Разлика между ISO 27001 и ISO 27002

ISO 27001 срещу ISO 27002
 

Тъй като ISO 27000 е серия от стандарти, които са инициирани от ISO за гарантиране на безопасността и сигурността в организациите по целия свят, заслужава да се знае разликата между ISO 27001 и ISO 27002, два от стандартите в серията ISO 27000. Тези стандарти са инициирани в полза на организациите, както и за да осигурят качествена услуга за клиентите. Тази статия анализира разликите между ISO 27001 и ISO 27002.

Какво е ISO 27001?

Стандартът ISO 27001 е да гарантира сигурността на информацията и защитата на данните в организации по целия свят. Този стандарт е толкова важен за бизнес организациите при защитата на своите клиенти и поверителната информация на организацията срещу заплахи. Внедряването на системата за управление на информационната сигурност ще гарантира качеството, безопасността, обслужването и надеждността на продуктите на организацията, които могат да бъдат гарантирани на най-високото ниво.

Основната цел на стандарта е да осигури изисквания за създаване, прилагане, поддържане и непрекъснато подобряване на система за управление на информационната сигурност (ISMS). В повечето от компаниите решенията за приемане на тези видове стандарти се вземат от висшето ръководство. Също така изискването за наличието на подобен вид система за информационна сигурност за организацията възниква поради различни фактори като организационни цели и цели, изисквания за сигурност, размер и структура на организацията и т.н..

В предишната версия на стандарта през 2005 г. той е разработен на базата на PDCA цикъл, модел „Планирай-провери-действай“, за да структурира процесите и това отразява принципите, установени в насоките на OECG. Новата версия през 2013 г. акцентира върху измерването и оценяването на ефективността на организационните резултати в ISMS. Той също така включва раздел, основан на аутсорсинг, и се концентрира повече информационната сигурност в организациите.

Какво е ISO 27002?

Стандартът ISO 27002 първоначално е създаден като стандарт ISO 17799, който се основава на практическия кодекс за сигурност на информацията. Той подчертава различни механизми за контрол на сигурността за организации с ръководството на ISO 27001.

Стандартът е създаден въз основа на различни насоки и принципи за иницииране, прилагане, подобряване и поддържане на управление на информационната сигурност в рамките на една организация. Действителният контрол в стандарта отговаря на специфичните изисквания чрез официална оценка на риска. Стандартът се състои от конкретни насоки за развитието на стандартите за сигурност на организацията и ефективни практики за управление на сигурността, които биха били полезни за изграждане на доверие в рамките на междуорганизационните дейности.

Съществуващата версия на стандарта е публикувана през 2013 г. като ISO 27002: 2013 със 114 контрола. Най-важният фактор, който трябва да се отбележи, е, че през годините са разработени редица специфични за индустрията версии на ISO 27002 или са в процес на развитие в области като здравния сектор, производството и т.н..

Каква е разликата между ISO 27001 и ISO 27002?

• Стандартът ISO 27001 изразява изискванията за управление на информационната сигурност в организациите, а стандартът ISO 27002 осигурява подкрепа и насоки за тези, които са отговорни за инициирането, прилагането или поддържането на системи за управление на информационната сигурност (ISMS).

• ISO 27001 е стандарт за одит, основан на изискванията за одит, докато ISO 27002 е ръководство за прилагане, основано на предложения за най-добри практики.

• ISO 27001 включва списък на контролите за управление на организациите, докато ISO 27002 има списък на оперативен контрол на организациите.

• ISO 27001 може да се използва за одит и сертифициране на системата за управление на информационната сигурност на организацията, а ISO 27002 може да се използва за оценка на всеобхватността на организационната програма за информационна сигурност.

Атрибуция на изображения: „CIAJMK1209“ от Джон М. Кенеди Т. (CC BY-SA 3.0)