ISO 27001 және ISO 27002
ISO 27000 – дүние жүзіндегі ұйымдарда қауіпсіздік пен қауіпсіздікті қамтамасыз ету үшін ISO бастамасымен шығарылған стандарттар сериясы болғандықтан, ISO 27000 стандартындағы екі стандарт ISO 27001 мен ISO 27002 арасындағы айырмашылықты білген жөн. сериясы. Бұл стандарттар ұйымдардың игілігі үшін, сонымен қатар тұтынушыларға сапалы қызмет көрсету үшін жасалған. Бұл мақала ISO 27001 және ISO 27002 арасындағы айырмашылықтарды талдайды.
ISO 27001 дегеніміз не?
ISO 27001 стандарты дүние жүзіндегі ұйымдарда ақпараттық қауіпсіздік пен деректерді қорғауды қамтамасыз етеді. Бұл стандарт бизнес ұйымдары үшін өз тұтынушыларын және ұйымның құпия ақпаратын қауіптерден қорғау үшін өте маңызды. Ақпараттық қауіпсіздікті басқару жүйесін енгізу ұйымның сапасын, қауіпсіздігін, қызмет көрсету және өнім сенімділігін қамтамасыз етеді, оны ең жоғары деңгейде қорғауға болады.
Стандарттың негізгі мақсаты Ақпараттық қауіпсіздікті басқару жүйесін (АҚБЖ) құру, енгізу, қолдау және үздіксіз жетілдіру талаптарын қамтамасыз ету болып табылады. Компаниялардың көпшілігінде стандарттардың осы түрлерін қабылдау туралы шешімді жоғарғы басшылық қабылдайды. Сондай-ақ, ұйым үшін ақпараттық қауіпсіздік жүйесінің осындай түрі болуы талабы ұйымның мақсаттары мен міндеттері, қауіпсіздік талаптары, ұйымның көлемі мен құрылымы және т.б. сияқты әртүрлі факторларға байланысты туындайды.
Стандарттың 2005 жылғы алдыңғы нұсқасында ол процестерді құрылымдау үшін PDCA циклі, «Жоспарлау-орындау-тексеру-әрекет ету» моделі негізінде әзірленді және бұл OECG белгілеген принциптерді көрсету жолында болды. нұсқаулар.2013 жылғы жаңа нұсқада БАБЖ ұйымдық қызметінің тиімділігін өлшеуге және бағалауға ерекше мән беріледі. Ол сонымен қатар аутсорсингке негізделген бөлімді қамтиды және ұйымдардағы ақпараттық қауіпсіздікке көбірек көңіл бөлінеді.
ISO 27002 дегеніміз не?
ISO 27002 стандарты бастапқыда ақпарат қауіпсіздігі бойынша тәжірибе кодексіне негізделген ISO 17799 стандарты ретінде пайда болды. Ол ISO 27001 нұсқаулығымен ұйымдар үшін қауіпсіздікті басқарудың әртүрлі механизмдерін көрсетеді.
Стандарт ұйымдағы ақпараттық қауіпсіздікті басқаруды бастауға, енгізуге, жақсартуға және қолдауға арналған әртүрлі нұсқаулар мен принциптерге негізделген. Стандарттағы нақты бақылаулар тәуекелді ресми бағалау арқылы нақты талаптарға жауап береді. Стандарт ұйымаралық қызметте сенімді нығайтуға пайдалы болатын ұйымдық қауіпсіздік стандарттары мен қауіпсіздікті басқарудың тиімді тәжірибесін әзірлеуге арналған арнайы нұсқаулардан тұрады.
Стандарттың бар нұсқасы 2013 жылы 114 басқару элементі бар ISO 27002:2013 ретінде жарияланған. Айта кету керек ең маңызды фактор – жылдар бойы ISO 27002 стандартының бірқатар салалық нұсқалары денсаулық сақтау, өндіріс және т.б. салаларда әзірленді немесе әзірленуде.
ISO 27001 және ISO 27002 арасындағы айырмашылық неде?
• ISO 27001 стандарты ұйымдардағы ақпараттық қауіпсіздікті басқаруға қойылатын талаптарды білдіреді және ISO 27002 стандарты Ақпараттық қауіпсіздікті басқару жүйелерін (ISMS) бастауға, енгізуге немесе қолдауға жауапты адамдарға қолдау мен нұсқаулық береді.
• ISO 27001 - тексерілетін талаптарға негізделген аудит стандарты, ал ISO 27002 - үздік тәжірибе ұсыныстарына негізделген енгізу нұсқаулығы.
• ISO 27001 ұйымдарға арналған басқару бақылауларының тізімін қамтиды, ал ISO 27002 ұйымдарға арналған операциялық бақылаулардың тізімін қамтиды.
• ISO 27001 ұйымның Ақпараттық қауіпсіздікті басқару жүйесін тексеру және сертификаттау үшін, ал ISO 27002 ұйымның ақпараттық қауіпсіздік бағдарламасының жан-жақтылығын бағалау үшін пайдаланылуы мүмкін.
Сурет атрибуты: «CIAJMK1209» авторы Джон М. Кеннеди Т. (CC BY-SA 3.0)
