ISO 27001 pret ISO 27002
Tā kā ISO 27000 ir virkne standartu, kurus ISO ir uzsācis, lai visā pasaulē nodrošinātu drošību un drošību, ir vērts zināt atšķirību starp ISO 27001 un ISO 27002, diviem no ISO 27000 sērijas standartiem. Šie standarti ir izstrādāti organizāciju labā, kā arī lai sniegtu klientiem kvalitatīvus pakalpojumus. Šajā rakstā analizētas atšķirības starp ISO 27001 un ISO 27002.
Kas ir ISO 27001?
ISO 27001 standarts nodrošina informācijas drošību un datu aizsardzību organizācijās visā pasaulē. Šis standarts ir tik svarīgs biznesa organizācijām, lai aizsargātu klientus un konfidenciālu organizācijas informāciju no draudiem. Informācijas drošības pārvaldības sistēmas ieviešana nodrošinātu organizācijas kvalitāti, drošību, pakalpojumu un produktu uzticamību, ko var nodrošināt visaugstākajā līmenī.
Standarta galvenais mērķis ir noteikt prasības informācijas drošības pārvaldības sistēmas (ISMS) izveidei, ieviešanai, uzturēšanai un pastāvīgai uzlabošanai. Lielākajā daļā uzņēmumu lēmumus par šāda veida standartu pieņemšanu pieņem augstākā vadība. Prasība, ka organizācijai ir šāda veida informācijas drošības sistēma, rodas dažādu faktoru dēļ, piemēram, organizācijas mērķi un uzdevumi, drošības prasības, organizācijas lielums un struktūra utt.
Iepriekšējā standarta versijā 2005. gadā tā tika izstrādāta, pamatojoties uz PDCA ciklu, plānu, dari, pārbaudi, likumu modeli, lai strukturētu procesus, un tas tādā veidā atspoguļoja OECG vadlīnijās izklāstītos principus. Jaunā versija 2013. gadā uzsver organizācijas darbības efektivitātes mērīšanu un novērtēšanu ISMS. Tajā ir iekļauta arī sadaļa, kuras pamatā ir ārpakalpojumi, un lielāka uzmanība tiek pievērsta informācijas drošībai organizācijās.
Kas ir ISO 27002?
Sākotnēji ISO 27002 standarts tika izveidots kā ISO 17799 standarts, kura pamatā ir informācijas drošības prakses kodekss. Tas izceļ dažādus organizāciju drošības kontroles mehānismus, vadoties pēc ISO 27001.
Standarts tika izveidots, pamatojoties uz dažādām vadlīnijām un principiem informācijas drošības pārvaldības uzsākšanai, ieviešanai, uzlabošanai un uzturēšanai organizācijā. Faktiskās kontroles standartā risina īpašas prasības, izmantojot oficiālu riska novērtējumu. Standarts sastāv no īpašām vadlīnijām organizatorisko drošības standartu attīstībai un efektīvai drošības pārvaldības praksei, kas būtu noderīgi, lai veidotu uzticību starporganizāciju darbībās.
Esošā standarta versija tika publicēta 2013. gadā kā ISO 27002: 2013 ar 114 vadības ierīcēm. Vissvarīgākais faktors, kas jāatzīmē, ir tas, ka gadu gaitā ir izstrādātas vai tiek izstrādātas vairākas ISO 27002 nozares specifiskas versijas tādās jomās kā veselības nozare, ražošana utt.
Kāda ir atšķirība starp ISO 27001 un ISO 27002?
• ISO 27001 standarts izsaka prasības informācijas drošības pārvaldībai organizācijās un ISO 27002 standarts nodrošina atbalstu un norādījumus tiem, kas ir atbildīgi par informācijas drošības pārvaldības sistēmu (ISMS) ierosināšanu, ieviešanu vai uzturēšanu.
• ISO 27001 ir revīzijas standarts, kas balstīts uz pārbaudāmām prasībām, savukārt ISO 27002 ir ieviešanas rokasgrāmata, kuras pamatā ir labākās prakses ieteikumi.
• ISO 27001 ietver vadības vadības sarakstu organizācijām, savukārt ISO 27002 ir organizāciju darbības kontroles saraksts.
• ISO 27001 var izmantot, lai pārbaudītu un sertificētu organizācijas informācijas drošības pārvaldības sistēmu, un ISO 27002 var izmantot, lai novērtētu organizācijas informācijas drošības programmas vispusīgumu.
Attēla attiecinājums: “CIAJMK1209”, autors Džons M. Kenedijs T. (CC BY-SA 3.0)