ISO/IEC 27001 和 ISO/IEC 27002认证几乎没有区别,主要区别在于
ISO 27002 更加精确和详细,现在的问题是,当 ISO 27002 涵盖所有内容时,为什么还需要 ISO 27001?
首先,组织不能通过 ISO 27002 认证,认证需要管理标准,而 ISO 27002不是管理标准,在这里,解释了 ISO 27001 和 ISO 27002 是什么以及它们之间的主要区别,至关重要的是,我们提供了有关何时应使用其中每一项的指导。
ISO/IEC 27001 是信息安全管理系统 (ISMS) 的规范或认证,
ISMS 是一个包含一系列政策和程序的框架,包括组织信息风险管理过程中涉及的物理、技术和法律控制。
该文件称,制定 ISO 27001 的目的是为规划、实施、监控、操作、审查和改进 ISMS 提供框架,本规范使用自上而下的风险管理方法,它定义了一个六步规划过程:
1. 引入安全策略
2. 了解 ISMS 的范围
3. 进行风险评估
4. 管理和减轻已识别的风险
5. 选择控制方法及其目标
6. 准备一份适用性声明。
该框架包括管理责任、持续改进、内部审计以及预防和纠正行动计划。此外,该标准要求组织的所有部门之间进行合作。
相关:ISO 27001 解释:什么是 ISO 27007?ISO 27001 标准不强制执行特定的信息安全控制;事实上,它提供了一个必须考虑实施的控制清单。
ISO 27002认证
ISO 27002 描述了一组详细的信息安全控制目标,并建立了安全控制的良好实践,例如,ISO 27002 规定:
信息安全政策必须由组织的最高领导层指导,并详细介绍给所有员工。
全职员工和合同员工都必须意识到他们在保护组织信息方面的作用,员工应在受雇之前、期间和之后行使这些责任。
必须确定物理和信息资产,以确保应用适当的保护级别。
为了防止未经授权的访问,必须限制数据和存储设施的访问,员工需要负责保护他们的身份验证信息。
必须通过制定政策和程序来保护信息,以满足法律、法规和监管义务。
许多企业以 ISO/IEC 27002 详述的方式部署了广泛的 ISO 27001 信息安全相关控制,对于组织而言,按照 ISO/IEC 27002 构建其信息安全控制基础架构可能是有益的,因为:
最大限度地减少任何重叠和覆盖差距;
ISO/IEC 27002 与备受推崇的全球标准相得益彰;
任何熟悉 ISO/IEC 标准的人都可以轻松识别;
ISO 27001 和 27002:控件之间的主要区别
ISO/IEC 27001 标准详细说明了 ISMS 规范,相比之下,ISO/IEC 27002 是一份最佳实践指导文件,描述了组织如何应用政策来确保合规性。
另一个关键区别是细节,虽然 ISO 27001 的“附件 A”概述了 14 项安全控制,但 ISO27002 为每个安全控制专门开辟了一页,涵盖了每个控制的目标、其工作原理以及如何实施。
综上所述,ISO 27001 和 27002 的区别在于:
详细- ISO 27001概括了每个控件。它可能会提供一些关于附加标准的具体建议,例如 ISO 27002。其他标准包括ISO 27003,涵盖 ISMS 实施指南(即 领导、规划、运营)和ISO 27004,详细说明 ISMS 监控、测量、分析和评估。
认证 – ISO 27001 是一项管理标准。因此,组织只能根据 ISO 27001 标准进行认证,作为管理标准,ISO 27001 提供了合规要求的详细列表。另一方面,ISO27002 提供了关于信息安全控制的最佳实践指南。
适用性 –在实施 ISMS 时,您需要确定任何不适用于您的公司或业务的信息安全控制措施。ISO 27001 通过指定需要进行风险评估来确定需要哪些信息安全控制来解决这个问题,ISO 27002 规定了信息安全控制目标,提供了实现这些目标的最佳实践方法。因此,ISO 27002 是对 ISO 27001 的补充,对于确定适用于贵组织的每项控制措施,ISO 27002 都将提供必要的实施指南。
应该使用哪个标准
如果您想在您的组织内建立一个强大的信息安全框架,ISO 27001 将以您需要达到的要求的形式提供标准;标准定义了如何运行系统,在 ISO 27001:2013 的情况下,ISMS 是管理标准。
如果没有ISO 27002 中提供的细节,就无法实施 ISO 27001,但是,ISO 27001 的管理框架将始终与 ISO 27002 不同。
作为一项咨询标准,ISO/IEC 27002 旨在根据其特定的信息安全风险对所有类型和规模的组织进行解释和应用,这种灵活性提供了大量机会以您的组织独有的方式采用ISO 27001 信息安全控制。