ISO 27001 信息安全管理体系—要求
ISO 27002 信息技术—安全技术—信息安全管理实践规
ISO 27018是基于ISO 27002标准和ISO 27001标准的延伸。
ISO 27018 则是提出比较多新增安全控制。
什么是 ISO 27018?
ISO 27018更着重于个人隐私数据保护,基于ISO 27002的基础上,延伸定义新增个人资料的隐私保护。
ISO 27018于2014-8-1正式公布。
ISO 27001/ISO 27002与ISO 27018 标准的差异部分:
ISO 27001/ISO 27002 标准
|
ISO 27018 标准额外增加的差异
|
A5 信息安全方针
|
中
|
A6 信息安全组织
|
低
|
A7 人力资源安全
|
低
|
A8 资产管理
|
低
|
A9 访问控制
|
低
|
A10 密码学
|
低
|
A11 物理和环境安全
|
低
|
A12 操作安全
|
高
|
A13 通信安全
|
低
|
A14 信息系统获取、开发和维护
|
低
|
A15 供应商关系
|
低
|
A16 信息安全事件管理
|
中
|
A17 信息安全方面业务连续性管理
|
低
|
A18 符合性
|
中
|
ISO 27001 or ISO 27018?
ISO 27001因为是最基础的规范,所以在进行 ISO 27018之前,必须先经过基本的ISO 27001认证。
基于ISO 27001 认证基础下,可以思考额外包含:
ISO 27018 : 如果公司预计提供云端服务,相关云端维运的安全控制措施
从市场营销的观点来看,ISO 27001是可以获得一个认证,因此容易得到客户的认可。
从信息安全来看,ISO 27018更偏重于信息安全管制措施。