it-swarm.com.de

Was ist der Unterschied zwischen ISO 27001 und ISO 27002?

Was ist der Unterschied zwischen ISO 27001 und ISO 27002? Sind sie miteinander verwandt oder nicht?

12
Lucas Kauffman

Die Normenreihe ISO 27000 ist eine Zusammenstellung internationaler Normen, die sich alle auf die Informationssicherheit beziehen. Der Unterschied besteht darin, dass die Norm ISO 27001 einen organisatorischen Schwerpunkt und detaillierte Anforderungen hat, anhand derer das Informationssicherheits-Managementsystem (ISMS) eines Unternehmens geprüft werden kann. ISO 27002 hingegen ist stärker auf den Einzelnen ausgerichtet und bietet einen Verhaltenskodex für Einzelpersonen innerhalb einer Organisation. Wenn Sie sie vergleichen, werden Sie feststellen, dass sie ähnlich strukturiert sind und sich gegenseitig zuordnen.

Der Unterschied liegt in der Detailgenauigkeit. ISO 27002 erläutert ein Steuerelement auf einer ganzen Seite, während ISO 27001 jedem Steuerelement nur einen Satz zuweist. ISO 27002 enthält Best-Practice-Empfehlungen zum Informationssicherheitsmanagement für diejenigen, die für die Implementierung verantwortlich sind oder Wartung der Informationssicherheits-Managementsysteme (ISMS). Während ISO 27001 die Prüfungsanforderungen definiert.

15
Lucas Kauffman

ISO 27001 legt Anforderungen fest. Wenn eine Organisation ihr Informationssicherheits-Managementsystem (ISMS) zertifizieren möchte, muss sie alle Anforderungen in ISO 27001 erfüllen.

Auf der anderen Seite sind ISO 27002 Best Practices, die nicht obligatorisch sind. Dies bedeutet, dass eine Organisation ISO 27002 nicht einhalten muss, sondern sie als Inspiration für die Implementierung von Anforderungen in ISO 27001 verwenden kann.

In ISO 27001 haben Sie beispielsweise ein Steuerelement, bei dem die Organisation Sicherungen durchführen muss, und in ISO 27002 haben Sie dasselbe Steuerelement, das jedoch weiter entwickelt ist. Die Sicherungen sollten in geplanten Intervallen durchgeführt, getestet und gesichert werden Daten und Software usw.

ISO 27002 ist komplexer und schwer einzuhalten, aber nicht obligatorisch, da es je nach Kontext und Geschäft der Organisation die Kontrolle auf andere Weise implementieren könnte. ISO 27001 legt fest, was Sie tun müssen, aber nicht wie. ISO 27002 beschreibt wie.

8
kinunt

Beachten Sie in Bezug auf 27002, dass 27001 Folgendes angibt:

Kontrollziele und Kontrollen aus diesen Tabellen sind im Rahmen des in 4.2.1 festgelegten ISMS-Prozesses auszuwählen.

wobei "diese Tabellen" Anhang A bedeuten (insbesondere 27002).

Sie müssen also die Steuerelemente in Anhang A in den Geltungsbereich aufnehmen, sei es, dass Sie sie außerhalb des Geltungsbereichs platzieren können, wenn Sie argumentieren können, warum (zum Beispiel findet keine Softwareentwicklung statt oder das Risiko ist zu gering).

0
Flying-Dutchman