Mivel az ISO 27000 egy olyan sorozat, amelyet az ISO kezdeményezett a biztonság és biztonság érdekében az egész világon, érdemes tudni a különbséget az ISO 27001 és az ISO 27002, az ISO 27000 sorozat két szabványa között. Ezeket a szabványokat a szervezetek javára, valamint az ügyfelek számára történő minőségi szolgáltatás biztosítása érdekében vezették be. Ez a cikk az ISO 27001 és az ISO 27002 közötti különbségeket elemzi.
Az ISO 27001 szabvány célja az információbiztonság és az adatvédelem biztosítása a szervezetekben világszerte. Ez a szabvány annyira fontos az üzleti szervezetek számára, hogy megóvják ügyfeleiket és a szervezet bizalmas információit a fenyegetésekkel szemben. Az információbiztonsági menedzsment rendszer bevezetése biztosítja a szervezet minőségét, biztonságát, a szolgáltatás és a termék megbízhatóságát, amelyet a legmagasabb szinten lehet megőrizni..
A szabvány elsődleges célja az információbiztonsági menedzsment rendszer (ISMS) létrehozására, végrehajtására, karbantartására és folyamatos fejlesztésére vonatkozó követelmények előírása. A legtöbb társaságban az ilyen típusú szabványok elfogadására vonatkozó döntéseket a felső vezetés hozza meg. Ezenkívül az ilyen típusú információbiztonsági rendszer iránti igény többféle tényező miatt felmerül, például a szervezeti célok és célok, biztonsági követelmények, a szervezet mérete és felépítése stb..
A szabvány előző verziójában, 2005-ben, a PDCA ciklus alapján, a Plan-Do-Check-Act modell alapján fejlesztették ki a folyamatok strukturálására, és ez tükrözte az OECG irányelveiben meghatározott elveket. A 2013-as új verzió hangsúlyozza a szervezeti teljesítmény hatékonyságának mérését és értékelését az ISMS-ben. Ezenkívül tartalmazott egy kiszervezésen alapuló szakaszt, és nagyobb figyelmet fordítottak a szervezetek információbiztonságára.
Az ISO 27002 szabvány eredetileg az ISO 17799 szabvány volt, amely az információbiztonsági gyakorlati kódexen alapul. Az ISO 27001 iránymutatásával kiemeli a szervezetek különféle biztonsági ellenőrzési mechanizmusait.
A szabványt különféle iránymutatások és alapelvek alapján hozták létre az információbiztonsági menedzsment kezdeményezéséhez, végrehajtásához, fejlesztéséhez és fenntartásához a szervezeten belül. A szabványban szereplő tényleges ellenőrzések hivatalos kockázatértékelés útján vonatkoznak a specifikus követelményekre. A szabvány konkrét iránymutatásokat tartalmaz a szervezeti biztonsági szabványok fejlesztésére és a hatékony biztonsági menedzsment gyakorlatokra, amelyek hasznosak lehetnek a bizalom építésében a szervezetek közötti tevékenységekben.
A szabvány meglévő változatát 2013-ban tette közzé, mint ISO 27002: 2013, 114 kezelőszervvel. A legfontosabb megjegyzendő tényező az, hogy az évek során az ISO 27002 számos iparág-specifikus verzióját fejlesztették ki vagy fejlesztik tovább, olyan területeken, mint az egészségügyi ágazat, a gyártás stb..
• Az ISO 27001 szabvány kifejezi a szervezetek információbiztonsági menedzsmentjének követelményeit, az ISO 27002 szabvány pedig támogatást és útmutatást nyújt azok számára, akik felelősek az információbiztonsági menedzsment rendszerek (ISMS) kezdeményezéséért, megvalósításáért vagy karbantartásáért..
• Az ISO 27001 az auditálható követelményeken alapuló ellenőrzési standard, míg az ISO 27002 a bevált gyakorlati javaslatokon alapuló végrehajtási útmutató..
• Az ISO 27001 tartalmazza a szervezetek számára irányítási vezérlőelemek listáját, míg az ISO 27002 tartalmazza a szervezetek működési vezérlőinek listáját.
• Az ISO 27001 felhasználható a szervezet információbiztonsági irányítási rendszerének ellenőrzésére és tanúsítására, az ISO 27002 pedig felhasználható a szervezet információbiztonsági programjának átfogó jellegének felmérésére..
Kép hozzárendelése: John M. Kennedy T. „CIAJMK1209” (CC BY-SA 3.0)