ISO 27001 vs ISO 27002
Pretože ISO 27000 je rad noriem, ktoré boli iniciované ISO s cieľom zaistiť bezpečnosť a ochranu v organizáciách na celom svete, je užitočné poznať rozdiel medzi ISO 27001 a ISO 27002, dvoma z noriem v rade ISO 27000. Tieto štandardy boli zavedené v prospech organizácií a tiež pre poskytovanie kvalitných služieb zákazníkom. Tento článok analyzuje rozdiely medzi ISO 27001 a ISO 27002.
Čo je ISO 27001?
Normou ISO 27001 je zabezpečiť informačnú bezpečnosť a ochranu údajov v organizáciách na celom svete. Tento štandard je pre obchodné organizácie taký dôležitý pri ochrane svojich zákazníkov a dôverných informácií organizácie pred hrozbami. Implementácia systému riadenia informačnej bezpečnosti by zabezpečila kvalitu, bezpečnosť, servis a spoľahlivosť produktu organizácie, ktorú je možné zabezpečiť na najvyššej úrovni.
Primárnym cieľom normy je poskytnúť požiadavky na zriadenie, implementáciu, údržbu a neustále zlepšovanie systému riadenia bezpečnosti informácií (ISMS). Vo väčšine spoločností prijíma rozhodnutia o prijatí týchto typov štandardov vrcholový manažment. Tiež požiadavka mať tento druh informačného bezpečnostného systému pre organizáciu vzniká v dôsledku rôznych faktorov, ako sú organizačné ciele a úlohy, bezpečnostné požiadavky, veľkosť a štruktúra organizácie atď.
V predchádzajúcej verzii normy v roku 2005 bol vyvinutý na základe cyklu PDCA, modelu Plan-Do-Check-Act, aby sa štruktúrovali procesy, a to spôsobom, ktorý odráža zásady stanovené v pokynoch OECG. Nová verzia v roku 2013 kladie dôraz na meranie a hodnotenie efektívnosti výkonnosti organizácie v ISMS. Zahrnula tiež časť založenú na outsourcingu a väčšia pozornosť sa venuje informačnej bezpečnosti v organizáciách.
Čo je ISO 27002?
Norma ISO 27002 pôvodne vznikla ako norma ISO 17799, ktorá je založená na kódexe informačnej bezpečnosti. Zdôrazňuje rôzne mechanizmy riadenia bezpečnosti pre organizácie s vedením ISO 27001.
Tento štandard bol stanovený na základe rôznych usmernení a princípov pre začatie, implementáciu, zlepšenie a udržanie riadenia bezpečnosti informácií v organizácii. Skutočné kontroly v norme sa zaoberajú konkrétnymi požiadavkami prostredníctvom formálneho posúdenia rizika. Norma pozostáva z konkrétnych pokynov pre vývoj štandardov zabezpečenia organizácie a efektívnych postupov riadenia bezpečnosti, ktoré by boli užitočné pri budovaní dôvery v medziregionálne činnosti.
Existujúca verzia normy bola publikovaná v roku 2013 ako ISO 27002: 2013 so 114 ovládacími prvkami. Najdôležitejším faktorom, ktorý je potrebné poznamenať, je, že v priebehu rokov bolo vyvinutých alebo je vyvíjaných niekoľko priemyselných verzií ISO 27002 v oblastiach ako zdravotníctvo, výroba atď.
Aký je rozdiel medzi ISO 27001 a ISO 27002?
• Norma ISO 27001 vyjadruje požiadavky na riadenie informačnej bezpečnosti v organizáciách a norma ISO 27002 poskytuje podporu a poradenstvo pre tých, ktorí sú zodpovední za iniciovanie, implementáciu alebo údržbu systémov riadenia informačnej bezpečnosti (ISMS).
• ISO 27001 je audítorská norma založená na auditovateľných požiadavkách, zatiaľ čo ISO 27002 je implementačná príručka založená na návrhoch najlepších postupov.
• ISO 27001 obsahuje zoznam kontrol riadenia pre organizácie, zatiaľ čo ISO 27002 obsahuje zoznam prevádzkových kontrol organizácií.
• ISO 27001 sa môže použiť na audit a certifikáciu systému riadenia bezpečnosti informácií organizácie a ISO 27002 sa môže použiť na hodnotenie komplexnosti programu informačnej bezpečnosti organizácie.
Image Attribution: “CIAJMK1209” by John M. Kennedy T. (CC BY-SA 3.0)