跳到内容
搜索我们的网站
      常见问题

      ISO 27001与ISO 27002:理解差异

      什么是ISO/ iec27001 ?

      ISO 27001是关注信息安全的国际标准。ISO/IEC 27001是国际标准化组织(ISO)和国际电工委员会(IEC)发布的公认国际标准,旨在帮助任何规模或行业的组织通过采用信息安全管理体系系统地、经济有效地保护其信息。本标准规定了实施和维护有效的ISMS以防范信息安全风险的要求。获得ISO/IEC 27001认证的组织增强了保护自己免受网络攻击的能力,并防止对敏感和机密信息的不必要访问。

      什么是iso27002 ?

      ISO 27002是一个补充标准,侧重于组织可能选择实施的信息安全控制。这些控制列在ISO 27001的附件A中,您将看到信息安全专家在讨论信息安全控制时引用这些控制。然而,虽然附录A用一两句话概括了每个控件,但ISO 27002平均每个控件占用一页纸。该标准解释了每个控件的工作方式、目标以及如何实现它。

      iso27001与iso27002有何不同?

      ISO 27001是国际信息安全管理的标准,而ISO 27002是一个辅助标准,指导如何实施信息安全控制。请注意,只能认证以“1”结尾的ISO标准。

      ISO 27001是如何运作的?

      ISO 27001的主要工作是保护公司的机密性、完整性和信息。通过执行风险评估,您可以确定需要采取什么措施来预防此类问题(即,风险缓解或风险治疗)。因此,ISO 27001的核心理念是管理风险,找出风险所在,然后通过实施安全控制(或保障措施)来处理风险。

      ISO 27001为何重要?

      该标准为公司提供了保护其最有价值信息的必要信息。公司也可以通过ISO 27001认证。个人可以通过参加课程、通过考试和证明他们的技能来获得ISO 27001认证。ISO 27001在全球范围内很容易被认可,为组织和专业人员增加了商业机会。

      什么时候使用每种标准?

      ISO 27001和ISO 27002有不同的目标。如果您正在开始使用标准或计划ISMS实施框架,那么ISO 27001是理想的选择。一旦确定了要实现的控件,您就应该参考ISO 27002,以了解每个控件的工作原理。

      什么是ISMS?

      信息安全管理系统(ISMS)是公司需要建立的一套规则:

      • 确定利益相关者以及他们对公司信息安全的期望。
      • 识别存在哪些风险。
      • 定义控制以满足期望并处理风险。
      • 就资讯保安工作订定明确目标。
      • 实施所有的控制和其他风险处理方法。
      • 持续测量已实现的控制,并确保它们按预期执行。
      • 不断改进,使整个ISMS更好的工作。
        这可以以策略、过程和其他文档的形式写下来,也可以以没有文档化的已建立过程和技术的形式写下来。
      为什么我们需要ISMS?

      通过实施这一标准,公司可以获得四个基本的商业利益:
      • 遵守法律要求—有许多与信息安全相关的法律、法规和合同要求。好消息是,大多数问题可以通过实施ISO 27001来解决。
      • 获得竞争优势——如果您的公司获得认证,在那些对保护信息安全很敏感的客户眼中,您可能比竞争对手更有优势。
      • 降低成本- ISO 27001的核心理念是防止安全事故。每一个事件,无论是大的还是小的,都要花钱。通过防止它们,你的公司将节省资金。
      • 更好的组织——快速增长的公司没有时间停下来定义他们的流程和程序;因此,员工往往不知道需要做什么,什么时候,由谁来做。实施ISO 27001有助于解决这种情况,鼓励公司写下他们的主要流程。
      获得ISO/ iec27001认证有什么好处?

      根据ISO/IEC 27001要求认证ISMS的组织可以获得几个显著的好处,包括法规符合性、系统性方法、降低风险、降低成本和市场优势。

      如何实施ISO 27001控制?

      技术的控制-主要在信息系统中实现,使用软件、硬件和固件组件。
      组织的控制—通过定义用户、设备、软件和系统要遵守的规则来实现。
      法律控制-通过确保规则遵循和执行组织必须遵守的法律、法规、合同和其他类似法律文书来实施。
      物理控制-通过使用与人和物体发生物理交互的设备或装置来实现。
      人力资源控制-通过向人们提供知识、教育、技能或经验,使他们能够安全地进行活动来实现。

      ISO 27001是强制性的吗?

      在大多数国家,ISO 27001的实施不是强制性的,但一些国家已经发布了法规,要求一些行业实施ISO 27001。要确定ISO 27001是否对你的公司是强制性的,你应该在你经营的国家寻求专家的法律意见。

      ISO 27001是法律要求吗?

      公共和私营组织可以在其合同和服务协议中将符合ISO 27001作为法律要求。国家可以确定ISO 27001的法律或法规,作为在其领土内运营的组织必须履行的法律要求。

      新的ISO 27002:2022将如何影响ISO 27001?

      ISO 27001:2022中发布的控制集的更改将反映在ISO 27001:2022的附件A中。实施ISO 27001或管理现有ISMS的组织必须在其管理框架中反映对控制集的更改。你不需要立即做出改变,因为会有一个过渡期。

      组织何时应该过渡到新的控制集?

      截至目前,ISO 27002:2022已经发布,ISO 27001:2022预计将于今年晚些时候发布。一旦新标准发布,我们预计将有大约2年的过渡期来实施更改。认证机构也可能需要一些时间来解释和采用新标准及其控制集的变化。
      Baidu
      map