V svetu, kjer je kibernetska varnost postala strateška prioriteta — ne le IT-jevska skrb — se dve vprašanji znova in znova pojavljata na mizah vodstvenih ekip:
“Kaj dejansko moramo narediti?” in “Kako vemo, da je dovolj?”
Standard ISO/IEC 27001:2022 in slovenski Zakon o informacijski varnosti (ZInfV-1) ponujata odgovor na obe. Ta članek pojasni, kaj standard in zakon dejansko zahtevata, zakaj sta relevantna za vsako organizacijo — ne le za regulirane panoge — in kako se medsebojno dopolnjujeta pri gradnji trdne varnostne osnove.
1. Kaj je ISO 27001?
ISO/IEC 27001 je mednarodni standard za vzpostavitev, izvajanje, vzdrževanje in nenehno izboljševanje Sistema upravljanja informacijske varnosti (SUIV). Razvili sta ga Mednarodna organizacija za standardizacijo (ISO) in Mednarodna elektrotehniška komisija (IEC); zadnja različica je bila objavljena leta 2022.
Pogosto se ga napačno razume kot zgolj certifikacijski standard. V resnici je to okvir za upravljanje tveganj: prilagodljiva, na tveganju temeljeca metodologija, ki organizaciji pomaga:
- identificirati informacijska sredstva in tveganja, ki jim grozijo,
- vzpostaviti sorazmerne varnostne kontrole,
- dokazati, da kontrole delujejo — regulatorjem, strankam in lastnikom.
KLJUČNI POUDAREK
ISO 27001 ne predpisuje enotne resitve. Zahteva, da organizacija razume svoja specificna tveganja in nanje odgovori premisljeno. To ga naredi uporabnega za podjetja vseh velikosti in sektorjev.
2. Struktura standarda: deset poglavij in 93 kontrol
Standard je strukturiran po visoki strukturi (High Level Structure — HLS), skupni vsem novejšim ISO standardom za sisteme upravljanja. Jedro SUIV-a sestavlja sedem poglavij:
| Poglavje | Vsebina |
| 4 — Kontekst | Razumevanje organizacije, zainteresiranih strani in obsega SUIV |
| 5 — Vodstvo | Zavezanost vodstva, politika varnosti, vloge in odgovornosti |
| 6 — Načrtovanje | Ocena tveganj, načrt obravnave tveganj, varnostni cilji |
| 7 — Podpora | Viri, kompetence, ozaveščenost, komunikacija, dokumentacija |
| 8 — Delovanje | Izvajanje kontrol, upravljanje sprememb, obvladovanje dobaviteljev |
| 9 — Vrednotenje | Notranje revizije, pregled vodstva, merjenje učinkovitosti |
| 10 — Izboljševanje | Korektivni ukrepi, neustreznosti, nenehne izboljšave |
Poleg poglavij standard vkljucuje Prilogo A — katalog 93 varnostnih kontrol, razporejenih v štiri tematske sklope: organizacijske, kadrovske, fizične in tehnološke kontrole. Organizacija ne implementira vseh kontrol; izbere tiste, ki naslavljajo identificirana tveganja, in to utemelji v Izjavi o uporabnosti (Statement of Applicability ali SoA).
3. Zakaj ISO 27001 — in zakaj zdaj?
Standard ima praktično vrednost ne glede na to, ali organizacija išče certifikacijo ali ne. Koristi se kažejo na treh ravneh:
3.1 Upravljanje tveganj, ne le skladnost
Osrednji mehanizem standarda — ocena in obravnava tveganj — organizacijo prisili, da varnost obravnava strateško. Namesto reaktivnega krpanja lukenj gradi proaktivno, na tveganju temelječo kulturo varnosti.
3.2 Zaupanje strank in partnerjev
Certifikat ISO 27001 ali dokumentiran SUIV vse pogosteje zahtevajo naročiniki v javnem sektorju, finančnih storitvah in kritični infrastrukturi kot pogoj za poslovanje. Postaja tržna vstopnica, ne le interno orodje.
3.3 Regulatorna osnova
ISO 27001 ni regulatorno zavezujoč, a je referenčni okvir za večino sodobnih varnostnih predpisov — vključno z NIS2 direktivo in slovenskim ZInfV-1. Organizacije z vzpostavljenim SUIV po ISO 27001 imajo bistveno lažjo pot do dokazila o skladnosti.
STE VEDELI?
Po podatkih ISO Survey 2023 je ISO 27001 eden najhitreje rastočih certifikacijskih standardov na svetu. Stevilo certifikacij v Evropi je med letoma 2019 in 2023 naraslo za več kot 40 %. Trend je neposredno povezan z vzponom NIS2.
