ISO27001標(biāo)準(zhǔn)
發(fā)布日期:2022-10-10 瀏覽次數(shù):0次
ISO/IEC 27001 和 ISO/IEC 27002認(rèn)證幾乎沒有區(qū)別,主要區(qū)別在于 ISO 27002 更加精確和詳細(xì),現(xiàn)在的問題是,當(dāng) ISO 27002 涵蓋所有內(nèi)容時(shí),為什么還需要 ISO 27001?
首先,組織不能通過 ISO 27002 認(rèn)證,認(rèn)證需要管理標(biāo)準(zhǔn),而 ISO 27002不是管理標(biāo)準(zhǔn),在這里,解釋了 ISO 27001 和 ISO 27002 是什么以及它們之間的主要區(qū)別。
ISO27001標(biāo)準(zhǔn)
ISO/IEC 27001是信息安全管理系統(tǒng) (ISMS) 的規(guī)范或認(rèn)證,ISMS 是一個(gè)包含一系列政策和程序的框架,包括組織信息風(fēng)險(xiǎn)管理過程中涉及的物理、技術(shù)和法律控制。
該文件稱,制定 ISO 27001 的目的是為規(guī)劃、實(shí)施、監(jiān)控、操作、審查和改進(jìn)ISMS 提供框架,本規(guī)范使用自上而下的風(fēng)險(xiǎn)管理方法,它定義了一個(gè)六步規(guī)劃過程:
1. 引入安全策略
2. 了解 ISMS 的范圍
3. 進(jìn)行風(fēng)險(xiǎn)評(píng)估
4. 管理和減輕已識(shí)別的風(fēng)險(xiǎn)
5. 選擇控制方法及其目標(biāo)
6. 準(zhǔn)備一份適用性聲明。
該框架包括管理責(zé)任、持續(xù)改進(jìn)、內(nèi)部審計(jì)以及預(yù)防和糾正行動(dòng)計(jì)劃。此外,該標(biāo)準(zhǔn)要求組織的所有部門之間進(jìn)行合作。
相關(guān):ISO 27001 解釋:什么是 ISO 27007?ISO 27001 標(biāo)準(zhǔn)不強(qiáng)制執(zhí)行特定的信息安全控制;事實(shí)上,它提供了一個(gè)必須考慮實(shí)施的控制清單。
ISO27002認(rèn)證
ISO 27002 描述了一組詳細(xì)的信息安全控制目標(biāo),并建立了安全控制的良好實(shí)踐,例如,ISO 27002 規(guī)定:
信息安全政策必須由組織的最高領(lǐng)導(dǎo)層指導(dǎo),并詳細(xì)介紹給所有員工。
全職員工和合同員工都必須意識(shí)到他們?cè)?a title="保護(hù)" href="/tag/baohu.html" target="_blank">保護(hù)組織信息方面的作用,員工應(yīng)在受雇之前、期間和之后行使這些責(zé)任。
必須確定物理和信息資產(chǎn),以確保應(yīng)用適當(dāng)?shù)谋Wo(hù)級(jí)別。
為了防止未經(jīng)授權(quán)的訪問,必須限制數(shù)據(jù)和存儲(chǔ)設(shè)施的訪問,員工需要負(fù)責(zé)保護(hù)他們的身份驗(yàn)證信息。
必須通過制定政策和程序來保護(hù)信息,以滿足法律、法規(guī)和監(jiān)管義務(wù)。
許多企業(yè)以 ISO/IEC 27002 詳述的方式部署了廣泛的 ISO 27001 信息安全相關(guān)控制,對(duì)于組織而言,按照 ISO/IEC 27002 構(gòu)建其信息安全控制基礎(chǔ)架構(gòu)可能是有益的,因?yàn)椋?/span>
最大限度地減少任何重疊和覆蓋差距;
ISO/IEC 27002 與備受推崇的全球標(biāo)準(zhǔn)相得益彰;
任何熟悉 ISO/IEC 標(biāo)準(zhǔn)的人都可以輕松識(shí)別;
ISO 27001 和 27002之間的區(qū)別
ISO/IEC 27001 標(biāo)準(zhǔn)詳細(xì)說明了 ISMS 規(guī)范,相比之下,ISO/IEC 27002 是一份最佳實(shí)踐指導(dǎo)文件,描述了組織如何應(yīng)用政策來確保合規(guī)性。
