Pretože norma ISO 27000 je radom noriem, ktoré zaviedla organizácia ISO na zabezpečenie bezpečnosti a zabezpečenia v rámci organizácií na celom svete, je dobré poznať rozdiel medzi normami ISO 27001 a ISO 27002, dvoma z noriem v sérii ISO 27000. Tieto normy boli zavedené v prospech organizácií a tiež na poskytovanie kvalitných služieb zákazníkom. Tento článok analyzuje rozdiely medzi ISO 27001 a ISO 27002.
Norma ISO 27001 má zabezpečiť informačnú bezpečnosť a ochranu údajov v organizáciách na celom svete. Táto norma je taká dôležitá pre obchodné organizácie pri ochrane svojich zákazníkov a dôverných informácií organizácie pred hrozbami. Implementácia systému riadenia informačnej bezpečnosti by zabezpečila kvalitu, bezpečnosť, spoľahlivosť služieb a výrobkov organizácie, ktorá môže byť zabezpečená na najvyššej úrovni..
Hlavným cieľom normy je poskytnúť požiadavky na zriadenie, implementáciu, údržbu a neustále zlepšovanie systému riadenia informačnej bezpečnosti (ISMS). Vo väčšine spoločností prijíma rozhodnutia o prijatí týchto typov noriem vrcholový manažment. Tiež požiadavka mať tento druh informačného bezpečnostného systému pre organizáciu vzniká v dôsledku rôznych faktorov, ako sú ciele a ciele organizácie, bezpečnostné požiadavky, veľkosť a štruktúra organizácie atď..
V predchádzajúcej verzii normy v roku 2005 bola vyvinutá na základe cyklu PDCA, modelu Plan-Do-Check-Act na štruktúrovanie procesov, a to spôsobom, ktorý odrážal zásady stanovené v usmerneniach OECG. Nová verzia v roku 2013 zdôrazňuje meranie a hodnotenie efektívnosti organizačného výkonu v ISMS. Zahŕňala aj oddiel založený na outsourcingu a väčšia pozornosť sa venuje bezpečnosti informácií v organizáciách.
Norma ISO 27002 bola pôvodne vytvorená ako norma ISO 17799, ktorá je založená na kódexe bezpečnosti informácií. Zdôrazňuje rôzne mechanizmy kontroly bezpečnosti pre organizácie pod vedením normy ISO 27001.
Norma bola vytvorená na základe rôznych usmernení a zásad pre iniciáciu, implementáciu, zlepšovanie a udržiavanie riadenia informačnej bezpečnosti v organizácii. Skutočné kontroly v norme sa zaoberajú konkrétnymi požiadavkami prostredníctvom formálneho posúdenia rizika. Norma pozostáva zo špecifických usmernení týkajúcich sa vývoja štandardov organizačnej bezpečnosti a účinných postupov riadenia bezpečnosti, ktoré by boli užitočné pri budovaní dôvery v rámci medzi organizačných činností..
Existujúca verzia normy bola uverejnená v roku 2013 ako ISO 27002: 2013 so 114 kontrolami. Najdôležitejším faktorom, ktorý treba poznamenať, je, že v priebehu rokov bolo vyvinutých alebo vyvíjaných množstvo priemyselných verzií ISO 27002 v oblastiach ako zdravotníctvo, výroba atď..
• Norma ISO 27001 vyjadruje požiadavky na riadenie informačnej bezpečnosti v organizáciách a norma ISO 27002 poskytuje podporu a usmernenie tým, ktorí sú zodpovední za iniciáciu, implementáciu alebo údržbu systémov riadenia informačnej bezpečnosti (ISMS)..
• ISO 27001 je audítorská norma založená na auditovateľných požiadavkách, zatiaľ čo ISO 27002 je implementačná príručka založená na návrhoch osvedčených postupov..
• ISO 27001 obsahuje zoznam riadiacich kontrol organizácií, zatiaľ čo ISO 27002 obsahuje zoznam prevádzkových kontrol organizácií.
• ISO 27001 sa môže použiť na audit a certifikáciu systému riadenia informačnej bezpečnosti organizácie a ISO 27002 sa môže použiť na posúdenie komplexnosti programu informačnej bezpečnosti organizácie..
Priradenie obrázka: “CIAJMK1209” od John M. Kennedy T. (CC BY-SA 3.0)