ISO 27001 vs. ISO 27002
Koska ISO 27000 on sarja standardeja, jotka ISO on aloittanut turvallisuuden varmistamiseksi organisaatioissa maailmanlaajuisesti, kannattaa tietää ero ISO 27001- ja ISO 27002 -standardien välillä. Nämä standardit on aloitettu organisaatioiden hyödyksi ja myös laadukkaan palvelun tarjoamiseksi asiakkaille. Tässä artikkelissa analysoidaan ISO 27001: n ja ISO 27002: n välisiä eroja.
Mikä on ISO 27001?
ISO 27001 -standardin tarkoituksena on varmistaa tietoturva ja tietosuoja organisaatioissa maailmanlaajuisesti. Tämä standardi on niin tärkeä liike-elämän organisaatioille suojellessaan asiakkaitaan ja organisaation luottamuksellisia tietoja uhilta. Tietoturvan hallintajärjestelmän käyttöönotto varmistaisi organisaation laadun, turvallisuuden, palvelun ja tuotteiden luotettavuuden, joka voidaan turvata sen korkeimmalla tasolla.
Standardin ensisijaisena tavoitteena on tarjota vaatimuksia tietoturvan hallintajärjestelmän (ISMS) perustamiselle, toteuttamiselle, ylläpidolle ja jatkuvalle parantamiselle. Suurimmassa osassa yrityksiä päätökset tämäntyyppisten standardien käyttöönotosta tekee ylin johto. Vaatimus tällaisen tietoturvajärjestelmän olemassaolosta organisaatiolle johtuu useista tekijöistä, kuten organisaation tavoitteista, turvallisuusvaatimuksista, organisaation koosta ja rakenteesta jne.
Standardin edellisessä versiossa vuonna 2005 se kehitettiin PDCA-syklin, Plan-Do-Check-Act-mallin pohjalta prosessien jäsentämiseksi, mikä kuvastaa OECG: n ohjeiden asettamia periaatteita. Vuonna 2013 julkaistussa uudessa versiossa korostetaan organisaation suorituskyvyn mittaamista ja arviointia ISMS: ssä. Siihen on myös sisällytetty ulkoistamiseen perustuva osa, ja organisaatioiden tietoturvaan kiinnitetään enemmän huomiota.
Mikä on ISO 27002?
ISO 27002 -standardi on alun perin peräisin ISO 17799 -standardiksi, joka perustuu tietoturvan käytännesääntöihin. Siinä tuodaan esiin erilaisia organisaatioiden turvallisuuden valvontamekanismeja ISO 27001 -standardin mukaisesti.
Standardi perustettiin useiden ohjeiden ja periaatteiden pohjalta tietoturvan hallinnan aloittamiseksi, toteuttamiseksi, parantamiseksi ja ylläpitämiseksi organisaatiossa. Standardin todelliset tarkastukset vastaavat erityisvaatimuksia muodollisen riskinarvioinnin avulla. Standardi koostuu erityisistä ohjeista organisaation tietoturvastandardien ja tehokkaiden turvallisuushallintakäytäntöjen kehitykselle, joista olisi hyötyä luottamuksen lisäämisessä organisaatioiden välisessä toiminnassa.
Standardin nykyinen versio julkaistiin vuonna 2013 nimellä ISO 27002: 2013, jossa on 114 hallintalaitetta. Tärkein huomioitava tekijä on, että vuosien varrella on kehitetty tai kehitteillä useita toimialakohtaisia ISO 27002 -versioita esimerkiksi terveydenhuoltoalalla, valmistuksessa jne.
Mikä on ero ISO 27001: n ja ISO 27002: n välillä?
• ISO 27001 -standardi ilmaisee organisaatioiden tietoturvan hallintaa koskevat vaatimukset, ja ISO 27002 -standardi tarjoaa tukea ja ohjeita niille, jotka ovat vastuussa tietoturvan hallintajärjestelmien (ISMS) käynnistämisestä, toteuttamisesta tai ylläpidosta.
• ISO 27001 on auditointistandardi, joka perustuu tarkastettaviin vaatimuksiin, kun taas ISO 27002 on toteutusopas, joka perustuu parhaiden käytäntöjen ehdotuksiin.
• ISO 27001 sisältää luettelon organisaation hallinnan valvonnasta, kun taas ISO 27002: lla on luettelo organisaatioiden operatiivisista valvontatoimista.
• ISO 27001: n avulla voidaan tarkastaa ja varmentaa organisaation tietoturvan hallintajärjestelmä ja ISO 27002: lla voidaan arvioida organisaation tietoturvaohjelman kattavuus.
Kuva: "CIAJMK1209", kirjoittanut John M. Kennedy T. (CC BY-SA 3.0)