ISO 27001 vs ISO 27002
Koska ISO 27000 on sarja standardeja, jotka ISO on käynnistänyt turvallisuuden takaamiseksi organisaatioissa maailmanlaajuisesti, on syytä tietää ero ISO 27001:n ja ISO 27002:n, kahden ISO 27000:n standardin välillä. sarja. Nämä standardit on käynnistetty organisaatioiden hyödyksi ja myös laadukkaan palvelun tarjoamiseksi asiakkaille. Tässä artikkelissa analysoidaan eroja ISO 27001:n ja ISO 27002:n välillä.
Mikä on ISO 27001?
ISO 27001 -standardi takaa tietoturvan ja tietosuojan organisaatioissa maailmanlaajuisesti. Tämä standardi on erittäin tärkeä yritysorganisaatioille asiakkaidensa ja organisaation luottamuksellisten tietojen turvaamisessa uhkilta. Tietoturvan hallintajärjestelmän käyttöönotto varmistaisi organisaation laadun, turvallisuuden, palvelu- ja tuotevarmuuden, joka voidaan turvata korkeimmalla tasollaan.
Standardin ensisijainen tavoite on asettaa vaatimukset tietoturvan hallintajärjestelmän (ISMS) perustamiselle, toteuttamiselle, ylläpidolle ja jatkuvalle parantamiselle. Useimmissa yrityksissä päätökset tämäntyyppisten standardien käyttöönotosta tekee ylin johto. Myös vaatimus tällaisen tietoturvajärjestelmän olemassaolosta organisaatiossa johtuu erilaisista tekijöistä, kuten organisaation tavoitteista ja tavoitteista, turvallisuusvaatimuksista, organisaation koosta ja rakenteesta jne.
Standardin edellisessä versiossa vuonna 2005 se kehitettiin PDCA-syklin, Plan-Do-Check-Act -mallin perusteella prosessien jäsentämiseksi, ja tämä heijasti tavallaan OECG:n määrittelemiä periaatteita. ohjeita. Vuoden 2013 uusi versio painottaa organisaation suorituskyvyn tehokkuuden mittaamista ja arviointia ISMS:ssä. Siinä on myös ulkoistamiseen perustuva osio ja organisaatioiden tietoturvaan on panostettu enemmän.
Mikä on ISO 27002?
ISO 27002 -standardi syntyi alun perin ISO 17799 -standardina, joka perustuu tietoturvan käytäntöihin. Se korostaa organisaatioiden erilaisia turvallisuuden valvontamekanismeja ISO 27001:n ohjeiden mukaisesti.
Standardi luotiin useiden ohjeiden ja periaatteiden pohj alta organisaation tietoturvahallinnan käynnistämiseen, toteuttamiseen, parantamiseen ja ylläpitoon. Standardin varsinaiset kontrollit vastaavat erityisvaatimuksia muodollisen riskinarvioinnin kautta. Standardi koostuu erityisistä ohjeista organisaation tietoturvastandardien ja tehokkaiden turvallisuuden hallintakäytäntöjen kehittämiseen, jotka ovat hyödyllisiä luottamuksen rakentamisessa organisaatioiden välisessä toiminnassa.
Standardin nykyinen versio julkaistiin vuonna 2013 nimellä ISO 27002:2013, jossa on 114 ohjausobjektia. Tärkein huomioitava tekijä on se, että vuosien aikana on kehitetty tai kehitteillä useita toimialakohtaisia ISO 27002 -versioita sellaisilla aloilla kuin terveydenhuolto, valmistus jne.
Mitä eroa on ISO 27001:n ja ISO 27002:n välillä?
• ISO 27001 -standardi ilmaisee organisaatioiden tietoturvan hallinnan vaatimukset ja ISO 27002 -standardi tarjoaa tukea ja ohjausta niille, jotka ovat vastuussa tietoturvan hallintajärjestelmien (ISMS) käynnistämisestä, käyttöönotosta tai ylläpidosta.
• ISO 27001 on auditoitaviin vaatimuksiin perustuva auditointistandardi, kun taas ISO 27002 on parhaiden käytäntöjen ehdotuksiin perustuva käyttöönottoopas.
• ISO 27001 sisältää luettelon organisaatioiden hallintatoimista, kun taas ISO 27002 sisältää luettelon organisaatioiden toiminnallisista ohjauksista.
• ISO 27001:n avulla voidaan auditoida ja sertifioida organisaation tietoturvan hallintajärjestelmä ja ISO 27002:ta voidaan käyttää organisaation tietoturvaohjelman kattavuuden arvioimiseen.
Kuvan merkintä: "CIAJMK1209", kirjoittanut John M. Kennedy T. (CC BY-SA 3.0)
