跳到内容
搜索我们的网站
      常见问题

      ISO 27001与ISO 27002:了解两者的区别

      什么是ISO/IEC 27001?

      ISO 27001该国际标准是否关注信息安全。ISO/IEC 27001是由国际标准化组织(ISO)和国际电工委员会(IEC)发布的公认国际标准,旨在通过采用信息安全管理系统,帮助任何规模或行业的组织系统和成本效益地保护其信息。该标准规定了实施和维护有效的ISMS以防范信息安全风险的要求。获得ISO/IEC 27001认证的组织加强了保护自己免受网络攻击的能力,防止敏感和机密信息被不必要的访问。

      什么是iso27002 ?

      ISO 27002是一个补充标准,重点关注组织可能选择实施的信息安全控制。这些控制列于ISO 27001的附件A中,是信息安全专家在讨论信息安全控制时所提及的。然而,附件A用一两句话概括了每个控件,而ISO 27002平均每个控件用了一页纸。该标准解释了每个控件如何工作、其目标以及如何实现它。

      iso27001与iso27002的区别是什么?

      ISO 27001是国际信息安全管理的标准,而ISO 27002是一个辅助标准,指导如何实施信息安全控制。注意,只能认证以“1”结尾的ISO标准。

      ISO 27001是如何运作的?

      ISO 27001的主要工作是保护公司的机密性、完整性和信息。通过执行风险评估,您可以确定需要发生什么来防止此类问题(即,风险降低或风险处理)。因此,ISO 27001的核心理念是管理风险,找出风险所在,然后通过实施安全控制(或保障措施)来处理它们。

      为什么iso27001很重要?

      该标准为公司提供了保护其最有价值信息的必要信息。公司也可以通过ISO 27001认证。个人可以通过参加课程、通过考试和证明他们的技能来获得ISO 27001认证。ISO 27001在世界范围内很容易被认可,为组织和专业人员增加了商机。

      什么时候应该使用每种标准?

      ISO 27001和ISO 27002有不同的目标。如果您从标准开始或计划您的ISMS实现框架,那么ISO 27001是理想的。一旦你确定了你要实现的控制,你应该参考ISO 27002来了解每个控制是如何工作的。

      什么是ISMS?

      信息安全管理系统(ISMS)是公司需要建立的一套规则:

      • 确定利益相关者及其对公司信息安全的期望。
      • 确定存在哪些风险。
      • 定义控制以满足预期并处理风险。
      • 就资讯保安方面需要做的工作,订定明确的目标。
      • 执行所有的控制和其他风险处理方法。
      • 持续地度量实现的控制,并确保它们按预期执行。
      • 不断改进,使整个ISMS工作得更好。
        这可以以策略、过程和其他文档的形式记录下来,也可以以没有记录的已建立的过程和技术的形式记录下来。
      为什么我们需要ISMS?

      通过实施该标准,公司可以获得四个基本的业务利益:
      • 遵守法律要求—有许多与信息安全相关的法律、法规和合同要求。好消息是,大多数问题都可以通过实施ISO 27001来解决。
      • 获得竞争优势——如果你的公司获得认证,在那些对保护信息安全非常敏感的客户眼中,你可能比你的竞争对手更有优势。
      • 降低成本- ISO 27001的核心理念是防止安全事故。每一件事,无论大小,都要花钱。通过防止它们,你的公司将节省资金。
      • 更好的组织——快速增长的公司没有时间停下来定义他们的流程和程序;因此,员工经常不知道需要做什么,什么时候,由谁来做。实施ISO 27001有助于解决这种情况,鼓励企业写下他们的主要过程。
      获得ISO/IEC 27001认证有什么好处?

      根据ISO/IEC 27001要求认证其ISMS的组织获得了几个显著的好处,包括法规符合性、系统化方法、降低风险、降低成本和市场优势。

      你们如何实施ISO 27001控制?

      技术的控制-主要实现在信息系统,使用软件、硬件和固件组件。
      组织的控制—通过定义用户、设备、软件和系统需要遵守的规则来实现。
      法律控制-通过确保规则遵循并执行组织必须遵守的法律、法规、合同和其他类似法律文书来实施。
      物理控制-通过使用与人和物体进行物理交互的设备或装置来实现。
      人力资源控制-通过向人们提供知识、教育、技能或经验,使他们能够安全地执行其活动。

      ISO 27001是强制性的吗?

      在大多数国家,ISO 27001的实施不是强制性的,但一些国家已经发布了法规,要求一些行业实施ISO 27001。要确定ISO 27001对你的公司是否是强制性的,你应该在你的经营国家寻求专家的法律意见。

      ISO 27001是法律要求吗?

      公共和私营组织可在其合同和服务协议中将符合ISO 27001规定作为法律要求。国家可以确定ISO 27001的法律或法规作为在其领土内运营的组织必须履行的法律要求。

      新的ISO 27002:2022将如何影响ISO 27001?

      ISO 27002:2022中发布的控制集的更改将反映在ISO 27001:2022的附件A中。实施ISO 27001或管理现有ISMS的组织必须在其管理框架中反映控制集的变化。你不需要立即做出改变,因为会有一个过渡期。

      组织应该在什么时候过渡到新的控制集?

      截至目前,ISO 27002:2022已经发布,预计今年晚些时候将发布ISO 27001:2022。一旦新标准发布,我们预计将有大约2年的过渡期,以允许实施更改。认证机构也可能需要一些时间来解释和采用新标准及其控制集的更改。
      Baidu
      map