ISO 27001 i 27002 – czym się różnią i kiedy są przydatne?

Home / Aktualności / ISO 27001 i 27002 – czym się różnią i kiedy są przydatne?

W poprzednim artykule opisaliśmy Aneks A do ISO 27001. I choć zawiera on 114 punktów kontroli bezpieczeństwa podzielonych na 14 domen to prawda jest taka, że nie podaje zbyt wielu szczegółów na temat każdej kontroli. Zazwyczaj dla każdego elementu sterującego jest jedno zdanie, które daje wyobrażenie o tym, co musisz osiągnąć, ale nie pokazuje, jak to zrobić. 


Dlatego opublikowano ISO 27002 –  by każdy punkt kontroli z Aneksu A do ISO 27001 miał znacznie bardziej szczegółowe wyjaśnienie, jak go wdrożyć.  

Co warto wiedzieć: 
  1. Punkty  kontroli w ISO 27002 są nazwane tak samo jak w Aneksie A do ISO 27001 – na przykład w ISO 27002 kontrola 6.1.2 nosi nazwę „Segregacja obowiązków”, podczas gdy w ISO 27001 jest to „A.6.1.2 Segregacja obowiązków.”  
     
  1. Różnica między ISO 27001 a ISO 27002 polega na poziomie szczegółowości – średnio ISO 27002 wyjaśnia jeden na całej stronie, podczas gdy ISO 27001 każdemu kontrolce dedykuje tylko jedno zdanie.  
     
    Uwaga: Nie wpadaj w pułapkę używania tylko ISO 27002 do zarządzania zagrożeniami bezpieczeństwa informacji – nie daje żadnych wskazówek, jak wybrać, które kontrole wdrożyć, jak je mierzyć, jak przypisywać obowiązki itp. 
     
  1. ISO 27002 nie rozróżnia między punktami kontroli mającymi zastosowanie do konkretnej organizacji. ISO 27001 zaleca przeprowadzenie oceny ryzyka w celu określenia dla każdego punktu kontroli, czy wymagane jest zmniejszenie ryzyka, a jeśli tak, to w jakim stopniu należy je zastosować. 

Pytanie brzmi: dlaczego te dwa standardy istnieją osobno, dlaczego nie zostały połączone, łącząc pozytywne strony obu standardów? 

 Odpowiedzią jest użyteczność – gdyby był to jeden standard, byłby zbyt skomplikowany i zbyt duży do praktycznego zastosowania. 

Podsumowując – można rzec, że bez odpowiednich narzędzi organizacyjnych ISO 27002 jest odosobnionym odniesieniem ISO z najlepszymi wskazówkami dotyczącymi wdrożenia mechanizmów bezpieczeństwa – co czyni go przydatnym zbiorem dobrych praktyk. ISO 27001 pozwala zyskać perpspektywę na to, które praktyki i ISO 27002 zastosować, poprzez umiejętne zarządzanie ryzykiem. 

Powiązane artykuły

Co to jest ISO 27001 i dlaczego jest tak ważne dla organizacji
ISO 27001 – Załącznik A – Dlaczego warto się z nim zapoznać?

3 sposoby na to, aby nie zostać ofiarą socjotechniki
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji