ISO 27001 a ISO 27002
Ponieważ ISO 27000 to seria norm, które zostały zainicjowane przez ISO w celu zapewnienia bezpieczeństwa i ochrony w organizacjach na całym świecie, warto poznać różnicę między ISO 27001 i ISO 27002, dwoma standardami zawartymi w ISO 27000 seria. Standardy te zostały zainicjowane z korzyścią dla organizacji, a także w celu zapewnienia wysokiej jakości usług dla klientów. W tym artykule przeanalizowano różnice między ISO 27001 i ISO 27002.
Co to jest ISO 27001?
Standard ISO 27001 ma na celu zapewnienie bezpieczeństwa informacji i ochrony danych w organizacjach na całym świecie. Ten standard jest tak ważny dla organizacji biznesowych w ochronie swoich klientów i poufnych informacji organizacji przed zagrożeniami. Wdrożenie systemu zarządzania bezpieczeństwem informacji zapewniłoby jakość, bezpieczeństwo, niezawodność usług i produktów organizacji, która może być zabezpieczona na najwyższym poziomie.
Głównym celem normy jest zapewnienie wymagań dotyczących ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (ISMS). W większości firm decyzje o przyjęciu tego typu standardów podejmuje najwyższe kierownictwo. Również wymóg posiadania tego rodzaju systemu bezpieczeństwa informacji dla organizacji wynika z różnych czynników, takich jak cele i zadania organizacji, wymagania dotyczące bezpieczeństwa, wielkość i struktura organizacji itp.
W poprzedniej wersji standardu z 2005 roku został on opracowany w oparciu o cykl PDCA, model Plan-Do-Check-Act w celu ustrukturyzowania procesów i to w sposób odzwierciedlający zasady określone przez OECG wytyczne. Nowa wersja z 2013 roku kładzie nacisk na mierzenie i ocenę efektywności działania organizacji w SZBI. Zawiera również sekcję opartą na outsourcingu, a większą koncentrację poświęca się bezpieczeństwu informacji w organizacjach.
Co to jest ISO 27002?
Standard ISO 27002 powstał początkowo jako standard ISO 17799, który jest oparty na kodeksie postępowania w zakresie bezpieczeństwa informacji. Podkreśla różne mechanizmy kontroli bezpieczeństwa dla organizacji zgodnie z wytycznymi ISO 27001.
Standard został stworzony w oparciu o różne wytyczne i zasady dotyczące inicjowania, wdrażania, doskonalenia i utrzymywania zarządzania bezpieczeństwem informacji w organizacji. Rzeczywiste kontrole w standardzie dotyczą konkretnych wymagań poprzez formalną ocenę ryzyka. Norma zawiera szczegółowe wytyczne dotyczące rozwoju standardów bezpieczeństwa organizacji oraz skutecznych praktyk zarządzania bezpieczeństwem, które byłyby przydatne w budowaniu zaufania w ramach działań międzyorganizacyjnych.
Istniejąca wersja normy została opublikowana w 2013 roku jako ISO 27002:2013 ze 114 kontrolami. Najważniejszym czynnikiem, na który należy zwrócić uwagę, jest to, że na przestrzeni lat opracowano lub opracowywano wiele wersji ISO 27002 dla poszczególnych branż w takich dziedzinach, jak sektor zdrowia, produkcja itp.
Jaka jest różnica między ISO 27001 a ISO 27002?
• Norma ISO 27001 określa wymagania dotyczące zarządzania bezpieczeństwem informacji w organizacjach, a norma ISO 27002 zapewnia wsparcie i wskazówki dla osób odpowiedzialnych za inicjowanie, wdrażanie lub utrzymywanie Systemów Zarządzania Bezpieczeństwem Informacji (ISMS).
• ISO 27001 to standard audytu oparty na wymaganiach podlegających audytowi, natomiast ISO 27002 to przewodnik wdrażania oparty na sugestiach najlepszych praktyk.
• ISO 27001 zawiera listę kontroli zarządzania dla organizacji, podczas gdy ISO 27002 zawiera listę kontroli operacyjnych dla organizacji.
• ISO 27001 może być wykorzystywane do audytu i certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji w organizacji, a ISO 27002 może być wykorzystywane do oceny kompleksowości Programu Bezpieczeństwa Informacji w organizacji.
Uznanie autorstwa: „CIAJMK1209” autorstwa Johna M. Kennedy'ego T. (CC BY-SA 3.0)