ISO 27001 mot ISO 27002
Eftersom ISO 27000 är en serie standarder som har initierats av ISO för att säkerställa säkerhet inom organisationer över hela världen, är det värt att känna till skillnaden mellan ISO 27001 och ISO 27002, två av standarderna i ISO 27000-serien. Dessa standarder har initierats till förmån för organisationerna och även för att tillhandahålla en kvalitetsservice för kunderna. Den här artikeln analyserar skillnaderna mellan ISO 27001 och ISO 27002.
Vad är ISO 27001?
ISO 27001-standarden är att säkerställa informationssäkerhet och dataskydd i organisationer världen över. Denna standard är så viktig för företagsorganisationer när det gäller att skydda sina kunder och konfidentiell information från organisationen mot hot. Genomförandet av informationssäkerhetshanteringssystemet skulle säkerställa kvalitet, säkerhet, service och produktsäkerhet hos organisationen som kan skyddas på högsta nivå.
Det primära målet med standarden är att tillhandahålla krav för att upprätta, implementera, underhålla och kontinuerligt förbättra ett informationssäkerhetshanteringssystem (ISMS). I de flesta företagen fattas beslut om att anta dessa typer av standarder av den högsta ledningen. Kravet på att ha ett sådant informationssäkerhetssystem för organisationen uppstår också på grund av olika faktorer som organisatoriska mål och mål, säkerhetskrav, organisationens storlek och struktur etc.
I den tidigare versionen av standarden 2005 utvecklades den baserat på PDCA-cykel, Plan-Do-Check-Act-modell för att strukturera processerna och det var på ett sätt att återspegla de principer som anges i OECG: s riktlinjer. Den nya versionen 2013 betonar att mäta och utvärdera effektiviteten i organisationsprestanda i ISMS. Det har också inkluderat ett avsnitt baserat på outsourcing och mer koncentration ges till informationssäkerheten i organisationer.
Vad är ISO 27002?
ISO 27002-standarden ursprungligen ursprungligen som ISO 17799-standarden som är baserad på uppförandekoden för informationssäkerhet. Den lyfter fram olika säkerhetskontrollmekanismer för organisationer med ledning av ISO 27001.
Standarden upprättades baserat på olika riktlinjer och principer för att initiera, implementera, förbättra och underhålla informationssäkerhetshantering inom en organisation. De faktiska kontrollerna i standarden adresserar specifika krav genom en formell riskbedömning. Standarden består av specifika riktlinjer för utvecklingen av organisatoriska säkerhetsstandarder och effektiva säkerhetshanteringsmetoder som skulle vara användbara för att bygga förtroende inom interorganisatoriska aktiviteter.
Den befintliga versionen av standarden publicerades 2013 som ISO 27002: 2013 med 114 kontroller. Den viktigaste faktorn att notera är att ett antal branschspecifika versioner av ISO 27002 under åren har utvecklats eller är under utveckling inom områden som hälsosektor, tillverkning etc.
Vad är skillnaden mellan ISO 27001 och ISO 27002?
• ISO 27001-standarden uttrycker kraven för informationssäkerhetshantering i organisationer och ISO 27002-standarden ger stöd och vägledning för dem som är ansvariga för att initiera, implementera eller underhålla Information Security Management Systems (ISMS).
• ISO 27001 är en granskningsstandard baserad på granskningskrav, medan ISO 27002 är en implementeringsguide baserad på bästa praxisförslag.
• ISO 27001 innehåller en lista över ledningskontroller till organisationerna medan ISO 27002 har en lista över operativa kontroller till organisationerna.
• ISO 27001 kan användas för att granska och certifiera organisationens informationssäkerhetshanteringssystem och ISO 27002 kan användas för att bedöma omfattningen av en organisations informationssäkerhetsprogram.
Bildtillskrivning: “CIAJMK1209” av John M. Kennedy T. (CC BY-SA 3.0)