Forskellen Mellem ISO 27001 Og ISO 27002

2024 Forfatter: Mildred Bawerman | [email protected]. Sidst ændret: 2023-12-16 08:37

ISO 27001 versus ISO 27002

Da ISO 27000 er en række standarder, der er indledt af ISO for at sikre sikkerhed inden for organisationer over hele verden, er det umagen værd at kende forskellen mellem ISO 27001 og ISO 27002, to af standarderne i ISO 27000-serien. Disse standarder er indledt til gavn for organisationerne og også for at levere en kvalitetsservice til kunderne. Denne artikel analyserer forskellene mellem ISO 27001 og ISO 27002.

Hvad er ISO 27001?

ISO 27001-standarden skal sikre informationssikkerhed og databeskyttelse i organisationer verden over. Denne standard er så vigtig for forretningsorganisationer med hensyn til at beskytte deres kunder og fortrolige oplysninger om organisationen mod trusler. Implementering af informationssikkerhedsstyringssystemet vil sikre organisationens kvalitet, sikkerhed, service og produktspålidelighed, der kan beskyttes på sit højeste niveau.

Det primære mål med standarden er at stille krav til etablering, implementering, vedligeholdelse og kontinuerlig forbedring af et informationssikkerhedsstyringssystem (ISMS). I de fleste virksomheder træffes beslutningerne om at vedtage disse typer standarder af den øverste ledelse. Kravet om at have denne form for informationssikkerhedssystem til organisationen opstår også på grund af forskellige faktorer som organisatoriske mål og mål, sikkerhedskrav, organisationens størrelse og struktur osv.

I den tidligere version af standarden i 2005 blev den udviklet baseret på PDCA-cyklus, Plan-Do-Check-Act-model for at strukturere processerne, og det var på en måde at afspejle de principper, der er fastlagt i OECG-retningslinjerne. Den nye version i 2013 lægger vægt på at måle og evaluere effektiviteten af den organisatoriske præstation i ISMS. Det har også inkluderet et afsnit baseret på outsourcing, og der koncentreres mere om informationssikkerheden i organisationer.

Hvad er ISO 27002?

ISO 27002-standarden opstod oprindeligt som ISO 17799-standarden, som er baseret på praksis for informationssikkerhed. Det fremhæver forskellige sikkerhedskontrolmekanismer for organisationer med vejledning i ISO 27001.

Standarden blev etableret på baggrund af forskellige retningslinjer og principper for initiering, implementering, forbedring og vedligeholdelse af informationssikkerhedsstyring i en organisation. Den faktiske kontrol i standarden adresserer specifikke krav gennem en formel risikovurdering. Standarden består af specifikke retningslinjer for udviklingen i organisatoriske sikkerhedsstandarder og effektiv sikkerhedsstyringspraksis, der vil være nyttigt til at opbygge tillid inden for interorganisatoriske aktiviteter.

Den eksisterende version af standarden blev offentliggjort i 2013 som ISO 27002: 2013 med 114 kontrolelementer. Den vigtigste faktor, der skal bemærkes, er, at der gennem årene er udviklet eller er under udvikling en række branchespecifikke versioner af ISO 27002 inden for områder som sundhedssektoren, fremstilling osv.

Hvad er forskellen mellem ISO 27001 og ISO 27002?

• ISO 27001-standarden udtrykker kravene til styring af informationssikkerhed i organisationer og ISO 27002-standarden giver support og vejledning til dem, der er ansvarlige for at igangsætte, implementere eller vedligeholde ISMS (Information Security Management Systems).

• ISO 27001 er en revisionsstandard baseret på revisionskrav, mens ISO 27002 er en implementeringsvejledning baseret på forslag til bedste praksis.

• ISO 27001 inkluderer en liste over styringskontrol til organisationerne, mens ISO 27002 har en liste over operationelle kontroller til organisationerne.

• ISO 27001 kan bruges til at revidere og certificere organisationens informationssikkerhedsstyringssystem, og ISO 27002 kan bruges til at vurdere omfanget af en organisations informationssikkerhedsprogram.

Billedtilskrivning: “CIAJMK1209” af John M. Kennedy T. (CC BY-SA 3.0)