ISO 27001 vs ISO 27002
Siden ISO 27000 er en serie standarder som er initiert av ISO for å sikre sikkerhet og sikkerhet i organisasjoner over hele verden, er det verdt å vite forskjellen mellom ISO 27001 og ISO 27002, to av standardene i ISO 27000 serie. Disse standardene er initiert til fordel for organisasjonene og også for å gi en kvalitetstjeneste til kundene. Denne artikkelen analyserer forskjellene mellom ISO 27001 og ISO 27002.
Hva er ISO 27001?
ISO 27001-standarden er å sikre informasjonssikkerhet og databeskyttelse i organisasjoner over hele verden. Denne standarden er så viktig for forretningsorganisasjoner for å beskytte sine kunder og konfidensiell informasjon om organisasjonen mot trusler. Implementering av styringssystemet for informasjonssikkerhet vil sikre kvalitet, sikkerhet, service og produktpålitelighet for organisasjonen som kan ivaretas på sitt høyeste nivå.
Det primære målet med standarden er å stille krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av et Information Security Management System (ISMS). I de fleste selskapene tas beslutninger om å vedta denne typen standarder av toppledelsen. Kravet om å ha denne typen informasjonssikkerhetssystem for organisasjonen oppstår også på grunn av ulike faktorer som organisasjonens mål og mål, sikkerhetskrav, størrelsen og strukturen til organisasjonen osv.
I den forrige versjonen av standarden i 2005 ble den utviklet basert på PDCA-syklus, Plan-Do-Check-Act-modell for å strukturere prosessene, og det var på en måte som reflekterte prinsippene fastsatt av OECG retningslinjer. Den nye versjonen i 2013 legger vekt på måling og evaluering av effektiviteten til organisasjonens ytelse i ISMS. Den har også inkludert en seksjon basert på outsourcing og mer konsentrasjon er gitt til informasjonssikkerheten i organisasjoner.
Hva er ISO 27002?
ISO 27002-standarden ble opprinnelig utviklet som ISO 17799-standarden som er basert på anbefalingen for informasjonssikkerhet. Den fremhever ulike sikkerhetskontrollmekanismer for organisasjoner med veiledning av ISO 27001.
Standarden ble etablert basert på ulike retningslinjer og prinsipper for å initiere, implementere, forbedre og vedlikeholde informasjonssikkerhetsstyring i en organisasjon. De faktiske kontrollene i standarden ivaretar spesifikke krav gjennom en formell risikovurdering. Standarden består av spesifikke retningslinjer for utviklingen i organisatoriske sikkerhetsstandarder og effektiv sikkerhetsstyringspraksis som vil være nyttig for å bygge tillit innenfor interorganisatoriske aktiviteter.
Den eksisterende versjonen av standarden ble publisert i 2013 som ISO 27002:2013 med 114 kontroller. Den viktigste faktoren å merke seg er at i løpet av årene har en rekke bransjespesifikke versjoner av ISO 27002 blitt utviklet eller er under utvikling innen områder som helsesektoren, produksjon, etc.
Hva er forskjellen mellom ISO 27001 og ISO 27002?
• ISO 27001-standarden uttrykker kravene til informasjonssikkerhetsstyring i organisasjoner, og ISO 27002-standarden gir støtte og veiledning for de som er ansvarlige for å initiere, implementere eller vedlikeholde Information Security Management Systems (ISMS).
• ISO 27001 er en revisjonsstandard basert på reviderbare krav, mens ISO 27002 er en implementeringsveiledning basert på forslag til beste praksis.
• ISO 27001 inkluderer en liste over ledelseskontroller til organisasjonene mens ISO 27002 har en liste over operasjonelle kontroller til organisasjonene.
• ISO 27001 kan brukes til å revidere og sertifisere organisasjonens styringssystem for informasjonssikkerhet, og ISO 27002 kan brukes til å vurdere omfanget av en organisasjons informasjonssikkerhetsprogram.
Image Attribution: "CIAJMK1209" av John M. Kennedy T. (CC BY-SA 3.0)
