Certifikacija po ISO 27001 više nije samo "nice to have". Za mnoge tvrtke postala je ulaznica za ozbiljne ugovore, EU tendere i povjerenje klijenata u 2026. godini. Međutim, statistike pokazuju da preko 60–70 % prvih pokušaja implementacije traje duže nego što je planirano ili završi neuspjehom. Razlog? Ponavljajuće, izbjegljive pogreške koje se pojavljuju u gotovo svakoj regiji i industriji.
U ovom članku, temeljenom na aktualnim iskustvima iz prijašnjih godina . i analizama izvora poput NQA, Scytale, Zerberus i regionalnih portala (zadar-ict.hr, itsm.hr), prolazimo kroz top 10 najčešćih zamki pri uvođenju sustava upravljanja informacijskom sigurnošću (ISMS). Svaku pratimo konkretnim koracima kako je preskočiti.
Nedostatak stvarne podrške i vidljive uključenosti top managementa
Bez aktivnog angažmana uprave projekt se pretvara u "još jedan IT zadatak". Auditorima je to najlakše uočiti – a statistike kažu da je ovo uzrok ~70 % neuspjeha ili velikih kašnjenja.
Kako izbjeći? Formirajte upravni odbor za informacijsku sigurnost (CISO + CEO + barem jedan izvršni direktor) već u prvoj fazi. Definirajte KPI-je sigurnosti koje uprava prati na mjesečnim sastancima: broj kritičnih incidenata, % završenih obuka, % implementiranih mjera iz SoA. Neka uprava to javno komunicira – kratka video poruka na intranetu, spominjanje na town-hallu ili potpisana Izjava o politici sigurnosti informacija. To mijenja percepciju: sigurnost nije "dodatni posao", već strateški prioritet. Više o važnosti rukovodstva pročitajte u našem članku o 3 koraka za postizanje kibernetičke sigurnosti tvrtke.
Preširok, nejasan ili loše obrazložen opseg ISMS-a
Mnoge tvrtke krenu s "cijela organizacija" jer se boje da će nešto propustiti. Rezultat je projekt koji traje dvostruko duže i troši nepotrebne resurse.
Rješenje je jednostavno: provedite Scope workshop u prva 2–3 tjedna s upravom i ključnim voditeljima odjela. Postavite pitanja: Koji su naši najvrijedniji klijenti, podaci i procesi? Koji dijelovi poslovanja nose najveći regulatorni, financijski ili reputacijski rizik? Jasno dokumentirajte izuzeća (npr. "ne uključuje legacy ERP koji se gasi do kraja 2027."). Opseg mora biti realan i usklađen s poslovnim ciljevima. To štedi mjesece rada. Primjere dobre prakse možete vidjeti u našim uslugama implementacije i razvoja poslovnih rješenja.
Površna analiza rizika ili "copy-paste" pristup
Rizik je srce ISO 27001. Poglavlja 6 i 8 su najčešći razlog pada na certifikacijskom auditu. Generičke Excel tablice s 150 jednakih redaka ne prolaze.
Umjesto toga, radite 2–3 realistična scenarija po ključnom procesu ili assetu: ransomware koji šifrira produkciju, unutarnji leak preko nezadovoljnog zaposlenika, DDoS na web shop. Primijenite pristup iz ISO 27005 + metodu 4T (Treat, Tolerate, Transfer, Terminate) i obavezno dodijelite vlasnika rizika za svaki tretman. Dokumentirajte obrazloženje zašto je rizik prihvaćen na određenoj razini, auditor to traži. Povezano s tim, pogledajte naš vodič za obranu od phishing napada.
Pretjerano oslanjanje na gotove ISO 27001 toolkite bez prilagodbe
Kupnja "ISO 27001 paketa za 90 dana" zvuči primamljivo, ali dovodi do SoA koji ne odgovara stvarnosti i incidenata na auditu.
Koristite predloške samo kao polaznu točku. Svaku politiku, proceduru i kontrolu prilagodite vašim procesima. Ako nemate SLA-e s dobavljačima, ne pišite detaljnu politiku o tome. Vodite Statement of Applicability paralelno s analizom rizika, a ne naknadno. To osigurava da dokumentacija ima smisla i da se mjere primjenjuju. Za slične teme pročitajte naš članak o 3-2-1 strategiji backupa podataka.
Dokumentacija postoji, ali praksa izostaje
Najbolja politika na svijetu ne vrijedi ništa ako nitko ne zna za nju ili ako se lozinke i dalje pišu na papirićima.
Testirajte svaku proceduru s malom grupom zaposlenika prije finalnog odobrenja. Od prvog dana vodite dnevnik dokaza: screenshotovi konfiguracija, ticketi iz servisa, zapisnici obuka, logovi. Provodite mini interne audite svaka 2–3 mjeseca na 3–5 ključnih kontrola (A.5–A.18). To gradi dokaznu snagu i kulturu. Više o kontinuitetu pročitajte u NIS2 vodiču.
Nedostatak kvalitetne i redovite obuke zaposlenika
Ljudi su i dalje najslabija karika, a najčešće najslabije obučeni.
Uvedite obaveznu godišnju obuku + minimalno dvije phishing simulacije godišnje. Umjesto 60-straničnih PDF-ova, radite kratke video module (3–7 minuta). Pratite completion rate i phishing click rate kao KPI-je. To smanjuje incidente za desetke posto.
Zaboravljanje dobavljača i lanaca opskrbe
Vaša sigurnost može biti savršena, ali ako glavni SaaS ili cloud partner ima slabe kontrole – sve pada.
Napravite popis kritičnih dobavljača već pri definiranju opsega. U ugovore uključite sigurnosne klauzule + pravo na audit. Minimalno jednom godišnje tražite SoA ili sigurnosni upitnik. Ovo jača cijeli lanac.
Nerealna očekivanja o vremenu i resursima
"Certifikat za 6 mjeseci" – realnost za većinu srednjih tvrtki (50–250 ljudi) je 12–24 mjeseca.
Napravite Gantt chart s 30–40 % bufferom. Podijelite projekt na faze s jasnim izlaznim kriterijima (npr. završena analiza rizika → odobren SoA → završene obuke). To održava motivaciju.
Ignoriranje otpora zaposlenika i kulture
"Kad završi certifikacija, sve se vraća na staro" – najčešći komentar nakon 6 mjeseci.
Uključite ambasadore sigurnosti iz svakog odjela. Komunicirajte koristi za zaposlenike: manje incidenata = manje stresa vikendom, bolja reputacija = stabilniji poslovi. Slavite male pobjede javno.
Zaboravljanje da je ISO 27001 ciklički proces (PDCA)
Nakon certifikata mnogi "odahnu" i izgube certifikat na sljedećem nadzoru.
Odmah zakažite sljedeći interni audit i management review. Uvedite mjesečni/kvartalni sigurnosni pregled s upravom. Koristite SIEM, GRC alate i automatizaciju asset inventoryja da smanjite ručni rad.
