Оскільки ISO 27000 - це низка стандартів, які були ініційовані ISO для забезпечення безпеки та безпеки в організаціях по всьому світу, варто знати різницю між ISO 27001 та ISO 27002, двома стандартами серії ISO 27000. Ці стандарти запроваджені на користь організацій, а також для надання якісної послуги для клієнтів. У цій статті проаналізовано відмінності між ISO 27001 та ISO 27002.
Стандарт ISO 27001 - це забезпечення інформаційної безпеки та захисту даних в організаціях по всьому світу. Цей стандарт настільки важливий для бізнес-організацій у захисті своїх клієнтів та конфіденційній інформації організації від загроз. Впровадження системи управління інформаційною безпекою забезпечить якість, безпеку, сервіс та надійність продукту організації, що може бути захищено на найвищому рівні.
Основна мета стандарту - забезпечити вимоги щодо створення, впровадження, підтримання та постійного вдосконалення системи управління інформаційною безпекою (ISMS). У більшості компаній рішення про прийняття таких типів стандартів приймає вищий менеджмент. Крім того, вимога щодо створення такої системи інформаційної безпеки для організації виникає через різні фактори, такі як організаційні цілі та завдання, вимоги безпеки, розмір та структура організації тощо..
У попередній версії стандарту 2005 року він був розроблений на основі циклу PDCA, моделі «Планувати-перевіри-дій» для структуризації процесів, і це було таким чином, що відображало принципи, викладені в керівництві OECG. У новій версії 2013 року наголошено на оцінці та оцінці ефективності діяльності організації в ISMS. Він також включив розділ, заснований на аутсорсингу, і більше уваги приділяється інформаційній безпеці в організаціях.
Стандарт ISO 27002 спочатку був заснований як стандарт ISO 17799, який базується на кодексі практики захисту інформації. Він висвітлює різні механізми контролю безпеки для організацій з керівництвом ISO 27001.
Стандарт був створений на основі різних керівних принципів та принципів для ініціювання, впровадження, вдосконалення та підтримання управління інформаційною безпекою в організації. Фактичний контроль у стандарті відповідає конкретним вимогам через формальну оцінку ризику. Стандарт складається з конкретних вказівок щодо розробки стандартів організаційної безпеки та ефективних практик управління безпекою, які були б корисні для формування довіри в рамках організаційної діяльності.
Існуюча версія стандарту була опублікована у 2013 році як ISO 27002: 2013 із 114 елементами контролю. Найважливішим фактором, який слід зазначити, є те, що протягом багатьох років було розроблено чи розробляється ряд галузевих версій ISO 27002 у таких галузях, як сектор охорони здоров'я, виробництво тощо..
• Стандарт ISO 27001 виражає вимоги до управління інформаційною безпекою в організаціях, а стандарт ISO 27002 забезпечує підтримку та рекомендації для тих, хто несе відповідальність за ініціювання, впровадження або підтримку систем управління інформаційною безпекою (ISMS).
• ISO 27001 - це стандарт аудиту, заснований на вимогах, що підлягають аудиту, а ISO 27002 - посібник із впровадження, заснований на пропозиціях щодо найкращої практики.
• ISO 27001 включає перелік управлінських контрольних організацій, тоді як ISO 27002 має перелік оперативного контролю для організацій.
• ISO 27001 може використовуватися для аудиту та сертифікації системи управління інформаційною безпекою організації, а ISO 27002 може бути використаний для оцінки всебічності програми інформаційної безпеки організації.
Віднесення зображень: "CIAJMK1209" від Джона М. Кеннеді Т. (CC BY-SA 3.0)