Diferença entre ISO 27001 e ISO 27002 | ISO 27001 vs ISO 27002
ISO 27001 vs ISO 27002
Como o ISO 27000 é uma série de padrões que foram iniciados pelo ISO para garantir a segurança e proteção dentro das organizações em todo o mundo, vale a pena saber a diferença entre ISO 27001 e ISO 27002, dois dos padrões da série ISO 27000. Esses padrões foram iniciados em benefício das organizações e também fornecer um serviço de qualidade para os clientes. Este artigo analisa as diferenças entre ISO 27001 e ISO 27002.
O que é ISO 27001?
O padrão ISO 27001 é garantir a segurança da informação e proteção de dados em organizações de todo o mundo. Este padrão é tão importante para as organizações empresariais em proteger seus clientes e informações confidenciais da organização contra ameaças. A implementação do sistema de gerenciamento de segurança da informação asseguraria qualidade, segurança, serviço e confiabilidade do produto da organização que pode ser salvaguardada no seu nível mais alto.
O principal objetivo do padrão é fornecer requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Segurança da Informação (ISMS). Na maioria das empresas, as decisões de adoção deste tipo de padrões são tomadas pela alta administração. Além disso, a exigência de ter esse tipo de sistema de segurança da informação para a organização surge devido a vários fatores como metas e objetivos organizacionais, requisitos de segurança, tamanho e estrutura da organização, etc.
Na versão anterior do padrão em 2005, foi desenvolvido com base no modelo PDCA ciclo, Plano-Do-Check-Act para estruturar os processos e que era uma forma de refletir os princípios estabelecidos de acordo com as diretrizes da OECG. A nova versão em 2013 enfatiza medir e avaliar a eficácia do desempenho organizacional no SGSI. Ele também incluiu uma seção baseada em terceirização e mais concentração é dada à segurança da informação nas organizações.
O que é ISO 27002?
O padrão ISO 27002 foi inicialmente originado como padrão ISO 17799, que se baseia no código de prática para segurança da informação. Ele destaca vários mecanismos de controle de segurança para organizações com orientação da ISO 27001.
O padrão foi estabelecido com base em várias diretrizes e princípios para iniciar, implementar, melhorar e manter o gerenciamento de segurança da informação dentro de uma organização. Os controles reais nos requisitos específicos do endereço padrão através de uma avaliação formal de risco.O padrão consiste em diretrizes específicas para a evolução dos padrões de segurança organizacional e práticas efetivas de gerenciamento de segurança que seriam úteis na construção da confiança nas atividades interorganizacionais.
A versão existente do padrão foi publicada em 2013 como ISO 27002: 2013 com 114 controles. O fator mais importante a ser observado é que, ao longo dos anos, várias versões específicas da indústria do ISO 27002 foram desenvolvidas ou estão em desenvolvimento nos campos como setor de saúde, fabricação, etc.
Qual a diferença entre a ISO 27001 & ISO 27002?
• O padrão ISO 27001 expressa os requisitos para gerenciamento de segurança da informação em organizações e o padrão ISO 27002 fornece suporte e orientação para aqueles que são responsáveis no início, implementação ou manutenção de Sistemas de Gerenciamento de Segurança da Informação (ISMS).
• O ISO 27001 é um padrão de auditoria baseado em requisitos auditáveis, enquanto o ISO 27002 é um guia de implementação baseado em sugestões de melhores práticas.
• O ISO 27001 inclui uma lista de controles de gerenciamento para as organizações, enquanto a ISO 27002 possui uma lista de controles operacionais para as organizações.
• O ISO 27001 pode ser usado para auditar e certificar o Sistema de Gerenciamento de Segurança da Informação da organização e o ISO 27002 pode ser usado para avaliar a abrangência do Programa de Segurança da Informação de uma organização.
Atribuição da imagem: "CIAJMK1209" por John M. Kennedy T. (CC BY-SA 3. 0)