ISO 27001 w porównaniu z ISO 27002
Ponieważ ISO 27000 to seria norm, które zostały zainicjowane przez ISO w celu zapewnienia bezpieczeństwa w organizacjach na całym świecie, warto poznać różnicę między ISO 27001 a ISO 27002, dwoma standardami z serii ISO 27000. Normy te zostały wprowadzone z korzyścią dla organizacji, a także w celu zapewnienia wysokiej jakości usług dla klientów. W tym artykule przeanalizowano różnice między ISO 27001 a ISO 27002.
Co to jest ISO 27001?
Norma ISO 27001 ma zapewnić bezpieczeństwo informacji i ochronę danych w organizacjach na całym świecie. Ten standard jest tak ważny dla organizacji biznesowych w ochronie ich klientów i poufnych informacji organizacji przed zagrożeniami. Wdrożenie systemu zarządzania bezpieczeństwem informacji zapewniłoby jakość, bezpieczeństwo, obsługę i niezawodność produktu organizacji, którą można zabezpieczyć na najwyższym poziomie.
Podstawowym celem normy jest zapewnienie wymagań dotyczących ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). W większości firm decyzje o przyjęciu tego typu standardów podejmuje najwyższe kierownictwo. Ponadto wymóg posiadania tego rodzaju systemu bezpieczeństwa informacji w organizacji wynika z różnych czynników, takich jak cele i zadania organizacyjne, wymagania dotyczące bezpieczeństwa, wielkość i struktura organizacji itp.
W poprzedniej wersji standardu z 2005 roku został on opracowany w oparciu o cykl PDCA, model Plan-Do-Check-Act w celu ustrukturyzowania procesów i to w sposób odzwierciedlający zasady wytyczone przez wytyczne OECG. Nowa wersja z 2013 roku kładzie nacisk na mierzenie i ocenę efektywności działania organizacji w SZBI. Zawiera również sekcję dotyczącą outsourcingu i większą uwagę poświęca się bezpieczeństwu informacji w organizacjach.
Co to jest ISO 27002?
Standard ISO 27002 został pierwotnie opracowany jako norma ISO 17799, która opiera się na kodeksie postępowania w zakresie bezpieczeństwa informacji. Podkreśla różne mechanizmy kontroli bezpieczeństwa dla organizacji zgodnie z wytycznymi ISO 27001.
Standard powstał w oparciu o różne wytyczne i zasady dotyczące inicjowania, wdrażania, doskonalenia i utrzymywania zarządzania bezpieczeństwem informacji w organizacji. Rzeczywiste kontrole w standardzie odnoszą się do określonych wymagań poprzez formalną ocenę ryzyka. Norma zawiera szczegółowe wytyczne dotyczące rozwoju standardów bezpieczeństwa organizacji i skutecznych praktyk zarządzania bezpieczeństwem, które byłyby przydatne w budowaniu zaufania w działaniach międzyorganizacyjnych.
Istniejąca wersja normy została opublikowana w 2013 roku jako ISO 27002: 2013 z 114 kontrolami. Najważniejszym czynnikiem, na który należy zwrócić uwagę, jest to, że na przestrzeni lat wiele branżowych wersji ISO 27002 zostało opracowanych lub jest w trakcie opracowywania w takich dziedzinach jak sektor zdrowia, produkcja itp.
Jaka jest różnica między ISO 27001 a ISO 27002?
• Norma ISO 27001 określa wymagania dotyczące zarządzania bezpieczeństwem informacji w organizacjach, a norma ISO 27002 zapewnia wsparcie i wytyczne dla osób odpowiedzialnych za inicjowanie, wdrażanie lub utrzymywanie systemów zarządzania bezpieczeństwem informacji (ISMS).
• ISO 27001 to norma audytowa oparta na wymaganiach podlegających audytowi, podczas gdy ISO 27002 to przewodnik wdrożeniowy oparty na sugestiach najlepszych praktyk.
• ISO 27001 zawiera listę kontroli zarządzania dla organizacji, podczas gdy ISO 27002 zawiera listę kontroli operacyjnych dla organizacji.
• ISO 27001 można wykorzystać do audytu i certyfikacji systemu zarządzania bezpieczeństwem informacji organizacji, a ISO 27002 można użyć do oceny kompleksowości programu bezpieczeństwa informacji organizacji.
Uznanie autorstwa: „CIAJMK1209”, John M. Kennedy T. (CC BY-SA 3.0)