ISO 27001 vs ISO 27002
Eftersom ISO 27000 är en serie standarder som har initierats av ISO för att säkerställa säkerhet och säkerhet inom organisationer över hela världen, är det värt att känna till skillnaden mellan ISO 27001 och ISO 27002, två av standarderna i ISO 27000 serier. Dessa standarder har initierats till förmån för organisationerna och även för att tillhandahålla en kvalitetsservice till kunderna. Den här artikeln analyserar skillnaderna mellan ISO 27001 och ISO 27002.
Vad är ISO 27001?
ISO 27001-standarden är att säkerställa informationssäkerhet och dataskydd i organisationer över hela världen. Denna standard är så viktig för företagsorganisationer för att skydda sina kunder och konfidentiell information om organisationen mot hot. Implementering av ledningssystemet för informationssäkerhet skulle säkerställa organisationens kvalitet, säkerhet, service och produkttillförlitlighet som kan säkerställas på högsta nivå.
Det primära syftet med standarden är att tillhandahålla krav för att etablera, implementera, underhålla och kontinuerligt förbättra ett Information Security Management System (ISMS). I de flesta företag fattas beslut om att anta dessa typer av standarder av högsta ledningen. Kravet på att ha denna typ av informationssäkerhetssystem för organisationen uppstår också på grund av olika faktorer som organisatoriska mål och mål, säkerhetskrav, organisationens storlek och struktur, etc.
I den tidigare versionen av standarden 2005 utvecklades den baserat på PDCA-cykeln, Plan-Do-Check-Act-modellen för att strukturera processerna och det var på ett sätt att återspegla de principer som fastställts av OECG riktlinjer. Den nya versionen 2013 betonar att mäta och utvärdera effektiviteten av organisationens prestanda i ISMS. Den har också inkluderat ett avsnitt baserat på outsourcing och mer koncentration ägnas åt informationssäkerheten i organisationer.
Vad är ISO 27002?
ISO 27002-standarden kom ursprungligen från ISO 17799-standarden som är baserad på uppförandekoden för informationssäkerhet. Den belyser olika säkerhetskontrollmekanismer för organisationer med vägledning av ISO 27001.
Standarden etablerades utifrån olika riktlinjer och principer för att initiera, implementera, förbättra och underhålla informationssäkerhetshantering inom en organisation. De faktiska kontrollerna i standarden adresserar specifika krav genom en formell riskbedömning. Standarden består av specifika riktlinjer för utvecklingen av organisatoriska säkerhetsstandarder och effektiva säkerhetshanteringsmetoder som skulle vara användbara för att bygga upp förtroende inom interorganisatoriska aktiviteter.
Den befintliga versionen av standarden publicerades 2013 som ISO 27002:2013 med 114 kontroller. Den viktigaste faktorn att notera är att under åren har ett antal branschspecifika versioner av ISO 27002 utvecklats eller är under utveckling inom områden som hälsosektorn, tillverkning, etc.
Vad är skillnaden mellan ISO 27001 och ISO 27002?
• ISO 27001-standarden uttrycker kraven för informationssäkerhetshantering i organisationer och ISO 27002-standarden ger stöd och vägledning för dem som är ansvariga för att initiera, implementera eller underhålla Information Security Management Systems (ISMS).
• ISO 27001 är en revisionsstandard baserad på revisionsbara krav, medan ISO 27002 är en implementeringsguide baserad på förslag på bästa praxis.
• ISO 27001 innehåller en lista över ledningskontroller till organisationerna medan ISO 27002 har en lista över operativa kontroller till organisationerna.
• ISO 27001 kan användas för att granska och certifiera organisationens ledningssystem för informationssäkerhet och ISO 27002 kan användas för att bedöma omfattningen av en organisations informationssäkerhetsprogram.
Image Attribution: "CIAJMK1209" av John M. Kennedy T. (CC BY-SA 3.0)
