ISO 27001 לעומת ISO 27002
מאחר ש-ISO 27000 הוא סדרה של תקנים שיזמו ISO כדי להבטיח בטיחות וביטחון בארגונים ברחבי העולם, כדאי לדעת את ההבדל בין ISO 27001 ל-ISO 27002, שניים מהתקנים ב-ISO 27000 סִדרָה. תקנים אלו יזמו לטובת הארגונים וגם כדי לתת שירות איכותי ללקוחות. מאמר זה מנתח את ההבדלים בין ISO 27001 ל-ISO 27002.
מהו ISO 27001?
תקן ISO 27001 הוא להבטיח את אבטחת המידע והגנת נתונים בארגונים ברחבי העולם.תקן זה חשוב כל כך עבור ארגונים עסקיים בשמירה על לקוחותיהם ועל המידע הסודי של הארגון מפני איומים. הטמעה של מערכת ניהול אבטחת המידע תבטיח איכות, בטיחות, שירות ואמינות המוצר של הארגון שניתן לשמור עליה ברמה הגבוהה ביותר.
המטרה העיקרית של התקן היא לספק דרישות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת ניהול אבטחת מידע (ISMS). ברוב החברות, החלטות על אימוץ תקנים מסוג זה מתקבלות על ידי ההנהלה הבכירה. כמו כן, הדרישה לקיים מערכת אבטחת מידע מסוג זה לארגון נובעת מגורמים שונים כמו מטרות ויעדים ארגוניים, דרישות אבטחה, גודל ומבנה הארגון וכו'.
בגרסה הקודמת של התקן בשנת 2005, הוא פותח על בסיס מחזור PDCA, מודל Plan-Do-Check-Act כדי לבנות את התהליכים וזה היה בדרך לשקף את העקרונות שנקבעו על ידי ה-OECG הנחיות.הגרסה החדשה בשנת 2013 שמה דגש על מדידה והערכת יעילות הביצועים הארגוניים ב-ISMS. הוא כלל גם סעיף המבוסס על מיקור חוץ וניתנת ריכוז רב יותר לאבטחת המידע בארגונים.
מהו ISO 27002?
תקן ISO 27002 נוצר בתחילה כתקן ISO 17799 המבוסס על קוד הנוהג לאבטחת מידע. הוא מדגיש מנגנוני בקרת אבטחה שונים עבור ארגונים בהנחיית ISO 27001.
התקן הוקם על בסיס קווים מנחים ועקרונות שונים לייזום, יישום, שיפור ותחזוקה של ניהול אבטחת מידע בתוך ארגון. הבקרות בפועל בתקן מתייחסות לדרישות ספציפיות באמצעות הערכת סיכונים רשמית. התקן מורכב מהנחיות ספציפיות להתפתחויות בתקני אבטחה ארגוניים ונוהלי ניהול אבטחה יעילים שיהיו שימושיים בבניית אמון בפעילויות בין ארגוניות.
הגרסה הקיימת של התקן פורסמה בשנת 2013 כ-ISO 27002:2013 עם 114 פקדים. הגורם החשוב ביותר שיש לציין הוא שבמהלך השנים פותחו או נמצאים בפיתוח מספר גרסאות ספציפיות לתעשייה של ISO 27002 בתחומים כמו מגזר הבריאות, ייצור וכו'.
מה ההבדל בין ISO 27001 ו-ISO 27002?
• תקן ISO 27001 מבטא את הדרישות לניהול אבטחת מידע בארגונים ותקן ISO 27002 מספק תמיכה והדרכה למי שאחראי על ייזום, הטמעה או תחזוקה של מערכות ניהול אבטחת מידע (ISMS).
• ISO 27001 הוא תקן ביקורת המבוסס על דרישות הניתנות לביקורת, בעוד ש-ISO 27002 הוא מדריך יישום המבוסס על הצעות לשיטות עבודה מומלצות.
• ISO 27001 כולל רשימה של בקרות ניהול לארגונים ואילו ל-ISO 27002 יש רשימה של בקרות תפעוליות לארגונים.
• ניתן להשתמש ב-ISO 27001 לביקורת והסמכה של מערכת ניהול אבטחת המידע של הארגון וניתן להשתמש ב-ISO 27002 כדי להעריך את המקיפות של תוכנית אבטחת המידע של ארגון.
ייחוס תמונה: "CIAJMK1209" מאת John M. Kennedy T. (CC BY-SA 3.0)