ISO27001和ISO27002認證之間的區(qū)別

發(fā)布日期:2022-10-10 瀏覽次數(shù):0

ISO/IEC 27001 和 ISO/IEC 27002認證幾乎沒有區(qū)別,主要區(qū)別在于 ISO 27002 更加精確和詳細,現(xiàn)在的問題是,當 ISO 27002 涵蓋所有內(nèi)容時,為什么還需要 ISO 27001?


首先,組織不能通過 ISO 27002 認證,認證需要管理標準,而 ISO 27002不是管理標準,在這里,解釋了 ISO 27001 和 ISO 27002 是什么以及它們之間的主要區(qū)別。


ISO27001標準


ISO/IEC 27001是信息安全管理系統(tǒng) (ISMS) 的規(guī)范或認證,ISMS 是一個包含一系列政策和程序的框架,包括組織信息風險管理過程中涉及的物理、技術(shù)和法律控制。


該文件稱,制定 ISO 27001 的目的是為規(guī)劃、實施、監(jiān)控、操作、審查和改進ISMS 提供框架,本規(guī)范使用自上而下的風險管理方法,它定義了一個六步規(guī)劃過程:


1. 引入安全策略

2. 了解 ISMS 的范圍

3. 進行風險評估

4. 管理和減輕已識別的風險

5. 選擇控制方法及其目標

6. 準備一份適用性聲明。


該框架包括管理責任、持續(xù)改進、內(nèi)部審計以及預(yù)防和糾正行動計劃。此外,該標準要求組織的所有部門之間進行合作。


相關(guān):ISO 27001 解釋:什么是 ISO 27007?ISO 27001 標準不強制執(zhí)行特定的信息安全控制;事實上,它提供了一個必須考慮實施的控制清單。


ISO27002認證



ISO 27002 描述了一組詳細的信息安全控制目標,并建立了安全控制的良好實踐,例如,ISO 27002 規(guī)定


  • 信息安全政策必須由組織的最高領(lǐng)導層指導,并詳細介紹給所有員工。


  • 全職員工和合同員工都必須意識到他們在保護組織信息方面的作用,員工應(yīng)在受雇之前、期間和之后行使這些責任。


  • 必須確定物理和信息資產(chǎn),以確保應(yīng)用適當?shù)谋Wo級別。


  • 為了防止未經(jīng)授權(quán)的訪問,必須限制數(shù)據(jù)和存儲設(shè)施的訪問,員工需要負責保護他們的身份驗證信息。


  • 必須通過制定政策和程序來保護信息,以滿足法律、法規(guī)和監(jiān)管義務(wù)。


許多企業(yè)以 ISO/IEC 27002 詳述的方式部署了廣泛的 ISO 27001 信息安全相關(guān)控制,對于組織而言,按照 ISO/IEC 27002 構(gòu)建其信息安全控制基礎(chǔ)架構(gòu)可能是有益的,因為:


  • 最大限度地減少任何重疊和覆蓋差距;

  • ISO/IEC 27002 與備受推崇的全球標準相得益彰;

  • 任何熟悉 ISO/IEC 標準的人都可以輕松識別;


ISO 27001 和 27002之間的區(qū)別


ISO/IEC 27001 標準詳細說明了 ISMS 規(guī)范,相比之下,ISO/IEC 27002 是一份最佳實踐指導文件,描述了組織如何應(yīng)用政策來確保合規(guī)性。


另一個關(guān)鍵區(qū)別是細節(jié),雖然 ISO 27001 的“附件 A”概述了 14 項安全控制,但 iso27002 為每個安全控制專門開辟了一頁,涵蓋了每個控制的目標、其工作原理以及如何實施。


綜上所述,ISO 27001 和 27002 的區(qū)別在于:


詳細- ISO 27001概括了每個控件。它可能會提供一些關(guān)于附加標準的具體建議,例如 ISO 27002。其他標準包括ISO 27003,涵蓋 ISMS 實施指南(即 領(lǐng)導、規(guī)劃、運營)和ISO 27004,詳細說明 ISMS 監(jiān)控、測量、分析和評估。


認證 – ISO 27001 是一項管理標準。因此,組織只能根據(jù) ISO 27001 標準進行認證,作為管理標準,ISO 27001 提供了合規(guī)要求的詳細列表。另一方面,ISO27002 提供了關(guān)于信息安全控制的最佳實踐指南。


適用性 –在實施 ISMS 時,您需要確定任何不適用于您的公司或業(yè)務(wù)的信息安全控制措施。ISO 27001 通過指定需要進行風險評估來確定需要哪些信息安全控制來解決這個問題,ISO 27002 規(guī)定了信息安全控制目標,提供了實現(xiàn)這些目標的最佳實踐方法。


因此,ISO 27002 是對 ISO 27001 的補充,對于確定適用于貴組織的每項控制措施,ISO 27002 都將提供必要的實施指南。


應(yīng)該使用哪個標準


如果您想在您的組織內(nèi)建立一個強大的信息安全框架,ISO 27001 將以您需要達到的要求的形式提供標準;標準定義了如何運行系統(tǒng),在 ISO 27001:2013 的情況下,ISMS 是管理標準。


如果沒有ISO 27002 中提供的細節(jié),就無法實施 ISO 27001,但是,ISO 27001 的管理框架將始終與 ISO 27002 不同。


作為一項咨詢標準,ISO/IEC 27002 旨在根據(jù)其特定的信息安全風險對所有類型和規(guī)模的組織進行解釋和應(yīng)用,這種靈活性提供了大量機會以您的組織獨有的方式采用ISO 27001 信息安全控制。