Qual è la differenza tra ISO 27001 e ISO 27002? Sono collegati tra di loro o no?
Qual è la differenza tra ISO 27001 e ISO 27002? Sono collegati tra di loro o no?
Gli standard della serie ISO 27000 sono una raccolta di standard internazionali relativi alla sicurezza delle informazioni. La differenza è che lo standard ISO 27001 ha un focus organizzativo e requisiti di dettaglio rispetto ai quali è possibile verificare il sistema di gestione della sicurezza delle informazioni (ISMS) di un'organizzazione. L'ISO 27002 d'altra parte è più focalizzato sull'individuo e fornisce un codice di pratica per l'uso da parte di individui all'interno di un'organizzazione. Se li paragoni, vedrai che sono strutturati in modo simile e che si mappano a vicenda.
La differenza è nel livello di dettaglio, ISO 27002 spiega un controllo su un'intera pagina, mentre ISO 27001 dedica solo una frase a ciascun controllo.ISO 27002 fornisce raccomandazioni sulle best practice sulla gestione della sicurezza delle informazioni per l'uso da parte di coloro che sono responsabile per l'implementazione o il mantenimento dei sistemi di gestione della sicurezza delle informazioni (ISMS). Mentre ISO 27001 definisce i requisiti di controllo.
ISO 27001 stabilisce i requisiti. Se un'organizzazione desidera certificare il proprio sistema di gestione della sicurezza delle informazioni (ISMS), deve soddisfare tutti i requisiti della norma ISO 27001.
D'altra parte, ISO 27002 sono le migliori pratiche che non sono obbligatorie. Ciò significa che un'organizzazione non ha bisogno di rispettare la ISO 27002, ma può usarla come ispirazione per implementare i requisiti in ISO 27001.
Ad esempio, in ISO 27001 hai un controllo che richiede all'organizzazione di eseguire i backup e in ISO 27002 hai lo stesso controllo ma più sviluppato, dicendo che i backup dovrebbero essere eseguiti a intervalli pianificati, che dovrebbero essere testati, che dovresti eseguire il backup di dati e software, ecc.
ISO 27002 è più complesso e difficile da rispettare, ma non è obbligatorio perché, a seconda del contesto e dell'attività dell'azienda, potrebbe implementare il controllo in un altro modo. La ISO 27001 stabilisce cosa devi fare ma non come. La ISO 27002 descrive come.
Per quanto riguarda 27002, si tenga presente che 27001 afferma che:
Control objectives and controls from these tables shall be selected as part of the ISMS process specified in 4.2.1,
dove "queste tabelle" indicano l'allegato A (in particolare 27002).
Quindi devi prendere i controlli dell'Annesso A nell'ambito, sia che tu possa metterli fuori campo se puoi argomentare il motivo (ad esempio non avviene alcuno sviluppo del software, o il rischio è troppo basso).
Leggi altre domande sui tag iso27000