跳到内容
搜索我们的网站
      常见问题

      ISO 27001与ISO 27002:了解差异

      什么是ISO/IEC 27001?

      ISO 27001是关注信息安全的国际标准。ISO/IEC 27001是由国际标准化组织(ISO)和国际电工委员会(IEC)发布的公认的国际标准,旨在通过采用信息安全管理系统,帮助任何规模或行业的组织系统地和经济有效地保护其信息。该标准规定了实施和维护有效的ISMS的要求,以防范信息安全风险。获得ISO/IEC 27001认证的组织加强了保护自己免受网络攻击的能力,并防止对敏感和机密信息的不必要访问。

      什么是ISO 27002?

      ISO 27002是一个补充性标准,关注于组织可能选择实施的信息安全控制。这些控制列在ISO 27001附件A中,您将看到信息安全专家在讨论信息安全控制时提到这些控制。然而,附件A用一两句话概括了每个控件,而ISO 27002平均为每个控件提供了一页。该标准解释了每个控件如何工作、其目标以及如何实现它。

      ISO 27001和ISO 27002有什么不同?

      ISO 27001是国际信息安全管理标准,ISO 27002是指导如何实施信息安全控制的配套标准。注意,只有以“1”结尾的ISO标准才有可能进行认证。

      ISO 27001是如何运作的?

      ISO 27001的主要工作是保护公司的机密性、完整性和信息。通过执行风险评估,您可以确定需要采取什么措施来防止此类问题(即,风险缓解或风险处理)。因此,ISO 27001的核心理念是管理风险,找出风险在哪里,然后通过安全控制(或保障)的实现来处理它们。

      为什么ISO 27001很重要?

      该标准为公司提供了必要的信息,以保护其最有价值的信息。公司也可以获得ISO 27001认证。个人可以通过参加课程、通过考试和证明自己的技能来获得ISO 27001认证。ISO 27001很容易在全球范围内得到认可,为组织和专业人士增加了商机。

      什么时候应该使用每种标准?

      ISO 27001和ISO 27002有不同的目标。如果您开始使用标准或计划ISMS实施框架,那么ISO 27001是理想的选择。一旦确定了要实施的控制措施,您就应该参考ISO 27002,以了解每个控制措施的更多工作原理。

      什么是ISMS?

      资讯保安管理系统(ISMS)是公司需要建立的一套规则:

      • 识别涉众和他们对公司信息安全的期望。
      • 确定存在哪些风险。
      • 定义控制以满足期望并处理风险。
      • 就资讯保安工作的需要,订定清晰的目标。
      • 实施所有控制和其他风险处理方法。
      • 持续测量实现的控制,并确保它们按预期执行。
      • 持续改进,使整个ISMS更好地工作。
        这可以以政策、过程和其他文档的形式记录下来,也可以以未记录的已建立的过程和技术的形式记录下来。
      为什么我们需要ISMS?

      通过实施本标准,公司可以获得四个基本的商业利益:
      • 遵守法律要求——有许多与信息安全相关的法律、法规和合同要求。好消息是,大多数问题都可以通过实施ISO 27001来解决。
      • 获得竞争优势——如果你的公司获得了认证,在那些对保护自己信息安全敏感的客户眼中,你可能比你的竞争对手有优势。
      • 降低成本- ISO 27001的核心理念是防止安全事故。每一个事件,无论大小,都要花钱。通过防止它们,你的公司将节省资金。
      • 更好的组织——快速发展的公司没有时间停下来定义他们的流程和程序;因此,员工往往不知道需要做什么,什么时候做,由谁来做。实施ISO 27001通过鼓励公司写下他们的主要流程来帮助解决这种情况。
      ISO/IEC 27001认证的好处是什么?

      认证其ISMS符合ISO/IEC 27001要求的组织获得了几个显著的好处,包括法规遵从性、系统化方法、降低风险、降低成本和市场优势。

      贵公司如何实施ISO 27001控制?

      技术的控制-主要在信息系统中实现,使用软件、硬件和固件组件。
      组织的控制—通过定义用户、设备、软件和系统要遵循的规则来实现。
      法律控制—通过确保规则遵循和执行组织必须遵守的法律、法规、合同和其他类似法律文件来实施。
      物理控制-通过使用与人和物体进行物理交互的设备或装置来实现。
      人力资源控制-通过向人们提供知识、教育、技能或经验,使他们能够安全地开展活动来实现。

      ISO 27001是强制性的吗?

      在大多数国家,实施ISO 27001不是强制性的,但一些国家已经发布了法规,要求某些行业实施ISO 27001。要确定ISO 27001是否对贵公司是强制性的,您应该在您的运营国家寻求专业的法律建议。

      ISO 27001是法律要求吗?

      公共和私人组织可以将遵守ISO 27001定义为其合同和服务协议中的法律要求。各国可以确定ISO 27001的法律或法规,作为在其领土内运营的组织必须履行的法律要求。

      新的ISO 27002:2022将如何影响ISO 27001?

      ISO 27002:2022中发布的控制集的变化将反映在ISO 27001:2022的附件A中。实施ISO 27001或管理现有ISMS的组织必须在其管理框架中反映对控制集的更改。你不需要马上做出改变,因为会有一个过渡期。

      组织应该在什么时候过渡到新的控制集?

      到目前为止,ISO 27002:2022已经发布,ISO 27001:2022预计将在今年晚些时候发布。一旦新标准发布,我们预计将有大约2年的过渡期,以允许实施变更。认证机构也可能需要一些时间来解释和采用新标准及其控制集的更改。
      Baidu
      map