مقارنة بين آيزو 27001 و 27002
إذا صادفت كلاً من ISO 27001 و ISO 27002 ، فمن المحتمل أنك لاحظت أن ISO 27002 أكثر تفصيلاً ودقة - لذا ، ما هو الغرض من ISO 27001 إذن؟...
إذا صادفت كلاً من ISO 27001 و ISO 27002 ، فمن المحتمل أنك لاحظت أن ISO 27002 أكثر تفصيلاً ودقة - لذا ، ما هو الغرض من ISO 27001 إذن؟
بادئ ذي بدء ، لا يمكنك الحصول على شهادة مقابل ISO 27002 لأنها ليست معيار إدارة. ماذا يعني معيار الإدارة؟ وهذا يعني أن مثل هذا المعيار يحدد كيفية تشغيل النظام ، وفي حالة ISO 27001 ، فإنه يحدد نظام إدارة أمن المعلومات (ISMS) - وبالتالي ، يمكن الحصول على شهادة مقابل ISO 27001.
يعني نظام الإدارة هذا أنه يجب تخطيط أمن المعلومات وتنفيذه ومراقبته ومراجعته وتحسينه. وهذا يعني أن الإدارة لديها مسؤوليات مميزة ، وأنه يجب تحديد الأهداف وقياسها ومراجعتها ، وأن عمليات التدقيق الداخلي يجب أن تتم وما إلى ذلك. تم تحديد كل هذه العناصر في ISO 27001 ، ولكن ليس في ISO 27002.
الاختلافات بين عناصر التحكم في ISO 27002 و ISO 27001
تتم تسمية عناصر التحكم في ISO 27002 بنفس الاسم الموجود في الملحق أ من ISO 27001 - على سبيل المثال ، في ISO 27002 ، يسمى التحكم 6.1.2 "فصل المهام" ، بينما في ISO 27001 هو "A.6.1.2 الفصل بين الواجبات." لكن الاختلاف يكمن في مستوى التفاصيل - في المتوسط ، تشرح ISO 27002 عنصر تحكم واحد في صفحة واحدة كاملة ، بينما تخصص ISO 27001 جملة واحدة فقط لكل عنصر تحكم.
أخيرًا ، يتمثل الاختلاف في أن ISO 27002 لا تميز بين الضوابط المطبقة على منظمة معينة ، وتلك التي لا تنطبق. من ناحية أخرى ، تنص ISO 27001 على إجراء تقييم للمخاطر من أجل تحديد ما إذا كانت هناك حاجة لتقليل المخاطر ، وإذا كان الأمر كذلك ، إلى أي مدى ينبغي تطبيقها.
السؤال هو: لماذا يوجد هذين المعيارين منفصلين ، لماذا لم يتم دمجهما ، ويجمعان الجوانب الإيجابية لكلا المعيارين؟ الإجابة هي قابلية الاستخدام - إذا كان معيارًا واحدًا ، فسيكون معقدًا جدًا وكبيرًا جدًا للاستخدام العملي.
ما المعيار الذي يجب استخدامه من سلسلة ISO 27000 ومتى
تم تصميم كل معيار من سلسلة ISO 27000 بتركيز معين - إذا كنت ترغب في بناء أسس أمن المعلومات في مؤسستك ، واستنباط إطارها ، فيجب عليك استخدام ISO 27001 ؛ إذا كنت ترغب في تنفيذ الضوابط ، فيجب عليك استخدام ISO 27002 ، وإذا كنت ترغب في إجراء تقييم للمخاطر ومعالجة المخاطر ، فيجب عليك استخدام ISO 27005 وما إلى ذلك.
في الختام ، يمكن للمرء أن يقول أنه بدون التفاصيل الواردة في ISO 27002 ، لا يمكن تنفيذ الضوابط المحددة في الملحق أ من ISO 27001 ؛ ومع ذلك ، بدون إطار الإدارة من ISO 27001 ، ستظل ISO 27002 مجرد جهد معزول لعدد قليل من المتحمسين لأمن المعلومات ، دون قبول من الإدارة العليا وبالتالي بدون تأثير حقيقي على المنظمة.