ISO 27001 mot ISO 27002
Siden ISO 27000 er en serie standarder som er initiert av ISO for å sikre sikkerhet i organisasjonene over hele verden, er det verdt å vite forskjellen mellom ISO 27001 og ISO 27002, to av standardene i ISO 27000-serien. Disse standardene er igangsatt til fordel for organisasjonene og også for å tilby kvalitetsservice for kundene. Denne artikkelen analyserer forskjellene mellom ISO 27001 og ISO 27002.
Hva er ISO 27001?
ISO 27001-standarden skal sikre informasjonssikkerhet og databeskyttelse i organisasjoner over hele verden. Denne standarden er så viktig for forretningsorganisasjoner når det gjelder å beskytte sine kunder og konfidensiell informasjon om organisasjonen mot trusler. Implementering av styringssystemet for informasjonssikkerhet vil sikre kvalitet, sikkerhet, service og produktsikkerhet i organisasjonen som kan ivaretas på sitt høyeste nivå.
Hovedmålet med standarden er å stille krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av et informasjonssikkerhetsstyringssystem (ISMS). I de fleste selskapene tas beslutningene om å vedta denne typen standarder av toppledelsen. Også kravet om å ha denne typen informasjonssikkerhetssystem for organisasjonen oppstår på grunn av ulike faktorer som organisatoriske mål og mål, sikkerhetskrav, størrelse og struktur på organisasjonen, etc.
I den forrige versjonen av standarden i 2005 ble den utviklet basert på PDCA-syklus, Plan-Do-Check-Act-modell for å strukturere prosessene, og som var på en måte å gjenspeile prinsippene i OECG-retningslinjene. Den nye versjonen i 2013 legger vekt på å måle og evaluere effektiviteten av organisasjonsytelsen i ISMS. Det har også inkludert en seksjon basert på outsourcing, og mer konsentrasjon blir gitt til informasjonssikkerheten i organisasjoner.
Hva er ISO 27002?
ISO 27002-standarden stammer opprinnelig fra ISO 17799-standarden, som er basert på retningslinjene for informasjonssikkerhet. Den fremhever ulike sikkerhetskontrollmekanismer for organisasjoner med ledelse av ISO 27001.
Standarden ble etablert basert på ulike retningslinjer og prinsipper for å initiere, implementere, forbedre og vedlikeholde informasjonssikkerhetsstyring i en organisasjon. De faktiske kontrollene i standarden adresserer spesifikke krav gjennom en formell risikovurdering. Standarden består av spesifikke retningslinjer for utviklingen i organisatoriske sikkerhetsstandarder og effektiv sikkerhetsadministrasjonspraksis som vil være nyttig for å bygge tillit innenfor interorganisatoriske aktiviteter.
Den eksisterende versjonen av standarden ble publisert i 2013 som ISO 27002: 2013 med 114 kontroller. Den viktigste faktoren å merke seg er at det gjennom årene har blitt utviklet eller er under utvikling en rekke bransjespesifikke versjoner av ISO 27002 innen områder som helsesektoren, produksjon, etc.
Hva er forskjellen mellom ISO 27001 og ISO 27002?
• ISO 27001-standarden uttrykker kravene til informasjonssikkerhetsadministrasjon i organisasjoner og ISO 27002-standarden gir støtte og veiledning for de som er ansvarlige for å initiere, implementere eller vedlikeholde ISMS (Information Security Management Systems).
• ISO 27001 er en revisjonsstandard basert på reviderbare krav, mens ISO 27002 er en implementeringsveiledning basert på beste praksisforslag.
• ISO 27001 inneholder en liste over ledelseskontroller til organisasjonene mens ISO 27002 har en liste over operasjonelle kontroller til organisasjonene.
• ISO 27001 kan brukes til å revidere og sertifisere organisasjonens informasjonssikkerhetsstyringssystem, og ISO 27002 kan brukes til å vurdere omfanget av organisasjonens informasjonssikkerhetsprogram.
Bildetilskrivning: “CIAJMK1209” av John M. Kennedy T. (CC BY-SA 3.0)
