当组织决定实施信息安全管理系统时,他们经常想知道ISO 27001和ISO 27002之间有什么区别?简而言之,
ISO 27001培训符合信息安全管理系统标准的要求,而ISO 27002则为旨在获得认证或实施自己的安全流程和控制的组织提供了指南和最佳实践。
ISO / IEC 27001:2013(ISO 27001)是一项国际标准,可帮助组织管理其信息资产的安全性,它提供了一个用于实施ISMS(信息安全管理系统)的管理框架,以确保所有公司数据(例如财务信息,知识产权,员工详细信息或由第三方管理的信息)的机密性,完整性和可用性。
它于2013年由ISO(国际标准化组织)和IEC(国际电工委员会)发布,属于ISO 27000系列标准。它是唯一的国际认可的可认证信息安全标准。
ISO 27001和ISO 27002区别
ISO 27000是一系列与信息安全有关的国际标准,ISO 27001标准关注组织并详细说明了可以审核组织的ISMS(信息安全管理系统)的要求,ISO 27001管理系统标准,因此建立了可以由第三方认可的注册服务机构进行认证的特定要求,如果组织要认证其信息安全管理系统(ISMS),则需要遵守ISO 27001中的所有要求。
另一方面,ISO 27002更加侧重于特定示例,指南,并提供了供组织内个人使用的行为准则,不能通过ISO 27002认证,因为它不是管理系统标准。
相反,它是根据各种准则和原则建立的,用于在组织内启动,实施,改进和维护信息安全管理,该标准中的实际控制措施通过正式的风险评估来满足特定要求,该标准包括针对组织安全标准和有效的安全管理实践的发展的特定准则,这将有助于建立组织间活动的信心。
ISO 27000系列中还有十多个其他标准,旨在帮助公司保护其组织信息,其中包括针对寻求更多有关如何进行风险评估和风险处理的组织的ISO 27005,以及ISO 27004,该指南提供了旨在帮助组织对其信息安全性能及其ISMS有效性进行监控,度量,分析和评估的指南。
ISO 27000系列中的每个标准在设计时都考虑了特定的重点,但是如果您要在组织中建立信息安全的基础并设计其框架,则应使用ISO 27001;否则,您将使用ISO 27001,ISO 27002旨在作为一种工具来帮助组织实施ISO 27001或为希望实施自己的管理准则和控制信息安全的组织提供工具。
