¿Cuál es la diferencia entre ISO 27001 e ISO 27002? ¿Están relacionados entre sí o no?
¿Cuál es la diferencia entre ISO 27001 e ISO 27002? ¿Están relacionados entre sí o no?
La serie de normas ISO 27000 es una compilación de normas internacionales relacionadas con la seguridad de la información. La diferencia es que la norma ISO 27001 tiene un enfoque organizativo y requisitos de requisitos contra los cuales se puede auditar el Sistema de Gestión de Seguridad de la Información (SGSI) de una organización. La ISO 27002, por otro lado, está más enfocada en el individuo y proporciona un código de práctica para el uso de individuos dentro de una organización. Si los comparas, verás que están estructurados de manera similar y que se asignan entre sí.
La diferencia está en el nivel de detalle, ISO 27002 explica un control en una página entera, mientras que ISO 27001 dedica solo una frase a cada control. responsable de implementar o mantener los Sistemas de Gestión de Seguridad de la Información (SGSI). Considerando que ISO 27001 define los requisitos de auditoría.
ISO 27001 establece requisitos. Si una organización desea certificar su Sistema de gestión de seguridad de la información (SGSI), debe cumplir con todos los requisitos de la norma ISO 27001.
Por otro lado, ISO 27002 son las mejores prácticas que no son obligatorias. Eso significa que una organización no necesita cumplir con la norma ISO 27002, pero puede usarla como inspiración para implementar los requisitos de la norma ISO 27001.
Por ejemplo, en ISO 27001 tienes un control que requiere que la organización realice copias de seguridad y en ISO 27002 tienes el mismo control pero más desarrollado, y dice que las copias de seguridad deben realizarse a intervalos planificados, que deben probarse, que debe hacer una copia de seguridad de los datos y el software, etc.
ISO 27002 es más complejo y difícil de cumplir, pero no es obligatorio porque, dependiendo del contexto y el negocio de la organización, podría implementar el control de otra manera. ISO 27001 establece lo que tienes que hacer pero no cómo. ISO 27002 describe cómo.
Con respecto a 27002, tenga en cuenta que 27001 afirma que:
Los objetivos de control y los controles de estas tablas se seleccionarán como parte del proceso SGSI especificado en 4.2.1,
donde "estas tablas" significan el Anexo A (especialmente 27002).
Por lo tanto, tiene que tomar los controles del Anexo A dentro del alcance, ya sea que pueda ubicarlos fuera del alcance si puede argumentar por qué (por ejemplo, no se lleva a cabo el desarrollo de software, o el riesgo es demasiado bajo). / p>
Lea otras preguntas en las etiquetas iso27000