznati PDCA ciklus (Plan-Do-Check-Act): planirate, provodite, provjeravate i poboljšavate. Auditori upravo prate taj krug. Žele vidjeti da firma ne samo da je uvela kontrole, nego da redovno mjeri rade li i ispravlja propuste.
Faze ISO 27001 pripreme korak po korak
Iako svaki projekat ima svoje specifičnosti, ISO 27001 priprema gotovo uvijek prolazi kroz sljedeće faze:
1. Gap analiza i opseg (scope)
Prvi konkretan korak je gap analiza, odnosno usporedba postojećeg stanja sa zahtjevima standarda. Tu se utvrđuje koliko vam nedostaje do usklađenosti i koliko će projekt realno koštati u vremenu i resursima. Paralelno se definira opseg ISMS-a: koje organizacijske jedinice, lokacije, sistemi i procesi su pokriveni. Preuzak opseg umanjuje vrijednost certifikata kod klijenata, a preširok nepotrebno poskupljuje projekt.
2. Procjena rizika i plan tretmana
Srce standarda je procjena rizika. Identificiraju se informacijska imovina, prijetnje i ranjivosti, te se rizici ocjenjuju po vjerovatnoći i utjecaju. Za svaki značajan rizik bira se tretman: smanjiti, prihvatiti, prenijeti ili izbjeći. Na osnovu toga nastaje Izjava o primjenjivosti (Statement of Applicability, SoA), dokument koji za svaku od 93 kontrole iz Aneksa A obrazlaže primjenjuje li se i zašto.
3. Izrada dokumentacije i politika
Tek nakon procjene rizika ima smisla pisati politike i procedure, jer one moraju odgovarati stvarnim rizicima firme. Tipičan set uključuje politiku informacijske sigurnosti, politiku kontrole pristupa, upravljanje incidentima, upravljanje dobavljačima i kontinuitet poslovanja.
4. Implementacija kontrola
Ovo je faza u kojoj se najviše griješi jer zahtijeva stvarne promjene u radu. Uvode se tehničke kontrole (kontrola pristupa, šifriranje, logging, sigurnosno ažuriranje), organizacijske kontrole (uloge i odgovornosti, klasifikacija podataka) i kadrovske mjere (edukacija zaposlenika, sigurnosna svijest). U ovoj fazi se često otkrije da je sigurnosno testiranje korisno za dokazivanje da kontrole zaista funkcioniraju.
5. Interni audit i pregled uprave
Prije nego što dođe vanjsko certifikacijsko tijelo, firma mora sama provesti interni audit i upravin pregled (management review). Cilj je pronaći i ispraviti nesukladnosti dok je još jeftino, te dokazati da menadžment aktivno upravlja sistemom.
6. Certifikacijski audit u dvije faze
Vanjski audit ima dvije faze. Faza 1 je pregled dokumentacije i spremnosti, gdje se provjerava postoji li ISMS na papiru i u temeljnim procesima. Faza 2 je dubinski audit primjene u praksi, s razgovorima sa zaposlenicima i provjerom dokaza. Nakon uspješne Faze 2 izdaje se certifikat koji vrijedi tri godine, uz nadzorne audite obično svake godine.
Realan vremenski okvir i resursi
Trajanje ovisi o veličini firme, zrelosti postojećih procesa i raspoloživosti tima. Sljedeća tabela daje okvirne procjene za firme u regiji:
| Veličina firme | Tipično trajanje pripreme | Glavni izazov |
|---|---|---|
| Mikro / mala (do 50 zaposlenih) | 4 do 8 mjeseci | Ograničeni interni resursi i znanje |
| Srednja (50 do 250) | 6 do 12 mjeseci | Usklađivanje više odjela i lokacija |
| Velika (250+) | 9 do 18 mjeseci | Složen opseg i broj sistema |
Pored vremena, planirajte i troškove certifikacijskog tijela (zaseban od konsultantskih troškova), interno vrijeme zaposlenika i eventualne investicije u alate ili infrastrukturu koji proizađu iz procjene rizika. U regiji je čest scenarij da firma ima dobru tehničku osnovu, ali joj nedostaje formalna dokumentacija i dokazi, pa najviše vremena odlazi upravo na uspostavu zapisa i procesa, a ne na nove tehnologije.
Koju dokumentaciju i dokaze auditor traži
Standard zahtijeva određene obavezne dokumentirane informacije. Ako ih nema, audit ne prolazi bez obzira na to koliko je tehnička sigurnost dobra. Najvažniji obavezni dokumenti i zapisi su:
- Opseg ISMS-a i politika informacijske sigurnosti.
- Metodologija procjene rizika te rezultati procjene i plana tretmana.
- Izjava o primjenjivosti (SoA) s obrazloženjem za svaku kontrolu iz Aneksa A.
- Ciljevi informacijske sigurnosti i planovi za njihovo postizanje.
