ISO 27001 против ISO 27002
Поскольку ISO 27000 представляет собой серию стандартов, которые были инициированы ISO для обеспечения безопасности в организациях по всему миру, стоит знать разницу между ISO 27001 и ISO 27002, двумя стандартами серии ISO 27000. Эти стандарты были введены в действие в интересах организаций, а также для предоставления качественных услуг клиентам. В этой статье анализируются различия между ISO 27001 и ISO 27002.
Что такое ISO 27001?
Стандарт ISO 27001 предназначен для обеспечения информационной безопасности и защиты данных в организациях по всему миру. Этот стандарт так важен для бизнес-организаций в плане защиты своих клиентов и конфиденциальной информации организации от угроз. Внедрение системы менеджмента информационной безопасности обеспечит качество, безопасность, услуги и надежность продукции организации, которые могут быть защищены на самом высоком уровне.
Основная цель стандарта - предоставить требования для создания, внедрения, поддержки и постоянного улучшения системы управления информационной безопасностью (СМИБ). В большинстве компаний решения о принятии таких стандартов принимаются высшим руководством. Кроме того, потребность в такой системе информационной безопасности для организации возникает из-за различных факторов, таких как цели и задачи организации, требования безопасности, размер и структура организации и т. Д.
В предыдущей версии стандарта 2005 г. он был разработан на основе цикла PDCA, модели «планирование-выполнение-проверка-действие» для структурирования процессов, что отражало принципы, изложенные в рекомендациях OECG. В новой версии 2013 г. особое внимание уделяется измерению и оценке эффективности деятельности организации в СМИБ. Он также включает раздел, посвященный аутсорсингу, и больше внимания уделяется информационной безопасности в организациях.
Что такое ISO 27002?
Стандарт ISO 27002 изначально возник как стандарт ISO 17799, который основан на своде правил по информационной безопасности. В нем освещены различные механизмы контроля безопасности для организаций в соответствии с ISO 27001.
Стандарт был установлен на основе различных руководств и принципов для инициирования, внедрения, улучшения и поддержания менеджмента информационной безопасности в организации. Фактические средства контроля в стандарте обращаются к конкретным требованиям посредством формальной оценки рисков. Стандарт состоит из конкретных руководящих указаний по развитию стандартов безопасности организации и эффективных методов управления безопасностью, которые могут быть полезны для укрепления доверия в рамках межорганизационной деятельности.
Существующая версия стандарта была опубликована в 2013 году как ISO 27002: 2013 с 114 элементами управления. Наиболее важный фактор, который следует отметить, заключается в том, что за прошедшие годы был разработан или находится в стадии разработки ряд отраслевых версий ISO 27002 в таких областях, как сектор здравоохранения, производство и т. Д.
В чем разница между ISO 27001 и ISO 27002?
• Стандарт ISO 27001 выражает требования к управлению информационной безопасностью в организациях, а стандарт ISO 27002 предоставляет поддержку и руководство для тех, кто отвечает за запуск, внедрение или поддержание систем управления информационной безопасностью (СМИБ).
• ISO 27001 - это стандарт аудита, основанный на проверяемых требованиях, а ISO 27002 - это руководство по внедрению, основанное на предложениях передовой практики.
• ISO 27001 включает список управленческих средств контроля для организаций, а ISO 27002 содержит список оперативных средств контроля для организаций.
• ISO 27001 может использоваться для аудита и сертификации системы управления информационной безопасностью организации, а ISO 27002 может использоваться для оценки полноты программы информационной безопасности организации.
Авторство изображения: «CIAJMK1209» Джона М. Кеннеди Т. (CC BY-SA 3.0)
