ISO 27001 против ISO 27002
Поскольку ISO 27000 представляет собой серию стандартов, которые были инициированы ISO для обеспечения безопасности и защиты в организациях по всему миру, стоит знать разницу между ISO 27001 и ISO 27002, двумя стандартами в ISO 27000. серии. Эти стандарты были инициированы в интересах организаций, а также для обеспечения качественного обслуживания клиентов. В этой статье анализируются различия между ISO 27001 и ISO 27002.
Что такое ISO 27001?
Стандарт ISO 27001 предназначен для обеспечения информационной безопасности и защиты данных в организациях по всему миру. Этот стандарт так важен для бизнес-организаций в защите своих клиентов и конфиденциальной информации организации от угроз. Внедрение системы управления информационной безопасностью обеспечит качество, безопасность, надежность услуг и продукции организации, которые могут быть защищены на самом высоком уровне.
Основной целью стандарта является предоставление требований по созданию, внедрению, обслуживанию и постоянному совершенствованию системы управления информационной безопасностью (ISMS). В большинстве компаний решения о принятии таких стандартов принимаются высшим руководством. Кроме того, потребность в наличии такой системы информационной безопасности для организации возникает из-за различных факторов, таких как организационные цели и задачи, требования безопасности, размер и структура организации и т. д.
В предыдущей версии стандарта в 2005 году он был разработан на основе цикла PDCA, модели Plan-Do-Check-Act для структурирования процессов, и это отражало принципы, установленные OECG. методические рекомендации. В новой версии 2013 года особое внимание уделяется измерению и оценке эффективности деятельности организации в СМИБ. Он также включает раздел, основанный на аутсорсинге, и больше внимания уделяется информационной безопасности в организациях.
Что такое ISO 27002?
Стандарт ISO 27002 изначально был разработан как стандарт ISO 17799, основанный на своде правил по информационной безопасности. В нем освещаются различные механизмы контроля безопасности для организаций в соответствии с рекомендациями ISO 27001.
Стандарт был создан на основе различных руководств и принципов для инициирования, внедрения, улучшения и поддержания управления информационной безопасностью в организации. Фактические средства контроля в стандарте касаются конкретных требований посредством формальной оценки рисков. Стандарт состоит из конкретных рекомендаций по развитию стандартов безопасности организаций и эффективных методов управления безопасностью, которые могут быть полезны для укрепления доверия в рамках межорганизационной деятельности.
Существующая версия стандарта была опубликована в 2013 году как ISO 27002:2013 со 114 элементами управления. Наиболее важным фактором, который следует отметить, является то, что за прошедшие годы был разработан или находится в стадии разработки ряд отраслевых версий ISO 27002 в таких областях, как сектор здравоохранения, производство и т. д.
В чем разница между ISO 27001 и ISO 27002?
• Стандарт ISO 27001 выражает требования к управлению информационной безопасностью в организациях, а стандарт ISO 27002 обеспечивает поддержку и руководство для тех, кто отвечает за инициирование, внедрение или обслуживание систем управления информационной безопасностью (ISMS).
• ISO 27001 - это стандарт аудита, основанный на подлежащих аудиту требованиях, а ISO 27002 - это руководство по внедрению, основанное на рекомендациях передовой практики.
• ISO 27001 включает список управленческих средств контроля для организаций, в то время как ISO 27002 содержит список операционных средств контроля для организаций.
• ISO 27001 можно использовать для аудита и сертификации системы управления информационной безопасностью организации, а ISO 27002 можно использовать для оценки полноты программы информационной безопасности организации.
Атрибуция изображения: «CIAJMK1209» Джона М. Кеннеди Т. (CC BY-SA 3.0)
