ISO 27001 u odnosu na ISO 27002
Kako je ISO 27000 niz standarda koje je ISO pokrenuo kako bi osigurao sigurnost i zaštitu unutar organizacija širom svijeta, vrijedi znati razliku između ISO 27001 i ISO 27002, dva od standarda u seriji ISO 27000. Ti su standardi pokrenuti u korist organizacija, a također i za pružanje kvalitetne usluge kupcima. Ovaj članak analizira razlike između ISO 27001 i ISO 27002.
Što je ISO 27001?
Norma ISO 27001 osigurava informacijsku sigurnost i zaštitu podataka u organizacijama širom svijeta. Ovaj je standard toliko važan za poslovne organizacije u zaštiti svojih kupaca i povjerljivih podataka organizacije od prijetnji. Provedba sustava upravljanja informacijskom sigurnošću osigurala bi kvalitetu, sigurnost, uslugu i pouzdanost proizvoda organizacije koja se može zaštititi na najvišoj razini.
Primarni cilj standarda je pružiti zahtjeve za uspostavu, primjenu, održavanje i kontinuirano poboljšanje sustava upravljanja informacijskom sigurnošću (ISMS). U većini tvrtki odluke o usvajanju ovih vrsta standarda donosi najviše rukovodstvo. Također, zahtjev za postojanjem ove vrste sustava informacijske sigurnosti za organizaciju nastaje zbog različitih čimbenika poput organizacijskih ciljeva i ciljeva, sigurnosnih zahtjeva, veličine i strukture organizacije, itd.
U prethodnoj verziji standarda 2005. godine razvijen je na temelju PDCA ciklusa, modela Plan-Do-Check-Act kako bi strukturirao procese i koji je bio na način da odražava načela utvrđena smjernicama OECG-a. Nova verzija 2013. naglašava mjerenje i procjenu učinkovitosti organizacijske izvedbe u ISMS-u. Također je uključio odjeljak koji se temelji na vanjskim izvođačima, a veća se pažnja posvećuje sigurnosti informacija u organizacijama.
Što je ISO 27002?
Norma ISO 27002 u početku je nastala kao norma ISO 17799 koja se temelji na kodeksu prakse za informacijsku sigurnost. Istaknuti su različiti mehanizmi sigurnosnog nadzora za organizacije uz smjernice ISO 27001.
Standard je uspostavljen na temelju različitih smjernica i načela za pokretanje, provedbu, poboljšanje i održavanje upravljanja informacijskom sigurnošću u organizaciji. Stvarne kontrole u standardu rješavaju specifične zahtjeve formalnom procjenom rizika. Standard se sastoji od specifičnih smjernica za razvoj organizacijskih sigurnosnih standarda i učinkovite prakse upravljanja zaštitom koje bi bile korisne za izgradnju povjerenja u međuresorne aktivnosti.
Postojeća verzija standarda objavljena je 2013. godine kao ISO 27002: 2013 sa 114 kontrola. Najvažniji čimbenik koji treba napomenuti je da su tijekom godina razvijene ili su u fazi izrade brojne industrijske verzije ISO 27002 u poljima poput zdravstvenog sektora, proizvodnje itd.
Koja je razlika između ISO 27001 i ISO 27002?
• Norma ISO 27001 izražava zahtjeve za upravljanje informacijskom sigurnošću u organizacijama, a norma ISO 27002 pruža podršku i smjernice onima koji su odgovorni u pokretanju, implementaciji ili održavanju Sustava upravljanja informacijskom sigurnošću (ISMS).
• ISO 27001 je revizijski standard zasnovan na zahtjevima koji se mogu provjeriti, dok je ISO 27002 vodič za provedbu zasnovan na prijedlozima najbolje prakse.
• ISO 27001 uključuje popis kontrola upravljanja organizacijama, dok ISO 27002 sadrži popis operativnih kontrola organizacija.
• ISO 27001 može se koristiti za reviziju i certificiranje organizacijskog sustava upravljanja informacijskom sigurnošću, a ISO 27002 za procjenu sveobuhvatnosti programa informacijske sigurnosti organizacije.
Pripisivanje slike: “CIAJMK1209”, John M. Kennedy T. (CC BY-SA 3.0)