Różnica między ISO 27001 a ISO 27002

ISO 27001 vs ISO 27002
 

Ponieważ ISO 27000 to seria norm, które zostały zainicjowane przez ISO w celu zapewnienia bezpieczeństwa w organizacjach na całym świecie, warto znać różnicę między ISO 27001 i ISO 27002, dwiema normami z serii ISO 27000. Normy te zostały zainicjowane z korzyścią dla organizacji, a także w celu zapewnienia wysokiej jakości usług dla klientów. W tym artykule przeanalizowano różnice między ISO 27001 i ISO 27002.

Co to jest ISO 27001?

Norma ISO 27001 ma zapewnić bezpieczeństwo informacji i ochronę danych w organizacjach na całym świecie. Ten standard jest bardzo ważny dla organizacji biznesowych w zakresie ochrony ich klientów i poufnych informacji organizacji przed zagrożeniami. Wdrożenie systemu zarządzania bezpieczeństwem informacji zapewniłoby jakość, bezpieczeństwo, niezawodność usług i produktów organizacji, które można zabezpieczyć na najwyższym poziomie.

Podstawowym celem standardu jest zapewnienie wymagań dotyczących ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (ISMS). W większości firm decyzje o przyjęciu tego rodzaju standardów podejmowane są przez najwyższe kierownictwo. Również wymóg posiadania tego rodzaju systemu bezpieczeństwa informacji dla organizacji wynika z różnych czynników, takich jak cele i zadania organizacyjne, wymagania bezpieczeństwa, wielkość i struktura organizacji itp..

W poprzedniej wersji standardu w 2005 r. Opracowano go w oparciu o cykl PDCA, model Plan-Do-Check-Act w celu ustrukturyzowania procesów, co było odzwierciedleniem zasad określonych w wytycznych OECG. Nowa wersja z 2013 r. Kładzie nacisk na pomiar i ocenę skuteczności wyników organizacyjnych w ISMS. Zawiera także sekcję dotyczącą outsourcingu i większą koncentrację na bezpieczeństwie informacji w organizacjach.

Co to jest ISO 27002?

Norma ISO 27002 powstała początkowo jako norma ISO 17799, która opiera się na kodeksie postępowania w zakresie bezpieczeństwa informacji. Podkreśla różne mechanizmy kontroli bezpieczeństwa dla organizacji z wytycznymi ISO 27001.

Standard został ustanowiony w oparciu o różne wytyczne i zasady dotyczące inicjowania, wdrażania, ulepszania i utrzymywania zarządzania bezpieczeństwem informacji w organizacji. Rzeczywiste kontrole w standardzie dotyczą konkretnych wymagań poprzez formalną ocenę ryzyka. Standard składa się ze szczegółowych wytycznych dotyczących rozwoju standardów bezpieczeństwa organizacji i skutecznych praktyk zarządzania bezpieczeństwem, które byłyby przydatne w budowaniu zaufania w ramach działań międzyorganizacyjnych.

Istniejąca wersja normy została opublikowana w 2013 r. Jako ISO 27002: 2013 ze 114 kontrolami. Najważniejszym czynnikiem, na który należy zwrócić uwagę, jest to, że na przestrzeni lat opracowano lub są opracowywane liczne wersje ISO 27002 specyficzne dla branży w takich dziedzinach, jak sektor opieki zdrowotnej, produkcja itp.

Jaka jest różnica między ISO 27001 i ISO 27002?

• Norma ISO 27001 wyraża wymagania dotyczące zarządzania bezpieczeństwem informacji w organizacjach, a norma ISO 27002 zapewnia wsparcie i wskazówki dla osób odpowiedzialnych za inicjowanie, wdrażanie lub utrzymanie systemów zarządzania bezpieczeństwem informacji (ISMS).

• ISO 27001 jest standardem audytu opartym na wymaganiach podlegających kontroli, podczas gdy ISO 27002 jest przewodnikiem wdrażania opartym na sugestiach najlepszych praktyk.

• ISO 27001 zawiera listę kontroli zarządzania dla organizacji, podczas gdy ISO 27002 zawiera listę kontroli operacyjnych dla organizacji.

• ISO 27001 można wykorzystać do audytu i certyfikacji systemu zarządzania bezpieczeństwem informacji organizacji, a ISO 27002 można wykorzystać do oceny kompleksowości programu bezpieczeństwa informacji organizacji.

Uznanie autorstwa: „CIAJMK1209” John M. Kennedy T. (CC BY-SA 3.0)