另一個(gè)關(guān)鍵區(qū)別是細(xì)節(jié),雖然 ISO 27001 的“附件 A”概述了 14 項(xiàng)安全控制,但 iso27002 為每個(gè)安全控制專門開辟了一頁,涵蓋了每個(gè)控制的目標(biāo)、其工作原理以及如何實(shí)施。
綜上所述,ISO 27001 和 27002 的區(qū)別在于:
詳細(xì)- ISO 27001概括了每個(gè)控件。它可能會(huì)提供一些關(guān)于附加標(biāo)準(zhǔn)的具體建議,例如 ISO 27002。其他標(biāo)準(zhǔn)包括ISO 27003,涵蓋 ISMS 實(shí)施指南(即 領(lǐng)導(dǎo)、規(guī)劃、運(yùn)營)和ISO 27004,詳細(xì)說明 ISMS 監(jiān)控、測量、分析和評(píng)估。
認(rèn)證 – ISO 27001 是一項(xiàng)管理標(biāo)準(zhǔn)。因此,組織只能根據(jù) ISO 27001 標(biāo)準(zhǔn)進(jìn)行認(rèn)證,作為管理標(biāo)準(zhǔn),ISO 27001 提供了合規(guī)要求的詳細(xì)列表。另一方面,ISO27002 提供了關(guān)于信息安全控制的最佳實(shí)踐指南。
適用性 –在實(shí)施 ISMS 時(shí),您需要確定任何不適用于您的公司或業(yè)務(wù)的信息安全控制措施。ISO 27001 通過指定需要進(jìn)行風(fēng)險(xiǎn)評(píng)估來確定需要哪些信息安全控制來解決這個(gè)問題,ISO 27002 規(guī)定了信息安全控制目標(biāo),提供了實(shí)現(xiàn)這些目標(biāo)的最佳實(shí)踐方法。
因此,ISO 27002 是對(duì) ISO 27001 的補(bǔ)充,對(duì)于確定適用于貴組織的每項(xiàng)控制措施,ISO 27002 都將提供必要的實(shí)施指南。
應(yīng)該使用哪個(gè)標(biāo)準(zhǔn)
如果您想在您的組織內(nèi)建立一個(gè)強(qiáng)大的信息安全框架,ISO 27001 將以您需要達(dá)到的要求的形式提供標(biāo)準(zhǔn);標(biāo)準(zhǔn)定義了如何運(yùn)行系統(tǒng),在 ISO 27001:2013 的情況下,ISMS 是管理標(biāo)準(zhǔn)。
如果沒有ISO 27002 中提供的細(xì)節(jié),就無法實(shí)施 ISO 27001,但是,ISO 27001 的管理框架將始終與 ISO 27002 不同。
作為一項(xiàng)咨詢標(biāo)準(zhǔn),ISO/IEC 27002 旨在根據(jù)其特定的信息安全風(fēng)險(xiǎn)對(duì)所有類型和規(guī)模的組織進(jìn)行解釋和應(yīng)用,這種靈活性提供了大量機(jī)會(huì)以您的組織獨(dú)有的方式采用ISO 27001 信息安全控制。
相關(guān)文章推薦
企業(yè)信息安全無小事!ISO27001信息安全管理體系的必要性 一認(rèn)證公司被罰9萬元——youjichanpin認(rèn)證公司該怎么選 ISO14000認(rèn)證價(jià)格 ISO14001認(rèn)證多少錢 ISO14001環(huán)境管理體系認(rèn)證最低限價(jià)費(fèi)用 我們?yōu)槭裁匆ㄟ^ISO三體系認(rèn)證?對(duì)企業(yè)到底有何好處? youjichanpin質(zhì)量管理體系認(rèn)證過程中的問題及對(duì)策 勞動(dòng)關(guān)系協(xié)調(diào)員的工作內(nèi)容以及社會(huì)作用?(I 數(shù)據(jù)丨2022年認(rèn)證機(jī)構(gòu)認(rèn)可半年報(bào)發(fā)布 ISO9001審核常見10大問題解答 售后服務(wù)認(rèn)證對(duì)企業(yè)的重要性,3大優(yōu)勢(shì)成就企業(yè)未來!