ISO 27001 vs. ISO 27002
Da ISO 27000 er en række standarder, der er blevet initieret af ISO for at sikre sikkerhed og tryghed i organisationer verden over, er det værd at kende forskellen mellem ISO 27001 og ISO 27002, to af standarderne i ISO 27000 serie. Disse standarder er iværksat til gavn for organisationerne og også for at yde en kvalitetsservice til kunderne. Denne artikel analyserer forskellene mellem ISO 27001 og ISO 27002.
Hvad er ISO 27001?
ISO 27001-standarden er at sikre informationssikkerhed og databeskyttelse i organisationer over hele verden. Denne standard er så vigtig for erhvervsorganisationer, når de skal beskytte deres kunder og organisationens fortrolige oplysninger mod trusler. Implementering af informationssikkerhedsstyringssystemet vil sikre organisationens kvalitet, sikkerhed, service og produktpålidelighed, som kan sikres på højeste niveau.
Det primære formål med standarden er at stille krav til etablering, implementering, vedligeholdelse og løbende forbedring af et Information Security Management System (ISMS). I de fleste virksomheder træffes beslutninger om at vedtage disse typer standarder af topledelsen. Kravet om at have denne form for informationssikkerhedssystem for organisationen opstår også på grund af forskellige faktorer som organisatoriske mål og målsætninger, sikkerhedskrav, størrelse og struktur af organisationen osv.
I den tidligere version af standarden i 2005 blev den udviklet baseret på PDCA-cyklus, Plan-Do-Check-Act-model til at strukturere processerne, og det var på en måde, der afspejlede principperne opstillet af OECG retningslinier. Den nye version i 2013 lægger vægt på at måle og evaluere effektiviteten af den organisatoriske præstation i ISMS. Den har også inkluderet et afsnit baseret på outsourcing, og der lægges mere vægt på informationssikkerheden i organisationer.
Hvad er ISO 27002?
ISO 27002-standarden blev oprindeligt opstået som ISO 17799-standarden, som er baseret på kodeksen for informationssikkerhed. Den fremhæver forskellige sikkerhedskontrolmekanismer for organisationer med vejledningen i ISO 27001.
Standarden blev etableret baseret på forskellige retningslinjer og principper for igangsættelse, implementering, forbedring og vedligeholdelse af informationssikkerhedsstyring i en organisation. De faktiske kontroller i standarden adresserer specifikke krav gennem en formel risikovurdering. Standarden består af specifikke retningslinjer for udviklingen i organisatoriske sikkerhedsstandarder og effektiv sikkerhedsstyringspraksis, som ville være nyttige til at opbygge tillid inden for tværorganisatoriske aktiviteter.
Den eksisterende version af standarden blev offentliggjort i 2013 som ISO 27002:2013 med 114 kontroller. Den vigtigste faktor, der skal bemærkes, er, at en række branchespecifikke versioner af ISO 27002 i årenes løb er blevet udviklet eller er under udvikling inden for områder som sundhedssektoren, fremstilling osv.
Hvad er forskellen mellem ISO 27001 og ISO 27002?
• ISO 27001-standarden udtrykker kravene til informationssikkerhedsstyring i organisationer, og ISO 27002-standarden giver støtte og vejledning til dem, der er ansvarlige for at initiere, implementere eller vedligeholde Information Security Management Systems (ISMS).
• ISO 27001 er en revisionsstandard baseret på reviderbare krav, mens ISO 27002 er en implementeringsvejledning baseret på forslag til bedste praksis.
• ISO 27001 indeholder en liste over ledelseskontroller til organisationerne, mens ISO 27002 har en liste over operationelle kontroller til organisationerne.
• ISO 27001 kan bruges til at revidere og certificere organisationens informationssikkerhedsstyringssystem, og ISO 27002 kan bruges til at vurdere omfanget af en organisations informationssikkerhedsprogram.
Billedtilskrivning: "CIAJMK1209" af John M. Kennedy T. (CC BY-SA 3.0)
