ISO 27001 срещу ISO 27002
Тъй като ISO 27000 е поредица от стандарти, които са инициирани от ISO, за да се гарантира безопасността и сигурността в организациите по света, заслужава да се знае разликата между ISO 27001 и ISO 27002, два от стандартите от серията ISO 27000. Тези стандарти са въведени в полза на организациите, а също и за осигуряване на качествена услуга за клиентите. Тази статия анализира разликите между ISO 27001 и ISO 27002.
Какво е ISO 27001?
Стандартът ISO 27001 е да осигури информационна сигурност и защита на данните в организации по целия свят. Този стандарт е толкова важен за бизнес организациите при защитата на своите клиенти и поверителната информация на организацията срещу заплахи. Прилагането на системата за управление на информационната сигурност би осигурило качество, безопасност, обслужване и надеждност на продуктите на организацията, които могат да бъдат защитени на най-високо ниво.
Основната цел на стандарта е да осигури изисквания за създаване, внедряване, поддържане и непрекъснато подобряване на Система за управление на информационната сигурност (ISMS). В повечето компании решенията за приемане на този тип стандарти се вземат от висшето ръководство. Също така, изискването за наличието на този вид система за информационна сигурност за организацията възниква поради различни фактори като организационни цели и задачи, изисквания за сигурност, размер и структура на организацията и т.н.
В предишната версия на стандарта през 2005 г. той е разработен въз основа на цикъла PDCA, модел Plan-Do-Check-Act за структуриране на процесите и това е по начин, който отразява принципите, определени в насоките на OECG. Новата версия през 2013 г. набляга на измерването и оценката на ефективността на организационните резултати в ISMS. Той също така включва раздел, базиран на възлагането на външни изпълнители и се отделя повече внимание на информационната сигурност в организациите.
Какво е ISO 27002?
Стандартът ISO 27002 първоначално е създаден като стандарт ISO 17799, който се основава на кодекса на практика за информационна сигурност. Той подчертава различни механизми за контрол на сигурността на организациите с ръководството на ISO 27001.
Стандартът е създаден въз основа на различни насоки и принципи за иницииране, внедряване, подобряване и поддържане на управлението на информационната сигурност в рамките на една организация. Действителният контрол в стандарта отговаря на специфични изисквания чрез официална оценка на риска. Стандартът се състои от конкретни насоки за развитието на стандартите за организационна сигурност и ефективни практики за управление на сигурността, които биха били полезни за изграждане на доверие в рамките на междуорганизационните дейности.
Съществуващата версия на стандарта е публикувана през 2013 г. като ISO 27002: 2013 със 114 контроли. Най-важният фактор, който трябва да се отбележи, е, че през годините са разработени или се разработват редица специфични за индустрията версии на ISO 27002 в области като здравния сектор, производството и т.н.
Каква е разликата между ISO 27001 и ISO 27002?
• Стандартът ISO 27001 изразява изискванията за управление на информационната сигурност в организациите, а стандартът ISO 27002 предоставя подкрепа и насоки за тези, които са отговорни за инициирането, внедряването или поддържането на Системи за управление на информационната сигурност (ISMS).
• ISO 27001 е одитен стандарт, основан на изисквания за проверка, докато ISO 27002 е ръководство за прилагане, основано на предложения за най-добри практики.
• ISO 27001 включва списък с управленски контрол на организациите, докато ISO 27002 има списък с оперативен контрол на организациите.
• ISO 27001 може да се използва за одит и сертифициране на Системата за управление на информационната сигурност на организацията, а ISO 27002 може да се използва за оценка на всеобхватността на Програмата за информационна сигурност на организацията.
Приписване на изображение: „CIAJMK1209“от Джон М. Кенеди Т. (CC BY-SA 3.0)