ISO 27001 vs ISO 27002
Bilang ang ISO 27000 ay isang serye ng mga pamantayan na pinasimulan ng ISO upang matiyak ang kaligtasan at seguridad sa loob ng mga organisasyon sa buong mundo, sulit na malaman ang pagkakaiba sa pagitan ng ISO 27001 at ISO 27002, dalawa sa mga pamantayan sa ISO 27000 serye. Ang mga pamantayang ito ay pinasimulan para sa kapakinabangan ng mga organisasyon at upang magbigay din ng isang kalidad na serbisyo para sa mga customer. Sinusuri ng artikulong ito ang mga pagkakaiba sa pagitan ng ISO 27001 at ISO 27002.
Ano ang ISO 27001?
Ang ISO 27001 na pamantayan ay upang matiyak ang Seguridad ng Impormasyon at proteksyon ng data sa mga organisasyon sa buong mundo. Napakahalaga ng pamantayang ito para sa mga organisasyon ng negosyo sa pagprotekta sa kanilang mga customer at kumpidensyal na impormasyon ng organisasyon laban sa mga banta. Ang pagpapatupad ng sistema ng pamamahala ng seguridad ng impormasyon ay magtitiyak sa kalidad, kaligtasan, serbisyo at pagiging maaasahan ng produkto ng organisasyon na maaaring mapangalagaan sa pinakamataas na antas nito.
Ang pangunahing layunin ng pamantayan ay magbigay ng mga kinakailangan para sa pagtatatag, pagpapatupad, pagpapanatili at patuloy na pagpapabuti ng isang Information Security Management System (ISMS). Sa karamihan ng mga kumpanya, ang mga desisyon sa pagpapatibay ng mga ganitong uri ng mga pamantayan ay kinukuha ng nangungunang pamamahala. Gayundin, ang pangangailangan ng pagkakaroon ng ganitong uri ng sistema ng seguridad ng impormasyon para sa organisasyon ay nangyayari dahil sa iba't ibang salik tulad ng mga layunin at layunin ng organisasyon, mga kinakailangan sa seguridad, laki at istruktura ng organisasyon, atbp.
Sa nakaraang bersyon ng pamantayan noong 2005, ito ay binuo batay sa PDCA cycle, Plan-Do-Check-Act na modelo upang buuin ang mga proseso at iyon ay sa paraang sumasalamin sa mga prinsipyong itinakda ng OECG mga alituntunin. Ang bagong bersyon noong 2013 ay nagbibigay-diin sa pagsukat at pagsusuri sa pagiging epektibo ng pagganap ng organisasyon sa ISMS. Kasama rin dito ang isang seksyon batay sa outsourcing at higit na konsentrasyon ang ibinibigay sa seguridad ng impormasyon sa mga organisasyon.
Ano ang ISO 27002?
Ang pamantayang ISO 27002 ay unang nagmula bilang pamantayang ISO 17799 na batay sa code ng pagsasanay para sa seguridad ng impormasyon. Itinatampok nito ang iba't ibang mekanismo sa pagkontrol ng seguridad para sa mga organisasyon na may gabay ng ISO 27001.
Ang pamantayan ay itinatag batay sa iba't ibang mga alituntunin at prinsipyo para sa pagsisimula, pagpapatupad, pagpapabuti at pagpapanatili ng pamamahala sa seguridad ng impormasyon sa loob ng isang organisasyon. Ang aktwal na mga kontrol sa pamantayan ay tumutugon sa mga partikular na kinakailangan sa pamamagitan ng isang pormal na pagtatasa ng panganib. Ang pamantayan ay binubuo ng mga tiyak na alituntunin para sa mga pag-unlad sa mga pamantayan sa seguridad ng organisasyon at mga epektibong kasanayan sa pamamahala ng seguridad na magiging kapaki-pakinabang sa pagbuo ng kumpiyansa sa loob ng mga aktibidad ng inter-organisasyon.
Na-publish ang kasalukuyang bersyon ng pamantayan noong 2013 bilang ISO 27002:2013 na may 114 na kontrol. Ang pinakamahalagang salik na dapat pansinin ay sa paglipas ng mga taon, ang ilang partikular na industriya na bersyon ng ISO 27002 ay binuo o nasa ilalim ng pag-unlad sa mga larangan tulad ng sektor ng kalusugan, pagmamanupaktura, atbp.
Ano ang pagkakaiba ng ISO 27001 at ISO 27002?
• Ang pamantayang ISO 27001 ay nagpapahayag ng mga kinakailangan para sa pamamahala ng seguridad ng impormasyon sa mga organisasyon at ang pamantayang ISO 27002 ay nagbibigay ng suporta at patnubay para sa mga responsable sa pagpapasimula, pagpapatupad, o pagpapanatili ng Information Security Management System (ISMS).
• Ang ISO 27001 ay isang pamantayan sa pag-audit batay sa mga naa-audit na kinakailangan, habang ang ISO 27002 ay isang gabay sa pagpapatupad batay sa mga mungkahi sa pinakamahusay na kasanayan.
• Kasama sa ISO 27001 ang listahan ng mga kontrol sa pamamahala sa mga organisasyon habang ang ISO 27002 ay may listahan ng mga kontrol sa pagpapatakbo sa mga organisasyon.
• Maaaring gamitin ang ISO 27001 para i-audit at i-certify ang Information Security Management System ng organisasyon at magagamit ang ISO 27002 para masuri ang pagiging komprehensibo ng Information Security Program ng isang organisasyon.
Pagpapatungkol ng Larawan: “CIAJMK1209” ni John M. Kennedy T. (CC BY-SA 3.0)
