ISO 27001 vs ISO 27002
Como a ISO 27000 é uma série de normas que foram iniciadas pela ISO para garantir a segurança dentro das organizações em todo o mundo, vale a pena conhecer a diferença entre a ISO 27001 e a ISO 27002, duas das normas da ISO 27000 Series. Esses padrões foram iniciados para benefício das organizações e também para fornecer um serviço de qualidade para os clientes. Este artigo analisa as diferenças entre ISO 27001 e ISO 27002.
O que é ISO 27001?
O padrão ISO 27001 é garantir a Segurança da Informação e proteção de dados em organizações em todo o mundo. Este padrão é tão importante para as organizações empresariais na proteção de seus clientes e informações confidenciais da organização contra ameaças. A implementação do sistema de gestão de segurança da informação garantiria qualidade, segurança, serviço e confiabilidade do produto da organização que pode ser salvaguardado em seu mais alto nível.
O objetivo principal do padrão é fornecer requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Segurança da Informação (SGSI). Na maioria das empresas, as decisões de adoção desses tipos de padrões são tomadas pela alta administração. Além disso, a exigência de ter este tipo de sistema de segurança da informação para a organização surge devido a vários fatores como metas e objetivos organizacionais, requisitos de segurança, tamanho e estrutura da organização, etc.
Na versão anterior da norma em 2005, ela foi desenvolvida com base no ciclo PDCA, modelo Plan-Do-Check-Act para estruturar os processos e que foi de forma a refletir os princípios estabelecidos pelo OECG diretrizes. A nova versão em 2013 enfatiza a medição e avaliação da eficácia do desempenho organizacional em SGSI. Também incluiu uma seção baseada em terceirização e maior concentração é dada à segurança da informação nas organizações.
O que é ISO 27002?
O padrão ISO 27002 foi inicialmente originado como padrão ISO 17799 que é baseado no código de prática para segurança da informação. Ele destaca vários mecanismos de controle de segurança para organizações com a orientação da ISO 27001.
O padrão foi estabelecido com base em várias diretrizes e princípios para iniciar, implementar, melhorar e manter o gerenciamento de segurança da informação dentro de uma organização. Os controles reais na norma tratam de requisitos específicos por meio de uma avaliação formal de risco. O padrão consiste em diretrizes específicas para o desenvolvimento de padrões de segurança organizacional e práticas eficazes de gerenciamento de segurança que seriam úteis para aumentar a confiança nas atividades interorganizacionais.
A versão existente do padrão foi publicada em 2013 como ISO 27002:2013 com 114 controles. O fator mais importante a ser observado é que, ao longo dos anos, várias versões específicas da indústria da ISO 27002 foram desenvolvidas ou estão em desenvolvimento em áreas como setor de saúde, manufatura, etc.
Qual é a diferença entre ISO 27001 e ISO 27002?
• A norma ISO 27001 expressa os requisitos para gestão de segurança da informação nas organizações e a norma ISO 27002 fornece suporte e orientação para aqueles que são responsáveis por iniciar, implementar ou manter Sistemas de Gestão de Segurança da Informação (ISMS).
• A ISO 27001 é uma norma de auditoria baseada em requisitos auditáveis, enquanto a ISO 27002 é um guia de implementação baseado em sugestões de melhores práticas.
• A ISO 27001 inclui uma lista de controles de gestão para as organizações, enquanto a ISO 27002 tem uma lista de controles operacionais para as organizações.
• A ISO 27001 pode ser usada para auditar e certificar o Sistema de Gerenciamento de Segurança da Informação da organização e a ISO 27002 pode ser usada para avaliar a abrangência do Programa de Segurança da Informação de uma organização.
Atribuição de imagem: “CIAJMK1209” por John M. Kennedy T. (CC BY-SA 3.0)
