ISO 27001 vs ISO 27002
Jelikož ISO 27000 je řada norem, které byly zavedeny ISO s cílem zajistit bezpečnost a zabezpečení v organizacích po celém světě, stojí za to znát rozdíl mezi ISO 27001 a ISO 27002, dvěma z norem řady ISO 27000. Tyto standardy byly zavedeny ve prospěch organizací a také za účelem poskytování kvalitních služeb zákazníkům. Tento článek analyzuje rozdíly mezi ISO 27001 a ISO 27002.
Co je ISO 27001?
Normou ISO 27001 je zajistit bezpečnost informací a ochranu dat v organizacích po celém světě. Tento standard je pro obchodní organizace tak důležitý při ochraně svých zákazníků a důvěrných informací organizace před hrozbami. Implementace systému řízení bezpečnosti informací by zajistila kvalitu, bezpečnost, služby a spolehlivost produktů organizace, které lze zajistit na nejvyšší úrovni.
Primárním cílem normy je poskytnout požadavky na zavedení, implementaci, údržbu a neustálé zlepšování systému řízení bezpečnosti informací (ISMS). Ve většině společností rozhoduje o přijetí těchto typů standardů nejvyšší vedení. Požadavek mít tento druh informačního bezpečnostního systému pro organizaci také vzniká v důsledku různých faktorů, jako jsou cíle a cíle organizace, bezpečnostní požadavky, velikost a struktura organizace atd.
V předchozí verzi standardu z roku 2005 byl vyvinut na základě cyklu PDCA, modelu Plan-Do-Check-Act pro strukturování procesů, a to způsobem, který odráží zásady stanovené v pokynech OECG. Nová verze z roku 2013 klade důraz na měření a hodnocení efektivity výkonu organizace v ISMS. Rovněž zahrnoval část založenou na outsourcingu a věnuje se větší pozornost informační bezpečnosti v organizacích.
Co je ISO 27002?
Norma ISO 27002 byla původně vytvořena jako norma ISO 17799, která je založena na kodexu informační bezpečnosti. Zdůrazňuje různé kontrolní mechanismy zabezpečení pro organizace s vedením ISO 27001.
Standard byl vytvořen na základě různých pokynů a zásad pro zahájení, implementaci, zdokonalení a udržení řízení bezpečnosti informací v organizaci. Skutečné kontroly ve standardu řeší specifické požadavky prostřednictvím formálního posouzení rizik. Standard se skládá ze specifických pokynů pro vývoj standardů zabezpečení organizace a účinných postupů řízení zabezpečení, které by byly užitečné při budování důvěry v mezioborové činnosti.
Stávající verze normy byla publikována v roce 2013 jako ISO 27002: 2013 se 114 ovládacími prvky. Nejdůležitějším faktorem, který je třeba poznamenat, je to, že v průběhu let byla vyvinuta nebo je vyvíjena řada průmyslových specifických verzí ISO 27002 v oblastech, jako je zdravotnictví, výroba atd.
Jaký je rozdíl mezi ISO 27001 a ISO 27002?
• Norma ISO 27001 vyjadřuje požadavky na správu zabezpečení informací v organizacích a norma ISO 27002 poskytuje podporu a pokyny těm, kteří jsou odpovědní za zahájení, implementaci nebo údržbu systémů řízení bezpečnosti informací (ISMS).
• ISO 27001 je auditorská norma založená na auditovatelných požadavcích, zatímco ISO 27002 je implementační příručka založená na návrzích osvědčených postupů.
• ISO 27001 obsahuje seznam kontrol řízení pro organizace, zatímco ISO 27002 obsahuje seznam provozních kontrol pro organizace.
• ISO 27001 lze použít k auditu a certifikaci systému řízení bezpečnosti informací v organizaci a ISO 27002 lze použít k posouzení komplexnosti Programu bezpečnosti informací v organizaci.
Atribuce obrázku: „CIAJMK1209“od Johna M. Kennedyho T. (CC BY-SA 3.0)