- Zapisi o kompetencijama i edukaciji zaposlenika.
- Rezultati internih audita i upravinih pregleda.
- Zapisi o sigurnosnim incidentima i poduzetim korektivnim mjerama.
Ključna riječ je dokaz. Politika koja kaže da se pristup pregledava kvartalno mora biti popraćena zapisom da je taj pregled stvarno proveden. Auditor u Fazi 2 nasumično bira primjere i traži dokaze; ako ih nema, riječ je o nesukladnosti koju treba ispraviti prije izdavanja certifikata.
Kako provjeriti jeste li spremni za audit
Prije nego što naručite certifikacijski audit, vrijedi proći kratku provjeru spremnosti. Sljedeća pitanja firme u BiH i regiji najčešće otkrivaju slabe tačke:
- Je li opseg ISMS-a jasno definiran i odobren od uprave?
- Je li procjena rizika svježa i odražava li stvarno stanje, a ne stanje od prije godinu dana?
- Imate li dokaze da kontrole iz SoA zaista rade, a ne samo da su opisane?
- Je li proveden barem jedan interni audit i upravin pregled?
- Postoji li proces prijave i obrade incidenata koji zaposlenici poznaju?
- Jesu li dobavljači i vanjski izvođači obuhvaćeni procjenom rizika?
Ako na neko od ovih pitanja odgovor nije uvjerljivo "da", to je znak da pripremu treba još malo dovršiti prije nego što uđete u skupi vanjski audit.
Najčešće greške u ISO 27001 pripremi
- Kupovina gotovog seta dokumenata bez prilagodbe. Šabloni mogu ubrzati start, ali auditor brzo prepozna politike koje ne odgovaraju stvarnom radu firme.
- Procjena rizika kao formalnost. Ako rizici nisu stvarni i mjerljivi, sve kontrole i SoA gube smisao.
- Ignoriranje dobavljača. Standard traži upravljanje rizicima trećih strana: cloud provajdera, podizvođača, freelancera.
- Nema dokaza o primjeni. Logovi, zapisnici edukacija i izvještaji o incidentima su dokazi koje auditor traži; bez njih kontrola "na papiru" ne prolazi.
- Tretiranje certifikata kao jednokratnog projekta. ISMS se mora održavati; nadzorni auditi i upravljanje incidentima traju i nakon certifikata.
Kako vam NeoBit pomaže u pripremi
Kao cyber security kompanija iz Mostara, NeoBit firmama u BiH i regiji pomaže da ISO 27001 pripremu odrade temeljito, a ne samo formalno. Počinjemo gap analizom i procjenom rizika, pomažemo u izradi dokumentacije te tehnički provjeravamo rade li kontrole. Pregled cjelokupne ponude možete vidjeti na stranici servisi i usluge.
Posebno korisno je povezati pripremu s realnim sigurnosnim testiranjem. Penetration test daje konkretne dokaze o ranjivostima i učinkovitosti kontrola, što jača vašu poziciju na auditu. Ako želite procijeniti potrebe, ispunite kratki pentest upitnik i dobit ćete povratnu informaciju o opsegu. Za konkretan razgovor o vašoj situaciji javite se putem kontakt stranice.
Često postavljana pitanja
Koliko traje ISO 27001 priprema za malu firmu?
Za malu firmu do 50 zaposlenih ISO 27001 priprema obično traje između četiri i osam mjeseci, ovisno o zrelosti postojećih procesa i tome koliko vremena interni tim može posvetiti projektu. Firme koje već imaju uređene IT procese kreću se prema donjoj granici tog raspona.
Mogu li sami provesti pripremu bez konsultanta?
Tehnički je moguće, posebno ako u firmi imate iskusnog stručnjaka za informacijsku sigurnost. U praksi konsultant ubrzava proces, smanjuje rizik od nesukladnosti na auditu i pomaže da dokumentacija odgovara stvarnom radu, a ne samo standardu. Certifikacijsko tijelo mora biti neovisno od onih koji su radili pripremu.
Koliko vrijedi ISO 27001 certifikat i šta nakon njega?
Certifikat vrijedi tri godine. Tokom tog perioda certifikacijsko tijelo provodi nadzorne audite, obično jednom godišnje, kako bi provjerilo da ISMS i dalje funkcionira. Nakon tri godine slijedi recertifikacijski audit. ISMS se, dakle, mora kontinuirano održavati.
Trebamo li penetration test za ISO 27001?
Standard izričito ne propisuje penetration test, ali traži da provjeravate tehničke ranjivosti i da imate dokaze o učinkovitosti kontrola. Penetration test je u praksi jedan od najuvjerljivijih načina da to dokažete, pa ga mnoge firme uključuju u pripremu i u redovni ciklus održavanja.
Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Zaštita podataka i GDPR u BiH - vodič za firme · NIS2 direktiva: što znači za firme na Balkanu
