ISO 27001 ir ISO 27002
Kadangi ISO 27000 yra serija standartų, kuriuos ISO inicijavo, kad užtikrintų saugumą ir saugumą organizacijose visame pasaulyje, verta žinoti skirtumą tarp ISO 27001 ir ISO 27002, dviejų iš ISO 27000 serijos standartų. Šie standartai buvo sukurti organizacijų naudai, taip pat siekiant teikti kokybiškas paslaugas klientams. Šiame straipsnyje analizuojami skirtumai tarp ISO 27001 ir ISO 27002.
Kas yra ISO 27001?
ISO 27001 standartas turi užtikrinti informacijos saugumą ir duomenų apsaugą organizacijose visame pasaulyje. Šis standartas yra labai svarbus verslo organizacijoms apsaugant savo klientus ir konfidencialią organizacijos informaciją nuo grėsmių. Įdiegus informacijos saugumo valdymo sistemą būtų užtikrinta organizacijos kokybė, sauga, paslaugų ir produktų patikimumas, kurį galima užtikrinti aukščiausiu lygiu.
Pagrindinis standarto tikslas yra pateikti informacijos saugumo valdymo sistemos (ISMS) sukūrimo, diegimo, palaikymo ir nuolatinio tobulinimo reikalavimus. Daugumoje bendrovių sprendimus priimti tokio tipo standartus priima aukščiausioji vadovybė. Taip pat reikalavimas turėti tokios rūšies informacijos saugumo sistemą organizacijai kyla dėl įvairių veiksnių, tokių kaip organizacijos tikslai ir uždaviniai, saugumo reikalavimai, organizacijos dydis ir struktūra ir kt.
Ankstesnėje 2005 m. Standarto versijoje jis buvo sukurtas remiantis PDCA ciklu, „Plan-Do-Check-Act“modeliu, siekiant struktūrizuoti procesus, ir tai atspindėjo OECG gairėse išdėstytus principus. Naujoje 2013 m. Versijoje pabrėžiamas organizacijos veiklos ISMS efektyvumo matavimas ir vertinimas. Jame taip pat buvo skyrius, pagrįstas užsakomosiomis paslaugomis, ir daugiau dėmesio skiriama informacijos saugumui organizacijose.
Kas yra ISO 27002?
Iš pradžių ISO 27002 standartas buvo sukurtas kaip ISO 17799 standartas, pagrįstas informacijos saugumo praktikos kodeksu. Jame pabrėžiami įvairūs organizacijų saugumo kontrolės mechanizmai, vadovaujantis ISO 27001.
Standartas buvo sukurtas remiantis įvairiomis informacijos saugumo valdymo inicijavimo, įgyvendinimo, tobulinimo ir palaikymo organizacijoje gairėmis ir principais. Faktinė kontrolė standarte atitinka specifinius reikalavimus atliekant oficialų rizikos vertinimą. Standartą sudaro konkrečios organizacijos saugos standartų raidos gairės ir efektyvi saugumo valdymo praktika, kuri būtų naudinga stiprinant pasitikėjimą tarporganizacine veikla.
Esama standarto versija buvo paskelbta 2013 m. Kaip ISO 27002: 2013 su 114 valdikliais. Svarbiausias faktorius, į kurį reikia atkreipti dėmesį, yra tai, kad bėgant metams buvo sukurta arba kuriama keletas pramonės šakai pritaikytų ISO 27002 versijų tokiose srityse kaip sveikatos sektorius, gamyba ir kt.
Kuo skiriasi ISO 27001 ir ISO 27002?
• ISO 27001 standartas išreiškia informacijos saugumo valdymo organizacijose reikalavimus, o ISO 27002 standartas teikia paramą ir rekomendacijas tiems, kurie yra atsakingi už informacijos saugumo valdymo sistemų (ISMS) inicijavimą, diegimą ar palaikymą.
• ISO 27001 yra audito standartas, pagrįstas audituojamais reikalavimais, o ISO 27002 yra įgyvendinimo vadovas, pagrįstas geriausios praktikos pasiūlymais.
• ISO 27001 apima valdymo valdymo organizacijoms sąrašą, o ISO 27002 - organizacijos valdymo kontrolės sąrašą.
• ISO 27001 gali būti naudojamas audituojant ir patvirtinant organizacijos informacijos saugumo valdymo sistemą, o ISO 27002 - norint įvertinti organizacijos informacijos saugumo programos visapusiškumą.
Vaizdo priskyrimas: John M. Kennedy T. (CC BY-SA 3.0) „CIAJMK1209“.