Разница между ISO 27001 и ISO 27002

ISO 27001 против ISO 27002
 

Поскольку ISO 27000 представляет собой серию стандартов, которые были инициированы ISO для обеспечения безопасности и защиты в организациях по всему миру, стоит знать разницу между ISO 27001 и ISO 27002, двумя из стандартов серии ISO 27000. Эти стандарты были инициированы в интересах организаций, а также для обеспечения качественного обслуживания клиентов. В этой статье анализируются различия между ISO 27001 и ISO 27002.

Что такое ISO 27001??

Стандарт ISO 27001 предназначен для обеспечения информационной безопасности и защиты данных в организациях по всему миру. Этот стандарт так важен для бизнес-организаций в защите своих клиентов и конфиденциальной информации организации от угроз. Внедрение системы управления информационной безопасностью обеспечит качество, безопасность, надежность обслуживания и продуктов организации, которые могут быть защищены на самом высоком уровне..

Основной целью стандарта является обеспечение требований для создания, внедрения, обслуживания и постоянного совершенствования Системы управления информационной безопасностью (СУИБ). В большинстве компаний решения о принятии таких стандартов принимаются высшим руководством. Кроме того, требование наличия такой системы информационной безопасности для организации возникает из-за различных факторов, таких как цели и задачи организации, требования безопасности, размер и структура организации и т. Д..

В предыдущей версии стандарта в 2005 году он был разработан на основе цикла PDCA, модели Plan-Do-Check-Act для структурирования процессов, что отражало принципы, изложенные в руководящих принципах OECG. В новой версии 2013 года особое внимание уделяется измерению и оценке эффективности деятельности организации в СМИБ. Он также включает раздел, основанный на аутсорсинге, и больше внимания уделяется информационной безопасности в организациях..

Что такое ISO 27002?

Стандарт ISO 27002 изначально был создан как стандарт ISO 17799, который основан на кодексе практики информационной безопасности. В нем освещаются различные механизмы контроля безопасности для организаций под руководством ISO 27001.

Стандарт был создан на основе различных руководящих принципов и принципов для инициирования, реализации, улучшения и поддержания управления информационной безопасностью в организации. Фактические средства контроля в стандарте обращаются к определенным требованиям посредством формальной оценки риска. Стандарт состоит из конкретных руководящих принципов для разработки стандартов безопасности организации и эффективных методов управления безопасностью, которые были бы полезны для укрепления доверия в рамках межорганизационной деятельности.

Существующая версия стандарта была опубликована в 2013 году как ISO 27002: 2013 с 114 элементами управления. Наиболее важным фактором, который следует отметить, является то, что за многие годы ряд отраслевых версий ISO 27002 были разработаны или находятся в стадии разработки в таких областях, как сектор здравоохранения, производство и т. Д..

В чем разница между ISO 27001 и ISO 27002?

• Стандарт ISO 27001 выражает требования к управлению информационной безопасностью в организациях, а стандарт ISO 27002 обеспечивает поддержку и руководство для тех, кто отвечает за запуск, внедрение или обслуживание систем управления информационной безопасностью (СУИБ)..

• ISO 27001 - это стандарт аудита, основанный на аудиторских требованиях, а ISO 27002 - руководство по внедрению, основанное на рекомендациях по лучшей практике..

• ISO 27001 включает в себя список средств управления для организаций, в то время как ISO 27002 содержит список средств управления для организаций..

• ISO 27001 может использоваться для аудита и сертификации системы управления информационной безопасностью организации, а ISO 27002 может использоваться для оценки полноты программы информационной безопасности организации..

Атрибуция изображения: «CIAJMK1209» Джона М. Кеннеди Т. (CC BY-SA 3.0)