跳到内容
搜索我们的网站
      常见问题

      ISO 27001和ISO 27002:理解的差异

      ISO / IEC 27001是什么?

      ISO 27001是国际标准专注于信息安全。ISO / IEC 27001是公认的国际标准由国际标准化组织(ISO)和国际电工委员会(IEC),用来帮助任何规模的组织或行业保护他们的信息系统,通过采用成本效益的信息安全管理体系。标准的指定要求,实现和维护一个有效的主义防范信息安全风险。实现ISO / IEC 27001认证的组织加强保护自己免受网络攻击的能力,防止不必要的访问敏感和机密信息。

      ISO 27002是什么?

      ISO 27002是一个补充标准关注信息安全控制,组织可能选择实现。附件中列出的ISO 27001,这些控制是你看到的信息安全专家指当讨论信息安全控制。然而,而附件概述每个控制在一个或两个句子,ISO 27002投入平均每控制一页。标准的解释每个控件是如何工作的,它的目标,以及如何实现它。

      ISO 27001和ISO 27002的区别是什么?

      ISO 27001是国际信息安全管理标准和ISO 27002是一个支持标准,指导如何实现信息安全控制。注意只能证明ISO标准,结束在一个“1”。

      ISO 27001是如何工作的呢?

      ISO 27001的主要工作是保护公司的机密性、完整性和信息。通过执行风险评估,可以确定需要做什么来防止这种问题(即。风险,风险缓解或治疗)。因此,ISO 27001的核心哲学是管理风险,发现的风险在哪里,然后把它们通过安全控制的实现(或措施)。

      ISO 27001为什么重要?

      的标准为公司提供了必要的信息保护他们最有价值的信息。公司也可以对ISO 27001认证。个人可以通过参加一个ISO 27001 -认证课程,通过考试,证明他们的技能。ISO 27001很容易认识到在全球范围内,增加商业机会对组织和专业人士。

      当你会使用每个标准吗?

      ISO 27001和ISO 27002有不同的目标。如果你从标准或计划主义实现框架,然后ISO 27001是理想的。你应该参考ISO 27002一旦你确定了控制你会实现更多地了解每个人是如何工作的。

      主义是什么?

      信息安全管理系统(主义)是公司需要建立一套规则:

      • 识别利益相关者,他们持有的预期该公司关于信息安全。
      • 识别哪些风险存在。
      • 定义控制达到预期和处理风险。
      • 设定清晰的目标与信息安全需要做什么。
      • 实现了所有的控制和其他风险处理方法。
      • 连续测量控制和确保他们执行如预期实现。
      • 改进使整个主义更好的工作。
        这可以写的政策,程序,和其他文件的形式或没有被记录的过程和技术。
      为什么我们需要主义吗?

      有四个基本的公司商业利益可以达到这个标准的实现:
      • 符合法律的要求——有许多法律、法规和合同相关信息安全需求。好消息是,大部分可以通过实施ISO 27001来解决。
      • 实现竞争优势——如果你的公司注册,你可以比你的竞争对手有优势的那些敏感的客户保持他们的信息安全。
      • 降低成本——ISO 27001的核心理念就是防止安全事故。每一个事件,无论大或小,成本钱。通过阻止他们,你的公司会省钱。
      • 更好的组织——快速增长的公司没有时间停下来定义过程和程序;因此,员工经常不知道需要做什么,什么时候,由谁。实施ISO 27001帮助解决这种情况下通过鼓励公司写下他们的主要过程。
      ISO / IEC 27001认证的好处是什么?

      证明他们的主义的组织ISO / IEC 27001的要求获得几个显著的好处,包括法规遵从性、系统的方法,减少风险,降低成本,和市场优势。

      如何实施ISO 27001控制?

      技术的控制——主要是在信息系统中实现,使用软件,硬件和固件组件。
      组织的控制——通过定义规则实现是紧随其后的是用户、设备、软件和系统。
      法律控制——通过确保规则实现遵循和执行法律、法规、合同和其他类似组织必须符合法律文书。
      物理控制——实现通过使用设备或设备与人交互的身体和对象。
      人力资源控制——通过提供实现人与知识、教育、技能和经验,使他们安全地执行他们的活动。

      ISO 27001是强制的吗?

      在大多数国家,实施ISO 27001不是强制性的,但有些国家出版法规要求一些行业实施ISO 27001。确定是否为贵公司ISO 27001是强制性的,你应该找专家贵国法律建议的操作。

      ISO 27001是一个法律要求吗?

      公共和私人组织可以定义符合ISO 27001作为一个法律要求在他们的合同和服务协议。国家可以决定法律、法规ISO 27001的法律要求实现的组织在他们的领土。

      新的ISO 27002:2022将如何影响ISO 27001吗?

      更改控制设置发表在ISO 27002:2022 ISO 27001:2022将反映在附件。组织实施ISO 27001或管理现有主义必须反映的变化控制在他们的管理框架。你不需要马上进行更改,将会有一个过渡时期。

      当应该组织过渡到新的控制设置?

      到目前为止,ISO 27002:2022已经发表,ISO 27001:2022预计今年晚些时候。新标准发布后,我们预期的过渡时期中国开放,允许更改实现。认证机构也可能需要一些时间来解释和采用新标准和改变其控制集。
      Baidu
      map