ISO 27001 vs ISO 27002
Vzhľadom na to, že ISO 27000 je séria noriem, ktoré zaviedla ISO na zaistenie bezpečnosti a ochrany v rámci organizácií na celom svete, stojí za to poznať rozdiel medzi ISO 27001 a ISO 27002, dvoma normami v ISO 27000 séria. Tieto štandardy boli zavedené v prospech organizácií a tiež na poskytovanie kvalitných služieb pre zákazníkov. Tento článok analyzuje rozdiely medzi ISO 27001 a ISO 27002.
Čo je ISO 27001?
Štandard ISO 27001 má zabezpečiť informačnú bezpečnosť a ochranu údajov v organizáciách po celom svete. Tento štandard je pre obchodné organizácie taký dôležitý pri ochrane svojich zákazníkov a dôverných informácií organizácie pred hrozbami. Implementácia systému riadenia informačnej bezpečnosti by zabezpečila kvalitu, bezpečnosť, služby a spoľahlivosť produktov organizácie, ktoré možno zabezpečiť na najvyššej úrovni.
Hlavným cieľom normy je poskytnúť požiadavky na zriadenie, implementáciu, údržbu a neustále zlepšovanie systému riadenia informačnej bezpečnosti (ISMS). Vo väčšine spoločností rozhoduje o prijatí týchto typov noriem vrcholový manažment. Požiadavka mať tento druh systému informačnej bezpečnosti pre organizáciu tiež vzniká v dôsledku rôznych faktorov, ako sú organizačné ciele a ciele, bezpečnostné požiadavky, veľkosť a štruktúra organizácie atď.
V predchádzajúcej verzii štandardu v roku 2005 bol vyvinutý na základe cyklu PDCA, modelu plánuj-rob-kontroluj-konaj na štruktúrovanie procesov, a to spôsobom, ktorý odráža princípy stanovené OECG usmernenia. Nová verzia v roku 2013 kladie dôraz na meranie a vyhodnocovanie efektívnosti výkonnosti organizácie v ISMS. Zahrnula aj časť založenú na outsourcingu a väčšia pozornosť sa venuje informačnej bezpečnosti v organizáciách.
Čo je ISO 27002?
Norma ISO 27002 pôvodne vznikla ako norma ISO 17799, ktorá je založená na kódexe postupov pre bezpečnosť informácií. Zdôrazňuje rôzne bezpečnostné kontrolné mechanizmy pre organizácie podľa pokynov ISO 27001.
Štandard bol vytvorený na základe rôznych smerníc a princípov pre iniciovanie, implementáciu, zlepšovanie a udržiavanie riadenia informačnej bezpečnosti v rámci organizácie. Skutočné kontroly v norme riešia špecifické požiadavky prostredníctvom formálneho hodnotenia rizika. Norma pozostáva zo špecifických usmernení pre vývoj v organizačných bezpečnostných normách a účinných postupoch riadenia bezpečnosti, ktoré by boli užitočné pri budovaní dôvery v rámci medziorganizačných aktivít.
Existujúca verzia normy bola publikovaná v roku 2013 ako ISO 27002:2013 so 114 kontrolami. Najdôležitejším faktorom, ktorý treba poznamenať, je, že v priebehu rokov bolo vyvinutých alebo sa vyvíja množstvo verzií normy ISO 27002 špecifických pre daný priemysel v oblastiach ako zdravotníctvo, výroba atď.
Aký je rozdiel medzi ISO 27001 a ISO 27002?
• Norma ISO 27001 vyjadruje požiadavky na riadenie informačnej bezpečnosti v organizáciách a norma ISO 27002 poskytuje podporu a usmernenia pre tých, ktorí sú zodpovední za iniciovanie, implementáciu alebo údržbu systémov riadenia informačnej bezpečnosti (ISMS).
• ISO 27001 je audítorská norma založená na auditovateľných požiadavkách, zatiaľ čo ISO 27002 je implementačná príručka založená na návrhoch osvedčených postupov.
• ISO 27001 obsahuje zoznam riadiacich kontrol pre organizácie, zatiaľ čo ISO 27002 obsahuje zoznam prevádzkových kontrol pre organizácie.
• ISO 27001 možno použiť na audit a certifikáciu systému riadenia informačnej bezpečnosti organizácie a ISO 27002 možno použiť na posúdenie komplexnosti programu informačnej bezpečnosti organizácie.
Uvedenie zdroja obrázka: „CIAJMK1209“od Johna M. Kennedyho T. (CC BY-SA 3.0)