Ker je ISO 27000 vrsta standardov, ki jih je ISO uvedel za zagotavljanje varnosti in varnosti znotraj organizacij po vsem svetu, je vredno poznati razliko med ISO 27001 in ISO 27002, dvema standardoma v seriji ISO 27000. Ti standardi so bili uvedeni v korist organizacij in tudi za zagotavljanje kakovostne storitve za stranke. Ta članek analizira razlike med ISO 27001 in ISO 27002.
Standard ISO 27001 je zagotoviti varnost informacij in zaščito podatkov v organizacijah po vsem svetu. Ta standard je tako pomemben za poslovne organizacije pri varovanju svojih strank in zaupnih informacij organizacije pred grožnjami. Izvajanje sistema upravljanja informacijske varnosti bi zagotovilo kakovost, varnost, storitve in zanesljivost izdelkov organizacije, ki jih je mogoče varovati na najvišji ravni.
Glavni cilj standarda je zagotoviti zahteve za vzpostavitev, izvajanje, vzdrževanje in nenehno izboljševanje sistema upravljanja informacijske varnosti (ISMS). V večini podjetij odločitve o sprejetju tovrstnih standardov sprejema najvišje vodstvo. Zahteva po takšnem sistemu informacijske varnosti za organizacijo se pojavi zaradi različnih dejavnikov, kot so organizacijski cilji in cilji, varnostne zahteve, velikost in struktura organizacije itd..
V prejšnji različici standarda leta 2005 je bil razvit na podlagi cikla PDCA, modela Plan-Do-Check-Act, ki strukturira procese in je bil tako, da odraža načela, določena v smernicah OECG. Nova različica leta 2013 poudarja merjenje in ocenjevanje uspešnosti organizacije v ISMS. Vključil je tudi odsek, ki temelji na zunanjem izvajanju dejavnosti in več pozornosti je namenjena varnosti informacij v organizacijah.
Standard ISO 27002 je bil sprva izdelan kot standard ISO 17799, ki temelji na kodeksu prakse za informacijsko varnost. Poudarja različne mehanizme nadzora varnosti za organizacije z vodstvom po ISO 27001.
Standard je bil ustanovljen na podlagi različnih smernic in načel za začetek, izvajanje, izboljšanje in vzdrževanje upravljanja informacijske varnosti v organizaciji. Dejanske kontrole v standardu obravnavajo posebne zahteve s formalno oceno tveganja. Standard je sestavljen iz posebnih smernic za razvoj organizacijskih varnostnih standardov in učinkovitih praks upravljanja varnosti, ki bi bile koristne za krepitev zaupanja v okviru medorganizacijskih dejavnosti.
Obstoječa različica standarda je bila leta 2013 objavljena kot ISO 27002: 2013 s 114 nadzori. Najpomembnejši dejavnik, ki ga je treba opozoriti, je, da so se z leti razvile številne industrijsko specifične različice standarda ISO 27002 na področju, kot so zdravstveni sektor, proizvodnja itd..
• Standard ISO 27001 izraža zahteve po upravljanju informacijske varnosti v organizacijah, standard ISO 27002 pa nudi podporo in smernice tistim, ki so odgovorni pri zagonu, izvajanju ali vzdrževanju sistemov upravljanja informacijske varnosti (ISMS).
• ISO 27001 je revizijski standard, ki temelji na revizijskih zahtevah, ISO 27002 pa vodnik za izvajanje, ki temelji na predlogih najboljše prakse.
• ISO 27001 vsebuje seznam kontrol upravljanja, medtem ko ima ISO 27002 seznam operativnih kontrol za organizacije.
• ISO 27001 se lahko uporablja za revizijo in potrjevanje sistema za upravljanje informacij o varnosti organizacije, ISO 27002 pa se lahko uporabi za oceno celovitosti programa za informacijsko varnost organizacije.
Dodeljevanje slik: »CIAJMK1209« John M. Kennedy T. (CC BY-SA 3.0)