ISO 27001 pret ISO 27002
Tā kā ISO 27000 ir standartu virkne, ko ir ierosinājis ISO, lai nodrošinātu drošību un drošību organizācijās visā pasaulē, ir vērts zināt atšķirību starp ISO 27001 un ISO 27002, diviem no ISO 27000 standartiem. sērija. Šie standarti ir ieviesti organizāciju labā, kā arī lai nodrošinātu kvalitatīvu pakalpojumu klientiem. Šajā rakstā ir analizētas atšķirības starp ISO 27001 un ISO 27002.
Kas ir ISO 27001?
ISO 27001 standarts ir nodrošināt informācijas drošību un datu aizsardzību organizācijās visā pasaulē. Šis standarts ir ļoti svarīgs biznesa organizācijām, lai aizsargātu savus klientus un organizācijas konfidenciālo informāciju pret draudiem. Informācijas drošības vadības sistēmas ieviešana nodrošinātu organizācijas kvalitāti, drošību, pakalpojumu un produktu uzticamību, ko var nodrošināt visaugstākajā līmenī.
Standarta galvenais mērķis ir nodrošināt prasības informācijas drošības pārvaldības sistēmas (ISMS) izveidei, ieviešanai, uzturēšanai un nepārtrauktai uzlabošanai. Lielākajā daļā uzņēmumu lēmumus par šāda veida standartu pieņemšanu pieņem augstākā vadība. Arī prasība pēc šāda veida informācijas drošības sistēmas organizācijai rodas dažādu faktoru dēļ, piemēram, organizācijas mērķi un uzdevumi, drošības prasības, organizācijas lielums un struktūra utt.
Standarta iepriekšējā versijā 2005. gadā tas tika izstrādāts, pamatojoties uz PDCA ciklu, Plāno-Dari-Pārbaudi-Rīko modeli, lai strukturētu procesus, un tas atspoguļoja OECG noteiktos principus. vadlīnijas. Jaunā versija 2013. gadā akcentē organizācijas darbības efektivitātes mērīšanu un novērtēšanu ISMS. Tajā ir iekļauta arī sadaļa, kuras pamatā ir ārpakalpojumi, un lielāka uzmanība tiek pievērsta informācijas drošībai organizācijās.
Kas ir ISO 27002?
ISO 27002 standarts sākotnēji tika izveidots kā ISO 17799 standarts, kas ir balstīts uz informācijas drošības prakses kodeksu. Tajā ir izcelti dažādi drošības kontroles mehānismi organizācijām saskaņā ar ISO 27001 norādījumiem.
Standarts tika izveidots, pamatojoties uz dažādām vadlīnijām un principiem informācijas drošības pārvaldības uzsākšanai, ieviešanai, uzlabošanai un uzturēšanai organizācijā. Faktiskās kontroles standartā attiecas uz īpašām prasībām, izmantojot oficiālu riska novērtējumu. Standarts sastāv no īpašām vadlīnijām organizācijas drošības standartu attīstībai un efektīvai drošības pārvaldības praksei, kas būtu noderīga uzticības veidošanai starporganizāciju darbībās.
Esošā standarta versija tika publicēta 2013. gadā kā ISO 27002:2013 ar 114 vadīklām. Vissvarīgākais faktors, kas jāņem vērā, ir tas, ka gadu gaitā ir izstrādātas vai tiek izstrādātas vairākas nozarei specifiskas ISO 27002 versijas tādās jomās kā veselības nozare, ražošana utt.
Kāda ir atšķirība starp ISO 27001 un ISO 27002?
• ISO 27001 standarts izsaka prasības informācijas drošības pārvaldībai organizācijās, un ISO 27002 standarts sniedz atbalstu un norādījumus tiem, kas ir atbildīgi par informācijas drošības pārvaldības sistēmu (ISMS) ierosināšanu, ieviešanu vai uzturēšanu.
• ISO 27001 ir audita standarts, kura pamatā ir auditējamas prasības, savukārt ISO 27002 ir ieviešanas ceļvedis, kura pamatā ir labākās prakses ieteikumi.
• ISO 27001 ietver organizāciju pārvaldības vadīklu sarakstu, savukārt ISO 27002 ietver organizāciju darbības vadīklu sarakstu.
• ISO 27001 var izmantot, lai pārbaudītu un sertificētu organizācijas informācijas drošības pārvaldības sistēmu, un ISO 27002 var izmantot, lai novērtētu organizācijas informācijas drošības programmas visaptverošumu.
Attēla attiecinājums: “CIAJMK1209”, autors Džons M. Kenedijs T. (CC BY-SA 3.0)
