ISO 27001 vs ISO 27002
Kadangi ISO 27000 yra standartų, kuriuos inicijavo ISO, siekiant užtikrinti saugą ir saugumą organizacijose visame pasaulyje, serija, verta žinoti skirtumą tarp ISO 27001 ir ISO 27002, dviejų iš ISO 27000 standartų. serija. Šie standartai buvo inicijuoti organizacijoms, taip pat siekiant teikti kokybiškas paslaugas klientams. Šiame straipsnyje analizuojami ISO 27001 ir ISO 27002 skirtumai.
Kas yra ISO 27001?
ISO 27001 standartas yra užtikrinti informacijos saugumą ir duomenų apsaugą organizacijose visame pasaulyje. Šis standartas yra labai svarbus verslo organizacijoms, siekiant apsaugoti savo klientus ir konfidencialią organizacijos informaciją nuo grėsmių. Informacijos saugumo valdymo sistemos įdiegimas užtikrintų organizacijos kokybę, saugą, paslaugų ir produktų patikimumą, kurį būtų galima užtikrinti aukščiausiu lygiu.
Pagrindinis standarto tikslas – pateikti informacijos saugumo valdymo sistemos (ISMS) sukūrimo, diegimo, priežiūros ir nuolatinio tobulinimo reikalavimus. Daugumoje įmonių sprendimus dėl tokio tipo standartų priėmimo priima aukščiausioji vadovybė. Be to, reikalavimas turėti tokią organizacijos informacijos saugumo sistemą kyla dėl įvairių veiksnių, tokių kaip organizacijos tikslai ir uždaviniai, saugumo reikalavimai, organizacijos dydis ir struktūra ir kt.
Ankstesnėje 2005 m. standarto versijoje jis buvo sukurtas remiantis PDCA ciklu, planu-dar-patikrink-veikimo modeliu procesams struktūrizuoti ir taip atspindėjo OECG nustatytus principus. Gairės. Naujoje 2013 m. versijoje akcentuojamas organizacijos veiklos efektyvumo ISMS matavimas ir įvertinimas. Jame taip pat yra skyrius, pagrįstas užsakomųjų paslaugų teikimu, ir daugiau dėmesio skiriama informacijos saugumui organizacijose.
Kas yra ISO 27002?
ISO 27002 standartas iš pradžių buvo sukurtas kaip ISO 17799 standartas, pagrįstas informacijos saugos praktikos kodeksu. Jame pabrėžiami įvairūs saugos kontrolės mechanizmai organizacijoms, vadovaujantis ISO 27001.
Standartas buvo sukurtas remiantis įvairiomis gairėmis ir principais, kaip inicijuoti, diegti, tobulinti ir palaikyti informacijos saugumo valdymą organizacijoje. Faktinės standarto kontrolės priemonės atitinka konkrečius reikalavimus atliekant oficialų rizikos vertinimą. Standartą sudaro konkrečios organizacijos saugumo standartų tobulinimo gairės ir veiksmingos saugumo valdymo praktikos, kurios būtų naudingos kuriant pasitikėjimą tarporganizacinėje veikloje.
Esama standarto versija buvo paskelbta 2013 m. kaip ISO 27002:2013 su 114 valdiklių. Svarbiausias veiksnys, į kurį reikia atkreipti dėmesį, yra tai, kad bėgant metams buvo sukurta arba kuriama nemažai specifinių ISO 27002 versijų tokiose srityse kaip sveikatos sektorius, gamyba ir kt.
Kuo skiriasi ISO 27001 ir ISO 27002?
• ISO 27001 standartas išreiškia informacijos saugumo valdymo reikalavimus organizacijose, o ISO 27002 standartas teikia paramą ir gaires tiems, kurie yra atsakingi už informacijos saugos valdymo sistemų (ISMS) inicijavimą, diegimą ar priežiūrą.
• ISO 27001 yra audito standartas, pagrįstas audituojamais reikalavimais, o ISO 27002 yra įgyvendinimo vadovas, pagrįstas geriausios praktikos pasiūlymais.
• ISO 27001 apima organizacijų valdymo kontrolės priemonių sąrašą, o ISO 27002 – organizacijų veiklos kontrolės priemonių sąrašą.
• ISO 27001 gali būti naudojamas organizacijos informacijos saugos valdymo sistemos auditui ir sertifikavimui, o ISO 27002 gali būti naudojamas organizacijos informacijos saugos programos išsamumui įvertinti.
Vaizdo priskyrimas: John M. Kennedy T. „CIAJMK1209“(CC BY-SA 3.0)