Forskel mellem ISO 27001 og ISO 27002

ISO 27001 vs ISO 27002
 

Da ISO 27000 er en række standarder, der er indledt af ISO for at sikre sikkerhed og sikkerhed i organisationer over hele verden, er det værd at vide forskellen mellem ISO 27001 og ISO 27002, to af standarderne i ISO 27000-serien. Disse standarder er indledt til fordel for organisationerne og også for at yde en service af høj kvalitet til kunderne. Denne artikel analyserer forskellene mellem ISO 27001 og ISO 27002.

Hvad er ISO 27001?

ISO 27001-standarden er at sikre informationssikkerhed og databeskyttelse i organisationer over hele verden. Denne standard er så vigtig for forretningsorganisationer at beskytte deres kunder og fortrolige oplysninger om organisationen mod trusler. Implementering af informationssikkerhedsstyringssystemet ville sikre kvalitet, sikkerhed, service og produktpålidelighed i organisationen, der kan sikres på sit højeste niveau.

Standardens primære mål er at stille krav til etablering, implementering, vedligeholdelse og løbende forbedring af et ISMS (Information Security Management System). I de fleste af virksomhederne træffes beslutningen om at vedtage disse typer standarder af øverste ledelse. Kravet om at have denne form for informationssikkerhedssystem til organisationen opstår også på grund af forskellige faktorer som organisatoriske mål og mål, sikkerhedskrav, organisationens størrelse og struktur osv..

I den tidligere version af standarden i 2005 blev den udviklet baseret på PDCA-cyklus, Plan-Do-Check-Act-model til strukturering af processerne, og det var på en måde at afspejle de principper, der er beskrevet i OECG-retningslinjerne. Den nye version i 2013 lægger vægt på at måle og evaluere effektiviteten af ​​den organisatoriske præstation i ISMS. Det har også inkluderet et afsnit, der er baseret på outsourcing, og der gives større koncentration til informationssikkerheden i organisationer.

Hvad er ISO 27002?

ISO 27002-standarden stammer oprindeligt som ISO 17799-standarden, der er baseret på den praktiske kode for informationssikkerhed. Det fremhæver forskellige sikkerhedskontrolmekanismer for organisationer med vejledning fra ISO 27001.

Standarden blev etableret på baggrund af forskellige retningslinjer og principper for iværksættelse, implementering, forbedring og vedligeholdelse af informationssikkerhedsstyring i en organisation. De faktiske kontroller i standarden adresserer specifikke krav gennem en formel risikovurdering. Standarden består af specifikke retningslinjer for udviklingen i organisatoriske sikkerhedsstandarder og effektiv sikkerhedsstyringspraksis, som ville være nyttigt til at opbygge tillid inden for organisatoriske aktiviteter.

Den eksisterende version af standarden blev offentliggjort i 2013 som ISO 27002: 2013 med 114 kontroller. Den vigtigste faktor, der skal bemærkes, er, at der i årenes løb er blevet udviklet et antal industrispecifikke versioner af ISO 27002 eller er under udvikling inden for områder som sundhedssektoren, fremstilling osv..

Hvad er forskellen mellem ISO 27001 og ISO 27002?

• ISO 27001-standarden udtrykker kravene til informationssikkerhedsstyring i organisationer, og ISO 27002-standarden giver support og vejledning til dem, der er ansvarlige for at indlede, implementere eller vedligeholde Information Security Management Systems (ISMS).

• ISO 27001 er en revisionsstandard baseret på reviderbare krav, mens ISO 27002 er en implementeringsvejledning baseret på forslag til bedste praksis.

• ISO 27001 inkluderer en liste over ledelseskontroller til organisationerne, mens ISO 27002 har en liste over operationelle kontroller til organisationerne.

• ISO 27001 kan bruges til revision og certificering af organisationens informationssikkerhedsstyringssystem, og ISO 27002 kan bruges til at vurdere omfanget af en organisations informationssikkerhedsprogram.

Billedattribution: “CIAJMK1209” af John M. Kennedy T. (CC BY-SA 3.0)