Eftersom ISO 27000 är en serie standarder som har initierats av ISO för att säkerställa säkerheten inom organisationer över hela världen är det värt att veta skillnaden mellan ISO 27001 och ISO 27002, två av standarderna i ISO 27000-serien. Dessa standarder har initierats till förmån för organisationerna och också att tillhandahålla en kvalitetsservice för kunderna. I denna artikel analyseras skillnaderna mellan ISO 27001 och ISO 27002.
ISO 27001-standarden är att säkerställa informationssäkerhet och dataskydd i organisationer över hela världen. Denna standard är så viktig för företagsorganisationer för att skydda sina kunder och konfidentiella uppgifter från organisationen mot hot. Genomförandet av informationssäkerhetshanteringssystemet skulle säkerställa kvalitet, säkerhet, service och produktsäkerhet hos organisationen som kan skyddas på högsta nivå.
Huvudsyftet med standarden är att tillhandahålla krav för att upprätta, implementera, upprätthålla och kontinuerligt förbättra ett informationssäkerhetsstyrningssystem (ISMS). I de flesta av företagen fattas beslut av att anta dessa typer av standarder av toppledningen. Kravet på att ha denna typ av informationssäkerhetssystem för organisationen uppstår också på grund av olika faktorer som organisatoriska mål och mål, säkerhetskrav, organisationens storlek och struktur etc.
I den tidigare versionen av standarden 2005 utvecklades den utifrån PDCA-cykeln, Plan-Do-Check-Act-modellen för att strukturera processerna och det var i överensstämmelse med de principer som fastställdes i OECG-riktlinjerna. Den nya versionen 2013 underlättar mätning och utvärdering av effektiviteten i den organisatoriska utvecklingen i ISMS. Det har också inkluderat ett avsnitt baserat på outsourcing och mer information ges till informationssäkerheten i organisationer.
ISO 27002-standarden uppkom ursprungligen som ISO 17799-standard som bygger på praxis för informationssäkerhet. Det framhäver olika säkerhetsstyrningsmekanismer för organisationer med vägledning av ISO 27001.
Standarden grundades på grundval av olika riktlinjer och principer för initiering, genomförande, förbättring och underhåll av informationssäkerhetshantering inom en organisation. Den faktiska kontrollen i standardadressen specifika krav genom en formell riskbedömning. Standarden består av specifika riktlinjer för utvecklingen av organisationssäkerhetsstandarder och effektiv säkerhetshantering som skulle vara till nytta för att bygga förtroende inom interorganisatoriska aktiviteter.
Den befintliga versionen av standarden publicerades 2013 som ISO 27002: 2013 med 114 kontroller. Den viktigaste faktorn som ska noteras är att genom åren har ett antal branschspecifika versioner av ISO 27002 utvecklats eller utvecklats inom områden som hälso- och sjukvård, tillverkning mm.
• Standarden ISO 27001 uttrycker kraven för informationssäkerhetshantering i organisationer och ISO 27002-standarden ger stöd och vägledning för dem som är ansvariga för att initiera, genomföra eller behålla informationssäkerhetsstyrningssystem (ISMS).
• ISO 27001 är en revisionsstandard baserad på revisionsbehov, medan ISO 27002 är en implementeringsguide baserad på bästa praxisförslag.
• ISO 27001 innehåller en lista över hanteringskontroller till organisationerna medan ISO 27002 har en lista över operativa kontroller till organisationerna.
• ISO 27001 kan användas för att granska och certifiera organisationens informationssäkerhetsstyrningssystem och ISO 27002 kan användas för att bedöma omfattningen av en organisations informationssäkerhetsprogram.
Bildattribut: "CIAJMK1209" av John M. Kennedy T. (CC BY-SA 3.0)