ISO 27001 срещу ISO 27002
Тъй като ISO 27000 е поредица от стандарти, които са инициирани от ISO, за да осигурят безопасност и сигурност в организациите по целия свят, струва си да знаете разликата между ISO 27001 и ISO 27002, два от стандартите в ISO 27000 серия. Тези стандарти са въведени в полза на организациите, а също и за предоставяне на качествена услуга за клиентите. Тази статия анализира разликите между ISO 27001 и ISO 27002.
Какво е ISO 27001?
Стандартът ISO 27001 е да осигури информационна сигурност и защита на данните в организации по целия свят. Този стандарт е толкова важен за бизнес организациите за защита на техните клиенти и поверителна информация на организацията срещу заплахи. Внедряването на системата за управление на информационната сигурност би гарантирало качество, безопасност, обслужване и надеждност на продуктите на организацията, които могат да бъдат защитени на най-високо ниво.
Основната цел на стандарта е да осигури изисквания за създаване, внедряване, поддържане и непрекъснато подобряване на Система за управление на информационната сигурност (ISMS). В повечето компании решенията за приемане на този тип стандарти се вземат от висшето ръководство. Също така, изискването за наличие на този вид система за информационна сигурност за организацията възниква поради различни фактори като организационни цели и задачи, изисквания за сигурност, размер и структура на организацията и др.
В предишната версия на стандарта през 2005 г. той беше разработен въз основа на PDCA цикъл, модел Plan-Do-Check-Act за структуриране на процесите и това отразяваше принципите, определени от OECG насоки. Новата версия от 2013 г. акцентира върху измерването и оценката на ефективността на организационното представяне в ISMS. Той също така включва раздел, базиран на аутсорсинг, и повече внимание се отделя на информационната сигурност в организациите.
Какво е ISO 27002?
Стандартът ISO 27002 първоначално е създаден като стандарт ISO 17799, който се основава на кодекса на практиките за информационна сигурност. Той подчертава различни механизми за контрол на сигурността за организации с насоките на ISO 27001.
Стандартът е създаден въз основа на различни насоки и принципи за иницииране, прилагане, подобряване и поддържане на управление на информационната сигурност в организацията. Действителните контроли в стандарта адресират специфични изисквания чрез официална оценка на риска. Стандартът се състои от специфични насоки за развитието на организационните стандарти за сигурност и ефективни практики за управление на сигурността, които биха били полезни за изграждане на доверие в рамките на междуорганизационни дейности.
Съществуващата версия на стандарта е публикувана през 2013 г. като ISO 27002:2013 със 114 контроли. Най-важният фактор, който трябва да се отбележи, е, че през годините са разработени или са в процес на разработване редица специфични за индустрията версии на ISO 27002 в области като здравеопазването, производството и др.
Каква е разликата между ISO 27001 и ISO 27002?
• Стандартът ISO 27001 изразява изискванията за управление на информационната сигурност в организациите, а стандартът ISO 27002 осигурява подкрепа и насоки за тези, които са отговорни за инициирането, внедряването или поддържането на системи за управление на информационната сигурност (ISMS).
• ISO 27001 е стандарт за одит, базиран на подлежащи на одит изисквания, докато ISO 27002 е ръководство за прилагане, базирано на предложения за най-добри практики.
• ISO 27001 включва списък с управленски контроли за организациите, докато ISO 27002 има списък с оперативни контроли за организациите.
• ISO 27001 може да се използва за одит и сертифициране на системата за управление на информационната сигурност на организацията, а ISO 27002 може да се използва за оценка на изчерпателността на програмата за информационна сигурност на организацията.
Приписване на изображение: „CIAJMK1209“от Джон М. Кенеди Т. (CC BY-SA 3.0)