Unterschied zwischen ISO 27001 und ISO 27002

ISO 27001 gegenüber ISO 27002
 

Da es sich bei ISO 27000 um eine Reihe von Normen handelt, die von ISO zur Gewährleistung der Sicherheit in Unternehmen weltweit initiiert wurden, lohnt es sich, den Unterschied zwischen ISO 27001 und ISO 27002 zu kennen, zwei der Normen der ISO 27000-Reihe. Diese Standards wurden zum Nutzen der Organisationen und zur Erbringung eines Qualitätsservice für die Kunden eingeführt. Dieser Artikel analysiert die Unterschiede zwischen ISO 27001 und ISO 27002.

Was ist ISO 27001??

Die Norm ISO 27001 soll die Informationssicherheit und den Datenschutz in Organisationen weltweit gewährleisten. Dieser Standard ist für Unternehmensorganisationen so wichtig, dass Kunden und vertrauliche Informationen der Organisation vor Bedrohungen geschützt werden. Die Implementierung des Informationssicherheits-Managementsystems würde die Qualität, Sicherheit, Service- und Produktzuverlässigkeit der Organisation gewährleisten, die auf höchstem Niveau gewährleistet werden kann.

Das Hauptziel des Standards besteht darin, Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Information Security Management Systems (ISMS) bereitzustellen. In den meisten Unternehmen werden Entscheidungen über die Übernahme dieser Art von Standards vom Top-Management getroffen. Das Erfordernis eines solchen Informationssicherheitssystems für die Organisation ergibt sich auch aus verschiedenen Faktoren wie Organisationszielen und -zielen, Sicherheitsanforderungen, Größe und Struktur der Organisation usw.

In der Vorgängerversion des Standards im Jahr 2005 wurde er auf der Grundlage des PDCA-Zyklus (Plan-Do-Check-Act-Modell) zur Strukturierung der Prozesse entwickelt, der die in den OECG-Richtlinien festgelegten Grundsätze widerspiegelte. Die neue Version von 2013 betont die Messung und Bewertung der Wirksamkeit der organisatorischen Leistung im ISMS. Es hat auch einen Abschnitt enthalten, der auf Outsourcing basiert, und die Informationssicherheit in Organisationen wird stärker konzentriert.

Was ist ISO 27002??

Die Norm ISO 27002 wurde ursprünglich als Norm ISO 17799 eingeführt, die auf den Verhaltensregeln für Informationssicherheit basiert. Es werden verschiedene Mechanismen zur Kontrolle der Sicherheit von Organisationen anhand der ISO 27001 herausgestellt.

Der Standard wurde auf der Grundlage verschiedener Richtlinien und Prinzipien für die Einleitung, Implementierung, Verbesserung und Aufrechterhaltung des Informationssicherheitsmanagements in einer Organisation erstellt. Die tatsächlichen Kontrollen in der Norm berücksichtigen spezifische Anforderungen durch eine formale Risikobewertung. Der Standard besteht aus spezifischen Richtlinien für die Entwicklung organisatorischer Sicherheitsstandards und effektiven Sicherheitsmanagementpraktiken, die nützlich sein könnten, um Vertrauen in organisationsübergreifende Aktivitäten aufzubauen.

Die bestehende Version des Standards wurde 2013 als ISO 27002: 2013 mit 114 Steuerungen veröffentlicht. Der wichtigste Faktor ist, dass im Laufe der Jahre eine Reihe branchenspezifischer Versionen von ISO 27002 in den Bereichen Gesundheitswesen, verarbeitendes Gewerbe usw. entwickelt wurden oder entwickelt werden.

Was ist der Unterschied zwischen ISO 27001 und ISO 27002??

• Die Norm ISO 27001 bringt die Anforderungen an das Informationssicherheitsmanagement in Organisationen zum Ausdruck. Die Norm ISO 27002 bietet Unterstützung und Anleitung für die Verantwortlichen bei der Initiierung, Implementierung oder Verwaltung von Informationssicherheits-Managementsystemen (ISMS)..

• ISO 27001 ist ein Prüfstandard, der auf auditierbaren Anforderungen basiert, während ISO 27002 ein Implementierungshandbuch ist, das auf Best-Practice-Vorschlägen basiert.

• ISO 27001 enthält eine Liste von Verwaltungssteuerungen für die Organisationen, während ISO 27002 eine Liste von Betriebskontrollen für die Organisationen enthält.

• ISO 27001 kann verwendet werden, um das Information Security Management System einer Organisation zu prüfen und zu zertifizieren. ISO 27002 kann zur Bewertung der Vollständigkeit des Informationssicherheitsprogramms einer Organisation verwendet werden.

Bildzuordnung: “CIAJMK1209" durch John M. Kennedy T. (CC BY-SA 3.0)