4. ZInfV-1: Slovensko pravo srečuje mednarodni standard
Zakon o informacijski varnosti (ZInfV-1), ki je v slovensko pravo prenesel NIS2 direktivo EU (2022/2555), od bistvenih in pomembnih subjektov zahteva vzpostavitev sistema upravljanja informacijske varnosti in sprejetje sorazmernih tehničnih ter organizacijskih ukrepov za obvladovanje varnostnih tveganj.
Zakon posebej omenja zahteve, ki se neposredno prekrivajo z ISO 27001:
- politike informacijske varnosti in upravljanja tveganj,
- obvladovanje incidentov — vključno z obveznostjo priglasitve SI-CERT v roku 72 ur,
- neprekinjenost poslovanja in upravljanje kriz,
- varnost dobavne verige,
- usposabljanje in ozaveščanje zaposlenih,
- šifriranje in nadzor dostopa.
Ključno: ZInfV-1 ne predpisuje specifičnega standarda, ki ga je treba implementirati. Zahteva dokazljive, sorazmerne ukrepe. ISO 27001 je najbolj priznan in sprejet okvir za izpolnitev teh zahtev — tako pri regulatorjih kot sodiščih.
POZOR
Globe za bistvene subjekte po ZInfV-1 dosežejo do 10 milijonov EUR ali 2 % letnega prometa. Za pomembne subjekte do 7 milijonov EUR ali 1,4 % letnega prometa. Ugotovite, v katero kategorijo spada vaša organizacija — to je prvi korak.
5. ISO 27001 in ZInfV-1: Vzporednice in razlike
| ISO 27001 | ZInfV-1 / NIS2 |
| Prostovoljni standard (certifikacija opcijska) | Zakonska obveznost za bistvene/pomembne subjekte |
| Organizacija sama definira obseg SUIV | Obseg določa zakon (sektorji kritične infrastrukture) |
| Na tveganju temelječa ocena in kontrole | Sorazmerni ukrepi glede na tveganje in sektor |
| 93 kontrol v Prilogi A | Zakon določa minimum vsebinskih zahtev |
| Priglasitev incidentov po interni politiki | Obvezna priglasitev SI-CERT v roku 72 ur |
| Notranje in zunanje revizije | Nadzor s strani regulatorja |
| Nenehno izboljševanje | Periodično poročanje regulatorju |
Bistvo: ISO 27001 in ZInfV-1 nista v konfliktu — sta komplementarna. Standard ponuja metodologijo; zakon določa minimalne obveznosti. Organizacija, ki vzpostavi SUIV po ISO 27001, dobi strukturo, ki jo je mogoče neposredno preslikati na zahteve ZInfV-1.
6. Kje začeti? Praktični prvi koraki
Vzpostavitev SUIV po ISO 27001 ne zahteva, da v enem koraku implementirate vse. Priporočamo postopen, na tveganju temeleč pristop:
- Ugotovite regulatorni status. Ali je vaša organizacija bistveni ali pomembni subjekt po ZInfV-1? Odgovor določa obseg zakonskih obveznosti.
- Ocenite trenutno stanje. Kje ste danes glede na zahteve standarda? Katera področja so pokrita, katera imajo vrzeli?
- Pridobite zavezanost vodstva. SUIV ne more uspeti brez podpore na vrhu. Varnost mora biti strateška odločitev, ne le IT-jevski projekt.
- Definirajte obseg SUIV. Kateri procesi, sistemi in lokacije bodo zajeti? Preudarno definiranobseg je osnova vsega nadaljnjega.
- Izvedite oceno tveganj. Identificirajte sredstva, grožnje in ranljivosti. Na tej osnovi izberite kontrole iz Priloge A.
V naslednjih tednih bomo v tej seriji podrobno obravnavali vsako od poglavij ISO 27001 — od konteksta organizacije do nenehnega izboljševanja — in vsako navezali na konkretne zahteve ZInfV-1.
NASLEDNJI KORAK
Preden naslednjič greste na sestanek o kibernetski varnosti — preverite, kje vaša organizacija stoji danes. Nasa brezplačna Ocena zrelosti informacijske varnosti vam v 10 minutah pokaže trenutno stanje po petih ključnih področjih ISO 27001, usklajenih z zahtevami ZInfV-1. Izpolnite kratki obrazec in vaša personalizirana ocena vas čaka na drugi strani.
Serija se nadaljuje — naslednji teden: Kontekst organizacije (ISO 27001, poglavje 4)