ISO 27001 proti ISO 27002
Ker je ISO 27000 serija standardov, ki jih je uvedel ISO za zagotavljanje varnosti in varnosti v organizacijah po vsem svetu, je vredno poznati razliko med ISO 27001 in ISO 27002, dvema standardoma v ISO 27000 serije. Ti standardi so bili uvedeni v korist organizacij in tudi za zagotavljanje kakovostnih storitev za stranke. Ta članek analizira razlike med ISO 27001 in ISO 27002.
Kaj je ISO 27001?
Standard ISO 27001 zagotavlja informacijsko varnost in zaščito podatkov v organizacijah po vsem svetu. Ta standard je tako pomemben za poslovne organizacije pri varovanju strank in zaupnih informacij organizacije pred grožnjami. Implementacija sistema upravljanja informacijske varnosti bi zagotovila kakovost, varnost, zanesljivost storitev in izdelkov organizacije, ki jih je mogoče varovati na najvišji ravni.
Glavni cilj standarda je zagotoviti zahteve za vzpostavitev, izvajanje, vzdrževanje in nenehno izboljševanje sistema upravljanja informacijske varnosti (ISMS). V večini podjetij odločitve o sprejetju tovrstnih standardov sprejme najvišje vodstvo. Prav tako se zahteva po tovrstnem sistemu informacijske varnosti za organizacijo pojavi zaradi različnih dejavnikov, kot so organizacijski cilji, varnostne zahteve, velikost in struktura organizacije itd.
V prejšnji različici standarda leta 2005 je bil razvit na podlagi cikla PDCA, modela Načrtuj-Izvedi-Preveri-Ukrepaj za strukturiranje procesov in je na način odražal načela, ki jih je določil OECG smernice. Nova različica leta 2013 poudarja merjenje in ocenjevanje učinkovitosti organizacijske uspešnosti v ISMS. Vključuje tudi razdelek, ki temelji na zunanjem izvajanju, večja koncentracija pa je namenjena informacijski varnosti v organizacijah.
Kaj je ISO 27002?
Standard ISO 27002 je prvotno nastal kot standard ISO 17799, ki temelji na kodeksu ravnanja za informacijsko varnost. Poudarja različne mehanizme nadzora varnosti za organizacije po navodilih ISO 27001.
Standard je bil vzpostavljen na podlagi različnih smernic in načel za uvedbo, implementacijo, izboljšanje in vzdrževanje upravljanja informacijske varnosti v organizaciji. Dejanske kontrole v standardu obravnavajo posebne zahteve s formalno oceno tveganja. Standard je sestavljen iz posebnih smernic za razvoj organizacijskih varnostnih standardov in učinkovitih praks upravljanja varnosti, ki bi bile koristne pri gradnji zaupanja v medorganizacijskih dejavnostih.
Obstoječa različica standarda je bila objavljena leta 2013 kot ISO 27002:2013 s 114 kontrolami. Najpomembnejši dejavnik, ki ga je treba omeniti, je, da je bilo v preteklih letih razvitih ali pa se razvijajo številne industrijske različice standarda ISO 27002 na področjih, kot so zdravstveni sektor, proizvodnja itd.
Kakšna je razlika med ISO 27001 in ISO 27002?
• Standard ISO 27001 izraža zahteve za upravljanje varnosti informacij v organizacijah, standard ISO 27002 pa zagotavlja podporo in smernice za tiste, ki so odgovorni za uvedbo, implementacijo ali vzdrževanje sistemov upravljanja varnosti informacij (ISMS).
• ISO 27001 je revizijski standard, ki temelji na zahtevah, ki jih je mogoče revidirati, medtem ko je ISO 27002 priročnik za implementacijo, ki temelji na predlogih najboljše prakse.
• ISO 27001 vključuje seznam upravljavskih kontrol za organizacije, medtem ko ima ISO 27002 seznam operativnih kontrol za organizacije.
• ISO 27001 se lahko uporablja za revizijo in certificiranje sistema upravljanja informacijske varnosti organizacije, ISO 27002 pa za oceno celovitosti programa informacijske varnosti organizacije.
Atribucija slike: “CIAJMK1209” Johna M. Kennedyja T. (CC BY-SA 3.0)