Differenza tra ISO 27001 e ISO 27002
Share
ISO 27001 vs ISO 27002
Poiché ISO 27000 è una serie di standard che sono stati avviati dall'ISO per garantire la sicurezza e la sicurezza all'interno delle organizzazioni di tutto il mondo, vale la pena conoscere la differenza tra ISO 27001 e ISO 27002, due degli standard della serie ISO 27000. Questi standard sono stati avviati a beneficio delle organizzazioni e anche per fornire un servizio di qualità per i clienti. Questo articolo analizza le differenze tra ISO 27001 e ISO 27002.
Che cos'è ISO 27001?
Lo standard ISO 27001 è quello di garantire la sicurezza delle informazioni e la protezione dei dati nelle organizzazioni di tutto il mondo. Questo standard è così importante per le organizzazioni aziendali nel proteggere i loro clienti e le informazioni riservate dell'organizzazione contro le minacce. L'implementazione del sistema di gestione della sicurezza delle informazioni garantirebbe la qualità, la sicurezza, il servizio e l'affidabilità del prodotto dell'organizzazione che può essere salvaguardata al suo livello più alto.
L'obiettivo principale della norma è quello di fornire i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni (ISMS). Nella maggior parte delle aziende, le decisioni relative all'adozione di questi tipi di standard sono prese dal top management. Inoltre, l'esigenza di disporre di questo tipo di sistema di sicurezza delle informazioni per l'organizzazione deriva da vari fattori come obiettivi e obiettivi organizzativi, requisiti di sicurezza, dimensioni e struttura dell'organizzazione, ecc..
Nella versione precedente dello standard nel 2005, è stato sviluppato sulla base del ciclo PDCA, del modello Plan-Do-Check-Act per strutturare i processi e questo era in un modo di riflettere i principi stabiliti dalle linee guida dell'OCSE. La nuova versione del 2013 sottolinea la misurazione e la valutazione dell'efficacia delle prestazioni organizzative in ISMS. Ha anche incluso una sezione basata sull'esternalizzazione e una maggiore concentrazione è data alla sicurezza delle informazioni nelle organizzazioni.
Che cos'è ISO 27002?
Lo standard ISO 27002 è stato originariamente originato come standard ISO 17799 che si basa sul codice di pratica per la sicurezza delle informazioni. Mette in evidenza vari meccanismi di controllo della sicurezza per le organizzazioni con la guida ISO 27001.
Lo standard è stato stabilito sulla base di varie linee guida e principi per l'avvio, l'implementazione, il miglioramento e il mantenimento della gestione della sicurezza delle informazioni all'interno di un'organizzazione. I controlli effettivi nei requisiti specifici di indirizzo standard attraverso una valutazione formale dei rischi. Lo standard è costituito da linee guida specifiche per gli sviluppi negli standard di sicurezza organizzativa e pratiche di gestione della sicurezza efficaci che sarebbero utili per costruire la fiducia all'interno delle attività inter-organizzative.
La versione esistente dello standard è stata pubblicata nel 2013 come ISO 27002: 2013 con 114 controlli. Il fattore più importante da notare è che nel corso degli anni sono state sviluppate o sono in fase di sviluppo diverse versioni specifiche del settore ISO 27002 in settori quali il settore sanitario, la produzione, ecc..
Qual è la differenza tra ISO 27001 e ISO 27002?
• Lo standard ISO 27001 esprime i requisiti per la gestione della sicurezza delle informazioni nelle organizzazioni e lo standard ISO 27002 fornisce supporto e guida per coloro che sono responsabili dell'avvio, dell'implementazione o del mantenimento dei sistemi di gestione della sicurezza delle informazioni (ISMS).
• ISO 27001 è uno standard di revisione basato su requisiti verificabili, mentre ISO 27002 è una guida all'implementazione basata sui suggerimenti delle migliori pratiche.
• ISO 27001 include un elenco di controlli di gestione per le organizzazioni mentre ISO 27002 ha un elenco di controlli operativi per le organizzazioni.
• ISO 27001 può essere utilizzato per controllare e certificare il sistema di gestione della sicurezza delle informazioni dell'organizzazione e ISO 27002 può essere utilizzato per valutare l'esaustività del programma di sicurezza delle informazioni di un'organizzazione.
Attribuzione dell'immagine: "CIAJMK1209"Di John M. Kennedy T. (CC BY-SA 3.0)
