Każdy, kto jest zainteresowany zapewnieniem bezpieczeństwa informacji w swojej organizacji, napotka na normę ISO/IEC 27001. To międzynarodowy standard, który opisuje najlepsze praktyki dla systemu zarządzania bezpieczeństwem informacji (ISMS).
Standard ISO/IEC 27002, choć bardzo przydatny może nie być równie znany. Stanowi on dodatkową normę, zawierającą porady jak wdrażać mechanizmy kontroli bezpieczeństwa wymienione w załączniku A do normy ISO/IEC 27001.
Pomimo tego, że ISO/IEC 27001 jest bardziej znanym standardem, nie może być jednak rozpatrywany oddzielnie. Poniższy wpis wyjaśnia, czym jest to spowodowane oraz pomoże zrozumieć, jak działa każdy z tych standardów i jakie są między nimi różnice.
ISO/IEC 27001 jest kluczowym elementem serii ISO 27000, będącej zbiorem dokumentów odnoszących się do różnych aspektów zarządzania bezpieczeństwem informacji.
Standard zawiera wymagania dotyczące procesu implementacji systemów zarządzania bezpieczeństwem informacji - zasadnicze przeglądy wszystkich działań, które muszą zostać wykonane, aby osiągnąć zgodność z wymaganiami.
Jest to szczególnie przydatne na początku wdrażania systemu lub jeśli poszukiwane są ogólne porady, a jeszcze nie jest możliwe podjęcie decyzji o implementacji standardu na pełną skalę.
Aby spełnić wymagania normy, organizacje muszą:
Norma ISO/IEC 27002 jest dodatkowym standardem który może być wdrożony przez firmy, koncentruje się on na kontroli bezpieczeństwa informacji.
Mechanizmy kontrolne które opisuje, są wymienione w załączniku A do ISO/IEC 27001. Jednakże w załączniku A każdy mechanizm kontroli przedstawiono w jednym lub dwóch zdaniach, natomiast ISO/IEC 27002 poświęca średnio jedną stronę na każdy mechanizm. Dlatego eksperci ds. bezpieczeństwa informacji często odnoszą się do tego standardu podczas omawiania zagadnień kontroli bezpieczeństwa informacji.
Standard ISO/IEC 27002 wyjaśnia, jak działa każdy mechanizm kontroli, jaki jest jego cel i jak można go zaimplementować.
Istnieją trzy główne różnice między ISO/IEC 27001 a ISO/IEC 27002:
Gdyby ISO/IEC 27001 tak zagłębiało się w szczegóły jak /IEC 27002, byłby to niepotrzebnie długi i skomplikowany dokument.
Zamiast tego zawiera zarys każdego aspektu ISMS, ze szczególnymi poradami znajdującymi się w dodatkowych standardach. ISO/IEC 27002 jest tylko jednym z nich. Na przykład ISO/IEC 27003 obejmuje wytyczne dotyczące wdrażania systemu zarządzania bezpieczeństwem informacji, a ISO/IEC 27004 obejmuje monitorowanie, pomiary, analizy i ocenę ISMS.
Standard ISO/IEC 27001 w przeciwieństwie do ISO/IEC 27002 podlega certyfikacji. To dlatego, że ISO/IEC 27001 jest standardem zarządzania, który zapewnia pełną listę wymagań w zakresie uzyskania zgodności. Natomiast dodatkowe normy, takie jak ISO/IEC 27002 dotyczą jednego konkretnego aspektu ISMS.
Przy wdrażaniu ISMS, aspektem który trzeba wziąć pod uwagę jest to, że nie wszystkie mechanizmy kontrolne bezpieczeństwa informacji będą miały zastosowanie w Twojej organizacji.
ISO/IEC 27001 precyzuje, że wszystkie organizacje powinny przeprowadzać ocenę ryzyka w celu zidentyfikowania i nadania priorytetu zagrożeniom bezpieczeństwa informacji. ISO/IEC 27002 nie uwzględnia tego aspektu, więc wdrożenie samego ISO/IEC 27002 byłoby praktycznie niewykonalne, ze względu na konieczność określenia, które zabezpieczenia powinny zostać wdrożone w Twojej organizacji.
ISO/IEC 27001 i ISO/IEC 27002 mają różne cele i będą pomocne w różnych okolicznościach.
Jeśli dopiero rozpoczynasz pracę ze Standardami, lub opracowujesz zarys wdrożenia ISMS, ISO/IEC 27001 jest idealnym rozwiązaniem.
Po zidentyfikowaniu mechanizmów kontrolnych, które mają zostać wdrożone, należy odwołać się do ISO/IEC 27002, aby dowiedzieć się więcej o tym, jak każdy z nich działa.
Możesz dowiedzieć się więcej o tym, jak wdrożyć najlepsze praktyki ISMS zapisując się na nasze szkolenia.
Stanowią one kompleksowe wprowadzenie do kluczowych elementów, które są wymagane do uzyskania zgodności z normą ISO/IEC 27001 oraz ISO/IEC 27002.
Więcej informacji na stronie Szkolenia ISOQAR