تفاوت بین ایزو ۲۷۰۰۱ و ایزو ۲۷۰۰۲ چیست؟

تفاوت گواهینامه ایزو 27001 و گواهینامه ایزو 27002

این مقاله به صورت اختصاصی توسط تیم فنی ایزوسیستم آماده شده است، هرگونه بهره برداری بدون ذکر نام و آدرس منبع شرعا و قانونا ممنوع می باشد.

فهرست مطالب

تفاوت های ایزو ۲۷۰۰۱ و ایزو ۲۷۰۰۲

اگر دو استاندارد ایزو ۲۷۰۰۱ و ایزو ۲۷۰۰۲ را بررسی کرده باشید، احتمالاً متوجه خواهید شد که گواهینامه ISO 27002 بسیار دقیق تر است. ایزو ۲۷۰۰۱ و ایزو ۲۷۰۰۲ اهداف مختلفی دارند و در شرایط مختلف مفید خواهند بود. پس در نهایت هدف ایزو ۲۷۰۰۱ چیست؟

اگر بخواهیم به طور خلاصه بیان کنیم، استاندارد ایزو ۲۷۰۰۱ معیاری برای اجرای یک سیستم مدیریت امنیت اطلاعات (ISMS) است که شرکت‌ها آن را اخذ می کنند. این اطلاعات شامل آنچه که سازمان‌ها باید اجرا کنند، بوده تا به الزامات ایزو ۲۷۰۰۱ دست یابند.

به طور کلی، می توان گفت که ISO 27002 و تعدادی دیگر از استانداردهای دیگر در خانواده ایزو ۲۷۰۰۰ را می توان برای پشتیبانی از اسناد مربوط به ایزو ۲۷۰۰۱، ارائه راهنمایی و مشاوره در مورد اجرا در نظر گرفت.

عناوین رسمی دو استاندارد به شرح زیر است:

ISO 27001: 2013 سیستم های مدیریت امنیت اطلاعات
ISO 27002: 2013 قانون عمل برای کنترل امنیت اطلاعات (تکنولوژی امنیت – تکنیک‌های امنیت – دستورالعمل پیشنهادی برای مدیریت امنیت اطلاعات)

شما نمی‌توانید در برابر ایزو ۲۷۰۰۲ گواهی بگیرید. چون ایزو ۲۷۰۰۲ یک استاندارد مدیریتی نیست. حال استاندارد مدیریتی به چه معناست؟ به این معنی است که این استاندارد نحوه اجرای یک سیستم را تعریف می‌کند و در مورد ایزو ۲۷۰۰۱، سیستم مدیریت امنیت اطلاعات را تعریف می‌کند. بنابراین، صدور گواهینامه در برابر ISO 27001 امکان پذیر است.

به عبارت دیگر، سیستم مدیریتی به معنای آن است که امنیت اطلاعات باید برنامه ریزی، اجرا، نظارت، بررسی و بهبود یابد. این بدان معناست که مدیریت وظایف مشخص خود را دارد. باید اهداف را تعیین، اندازه گیری و بررسی کرد، ممیزی های داخلی باید انجام شود. همه این موارد در ISO 27001 تعریف شده اند، اما در ISO 27002 ذکر نشده است.

تفاوت بین کنترل های موجود در ISO 27002 و ISO 27001

حال سوال این است که چرا این دو استاندارد به طور جداگانه وجود دارند؟ چرا آن‌ها با هم ادغام نشده‌اند؟ و چرا جنبه‌های مثبت هر دو استاندارد را کنار هم قرار می‌دهند؟ پاسخ این است که اگر یک استاندارد واحد باشد، برای استفاده عملی بسیار پیچیده و بسیار بزرگ خواهد بود.

کدام استاندارد برای استفاده در سری ایزو ۲۷۰۰۰ مناسب است؟

هر استانداردی از مجموعه ایزو ۲۷۰۰۰ با تمرکز خاصی طراحی شده‌است. اگر می خواهید پایه های امنیت اطلاعات را در سازمان خود بنا کنید و چارچوب آن را تدوین کنید، باید از گواهینامه ایزو ۲۷۰۰۱ استفاده کنید. اگر می خواهید کنترل ها را پیاده کنید، باید از گواهینامه ایزو ۲۷۰۰۲ استفاده کنید. اگر می خواهید ارزیابی ریسک را انجام دهید، باید از ایزو ۲۷۰۰۵ استفاده کنید.

روی هم رفته، می توان گفت که بدون وجود جزییات در استاندارد ایزو ۲۷۰۰۱، کنترل‌های تعریف‌شده در پیوست الف را در ایزو ۲۷۰۰۱ را نمی توان اجرا کرد. همچنین، بدون چارچوب مدیریتی در ایزو ۲۷۰۰۱، استاندارد ایزو ۲۷۰۰۲ تاثیر واقعی بر روی سازمان ندارد.

توجه داشته باشید که ISO 27002 تنها برای سازمانهایی که ISO 27001 را پیاده سازی می کنند نیست. برخی از نکات برجسته از خانواده ۲۷۰۰۰ در زیر ذکر شده است:

ایزو ۲۷۰۰۳ در مورد طراحی و اجرای ISMS بحث می کند.
ایزو ۲۷۰۰۴ دستورالعمل هایی را برای ارزیابی میزان عملکرد ISMS در ایزو ۲۷۰۰۱ ارائه می دهد، که به استاندارد ایزو ۲۷۰۰۱ برای ارزیابی عملکرد ISMS کمک می کند.
ایزو ۲۷۰۰۵ روشهای مدیریت ریسک را شرح می دهد. یکی از مفاهیم اصلی ایزو ۲۷۰۰۱ شناسایی خطرات و سپس تطبیق کنترل با خطرات پیش رو است.
ایزو ۲۷۰۰۷ در مورد چگونگی شرایط حسابرسی ایزو ۲۷۰۰۱ توصیه می کند.
ایزو ۲۷۰۰۸ جزئیاتی در مورد چگونگی ارزیابی کنترل ها ارائه می دهد.
ایزو ۲۷۰۰۹ در مورد نحوه اجرای کنترل های خاص در مورد بخش صنعت ارائه می دهد.

توجه داشته باشید که اسناد دیگری در این خانواده وجود دارد، اما موارد بالا آن‌هایی هستند که برای اکثر سازمان‌ها مفید هستند.

برای اخذ ایزو اقدام نمایید!

کارشناسان مجرب ما آماده پاسخگویی به سوالات شما می باشند. برای کسب اطلاعات بیشتر با شماره های ۳۳۴۴۴۸۱۴-۰۲۳ و ۳۳۴۴۴۸۱۳-۰۲۳ تماس حاصل فرمایید. همچنین برای مشاوره رایگان می توانید فرم اخذ استاندارد ایزو را تکمیل نموده تا مشاورین ما در کم ترین زمان با شما تماس بگیرند.